Comment procède un pirate ? Sa technique n’est, en fait, pas très éloignée de celle du spécialiste du test intrusif. À la différence que, si les tests d’intrusion menés par un prestataire extérieur font désormais partie de la panoplie des remèdes en matière de sécurité, leur usage est sévèrement réglementé. “Il est hors de question d’effectuer des tests d’intrusion sans l’accord d’une entreprise. Même si on voulait lui prouver, malgré elle, les failles de son système de protection”, explique Vincent Colombani, responsable de l’offre sécurité d’Unilog. “Deux tests d’intrusion ont été menés sur notre infrastructure Internet ; pour le premier, nous étions au courant ; pour le second, seule la direction générale savait”, explique le responsable du site Web d’une grande banque. Et d’ajouter : “Le risque étant maximal, le prestataire doit être fiable à 100 %. On ne doit pas craindre l’usage qu’il fera des informations qu’il pourrait capturer.”
Des systèmes vulnérables
“À chaque fois que l’on nous a commandé un test d’intrusion, nous sommes arrivés à pénétrer le système “, explique Joël Rivière, p.-d.g. de Lexsi, société de conseil en sécurité. “Les tests intrusifs tomb ent sous le coup de la loi, et un mandat explicite de la part de la société vérifiée est indispensable “, indique Karim Bouherour, de CF6 (groupe Telindus). Dans les environnements de production, les tests de déni de service sont à proscrire. Il vaut mieux les réaliser sur une machine identique mais moins indispensable. Pourtant, il n’est parfois pas nécessaire d’être particulièrement retors pour pénétrer un système. Les entreprises se retrouvent régulièrement dans des situations navrantes – voire pittoresques. Loup Gronier, spécialiste de la sécurité chez CF6 en témoigne : “En lançant un scanner de vulnérabilités, nous avions détecté le bogue Unicode sur un serveur Web IIS de Microsoft, situé dans la DMZ. Une fois entrée sur le serveur via ce bogue, une commande ipconfig nous a montré que le serveur possédait deux cartes réseaux, dont l’une était reliée directement au LAN privé de l’entreprise ! Le service informatique avait ajouté une carte afin de simplifier les mises à jour rendues difficiles par les filtres du coupe-feu. Et le responsable sécurité n’était pas au courant, car il n’avait connaissance que des schémas du réseau.”Lors d’un autre test, la même équipe de CF6 avait lancé une opération d’appel automatique de tous les numéros de téléphone d’une entreprise – “en une nuit, on scrute sept cents numéros “, précise Loup Gronier. Un modem répond, et un login Unix apparaît. “Nous tentons quelques mots de passe usuels (root ou toor, par exemple, chacun étant associé au compte root), mais cela ne passe pas. Nous allions lancer un automate de tests, lorsqu’un de nos ingénieurs débutants a appuyé sur la touche Entrée et s’est connecté : il n’y avait pas de mot de passe ! “, poursuit Loup Gronier. L’enquête prend parfois plus de temps. Ainsi, un routeur avait tous ses mots de passe par défaut : “Le client était certain de les avoir changés “, relate Loup Gronier. En fait, une commande de configuration lancée précédemment avait placé le routeur en défaut, et il avait redémarré avec sa configuration de sortie d’usine.
Des tactiques opportunistes
“Pour prendre la main sur un système, il existe trois sortes d’entrée : les failles intrinsèques (liées à des couches logicielles comme tftp, nfs ou nis) ; les erreurs de configuration (les couches NetBios sont accessibles, cela donnant accès à des partages de disque comme IPC$ et permettant de connaître les utilisateurs) ; et, enfin, les bogues tels que le Buffer Overflow. Il suffit parfois d’entrer un paramètre de séparation, tel qu’un “;”, (afin de trouver le séparateur que le programme utilise en interne). Pour résoudre ce genre de problème, le patch est obligatoire “, précise Loup Gronier. Ce fut le cas sur les serveurs de noms DNS ou sur le serveur IIS avec le bogue EEYE. Celui-ci transforme un serveur IIS en serveur Telnet, c’est-à-dire en un formidable tremplin pour pénétrer un réseau. Des failles qui ne laissent pas les pirates indifférents. “Les tactiques des hackers sont devenues opportunistes, confirme Patrick Lanquetin, fondateur de la start-up Auditop, spécialisée dans la sécurité. Plutôt que de rechercher de nouvelles failles, ils balayent les réseaux à la recherche de systèmes sensibles à des failles qui viennent d’être publiées. L’année dernière, il y a eu plus de cent failles publiées pour Linux comme pour NT, soit une tous les quatre jours. Solaris ou AIX en comptent moins d’une vingtaine par an.”De fait, si on lance un scanner de vulnérabilités, du type Internet Scanner, d’ISS, Cyberguard ou Nessus (un freeware), il retournera une liste de failles potentielles sur les systèmes incorrectement patchés. Avantage ? La liste de vulnérabilités donne un côté concret aux problèmes de sécurité et des arguments pour débloquer des crédits. “Le scanner ne garantit pas que la faille existe, une vérification s’impose. Il ne montre pas, en outre, comment elle est exploitable “, tempère Loup Gronier. Ces dernières années, les hackers ont développé davantage de techniques portant sur les systèmes en bout de chaîne, qui émettent ou reçoivent les flux informatiques. Des ” espions ” récupèrent ce qui passe par la mémoire de l’ordinateur ou par le clavier et la mémoire écran. Les attaques se déroulent également sur le long terme, comme l’explique Michel Dubar de la Société Générale : “Nous avons détecté des recherches de vulnérabilités étalées sur un mois, avec une recherche du ver Ramen.”
Rechercher le maillon faible
De son côté, Patrick Lanquetin assure que la sécurité informatique évolue en cycles : “De nouveaux outils créent de nouvelles occasions d’attaques auxquelles répondent de nouveaux systèmes de sécurité que les attaquants s’efforcent de contourner… et la spirale se répète à l’infini. Ainsi, des logiciels qui ne sont plus patchés par les éditeurs ou qui sont trop souvent victimes de failles de sécurité sont vite repérés.” En matière de sécurité, les équipes doivent être épaulées. Il faut supprimer ce qui freine la mise en ?”uvre des tests de sécurité et des contre-mesures. Les systèmes qui sont obligés d’être disponibles 24 heures sur 24 doivent être doublés, afin d’éviter les conflits entre les hommes de l’exploitation et ceux qui limitent l’insécurité. Les difficultés d’organisation sont toujours des facteurs clés. Au chapitre des attaques, le social engineering consiste à s’en prendre à un maillon faible en choisissant l’utilisateur d’une grande société ne respectant pas les consignes (il laisse son mot de passe traîner ou il le donne). “Des professionnels se feront passer pour des représentants du SAV du constructeur ou profiteront de la gentillesse du personnel, pour rester des heures dans une salle, sous un prétexte quelconque, et se connecter sur le réseau interne “, poursuit Patrick Lanquetin.
Effectuer des tests une fois par semaine
Par ailleurs, les failles de sécurité non publiées se retrouvent parfois sur un véritable marché noir. S’y côtoient les acheteurs – cellules de piratage des organisations criminelles ; les services de renseignements ; des éditeurs de systèmes d’exploitation ; et les vendeurs – souvent des ressortissants des pays de l’Est qui jonglent avec les segments de mémoire pour trouver les failles par Buffer Overflow pour prendre le contrôle d’un système à distance. Au chapitre des remèdes, les professionnels recommandent de pratiquer des tests, au moins une fois par semaine, y compris sur les locaux et les utilisateurs. Il est crucial de savoir à quel type d’attaque l’entreprise est sensible et de tester les attaques reconnues. “Placer des systèmes transversaux avec du chiffrage complique la tâche des attaquants “, souligne Patrick Lanquetin. Un pirate peut s’en prendre au PABX, écouter les communications ou jouer au piratage ” sportif “. “Les mots de passe du constructeur sont rarement désactivés et permettent l’administration distante “, avertit Marc Doukkali, chargé des tests intrusifs chez CF6. On peut détourner des fonctions logicielles telles que le décroché automatique, la messagerie vocale ou la conférence. L’outdial permet de téléphoner depuis l’extérieur via le PABX : dans la messagerie vocale, on saisit une séquence de touches prédéfinie avant d’atteindre le numéro extérieur. Les phreakers, spécialisés dans le piratage téléphonique, en sont friands. Hormis le rebond vers les systèmes informatiques, seule l’écoute de boîtes vocales et les fichiers de taxation sont récupérables sur les PABX. Les premières attaques utilisent des outils de wardialing testant aléatoirement les numéros.Pour détecter ces ” scrutations “, souvent effectuées de nuit, il faut consulter les journaux de l’autocom. Sur un 4 400, d’Alcatel, équipé d’un disque dur sous un système Unix, on accède au fichier de taxation via une liaison modem, on peut même redémarrer le PABX. L’usager doit se tenir informé des techniques de fraude et intégrer le PABX dans la sécurité de l’entreprise. Les utilisateurs doivent changer régulièrement de code secret, ne pas divulguer leurs numéros SDA et informer les services généraux de la détection de bruits de fond ou de porteuse, etc. La désactivation des comptes par défaut doit être systématique. Le numéro de télémaintenance ne doit pas être inscrit dans la grille des numéros SDA, de même que les numéros de modems. Le succès du couplage téléphonie-informatique, dans les centres d’appel, renforcera le risque d’accéder à des informations sur les clients sur la base de leur numéro d’appel.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
