Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ATLAB : Panorama de failles rencontrées en 2009

février 2010 par Marc Jacob

C’est lors de son petit déjeuner annuel "Etat de l’art de la sécurisation de votre SI », qui s’est déroulé le jeudi 11 février, que les experts d’ATLAB, la filiale Audit d’ATHEOS, ont présenté leurs retours d’expérience sur des failles rencontrées en 2009 lors de leurs audits dans des entreprises. Ils ont aussi montré deux outils d’audit de vulnérabilité et un outil d’écoute sur les téléphones sans fil.

Michel Van Den Berghe, Président d’Atheos

Après un rapide message de bienvenu de Michel Van Den Berghe, Président d’Atheos, Samuel Dralet, directeur technique d’ATLAB a lancé cette conférence en précisant "Ces retours d’expérience sont un moyen de partager sur des cas réels et anonymes, rien de tel que des démonstrations par l’exemple." Cette conférence, basée sur des cas réels suite à des audits en entreprises, a mis en avant que les DSI et RSSI doivent veiller au grain et surtout éviter de mettre leur œufs dans le même panier comme l’on répéter les experts d’ATLAB tout au long de leurs interventions.

Samuel Dralet, directeur technique d’ATLAB

La première problématique concernait les mots de passe soit du fait de leurs faiblesses, de leur unicité, les méthodes de stockage. 4 exemples ont été donnés :

1) Attaques sur l’applicatif Websphere

L’expert a rappelé que les mots de passes doivent être stockés en utilisant une technique de hachage. En effet, Websphere propose un chiffrement des mots de passes mais cet applicatif offre des possibilités de reversibilité des mots de passe. De plus, le chiffrement utilisé est faible. Ainsi, l’utilisation d’un programme écrit en Python permet d’obtenir les mots de passe assez facilement.

2) Utilisation d’une solution de cryptage développé en interne.

Une entreprise avait choisi de développer en interne sa propre solution de cryptage de mot de passe. Toutefois, l’architecture retenu était peu judicieux et laissée apparaître des faiblesse. Il avait stocké tous les mots de passe dans un même partage système où se trouvait aussi le binaire de déchiffrement. De plus, les logs de connexion résidaient aussi dans ce même partage.

Par contre, dans une seconde société qui avait aussi fait le choix de développer sa propre solution de cryptage de mot de passe basé sur un padding normalisé avait été bien protégée.

3) Mauvaise usage de mots de passe sur un réseau Windows.

Dans cette autre entreprise, où toutes les machines Windows avaient étaient correctement patchés et bénéficiaient d’un bon niveau de protection, 3 machines avaient été abandonnées car plus utilisées par personne. A partir de ces machines non patchés, il a été très facile lors du test d’intrusion d’utilisé la vulnérabilité MS08-67 pour obtenir les mots de passe administrateurs qui étaient les mêmes sur une majorité de machines de la société.

4) Contournement d’une solution de SSO

Dans ce dernier cas, le client avait mal configuré l’attribution des tickets en les rendant prédictibles.

Les vulnérabilités du Web ont aussi été mises en évidence

Dans le premier scénario, une entreprise avait utilisé une application libre (Mantis), même si les protections étaient mises en place, il a été possible en utilisant une application sur Tomcat de prendre la main sur la machine et de récupérer les mots de passes.

Dans le second scénario, il a été possible d’utiliser une vulnérabilité de PhP pour compromettre les machines. Les experts d’ATLAB ont rappelé qu’il ne fallait pas s’en remettre intégralement à PHP qui offre souvent un « faux sentiment de sécurité ».

Les WAF

Ils ont aussi montré qu’il était possible de contourner les firewalls applicatifs en injectant ou en modifiant certains scripts. Selon eux, les WAF sont assez facilement « finger printable » en simulant une attaque et en attendant la réponse.

Les failles de type XSS ont été aussi mise en avant, dans ce cas en modifiant d’un caractère le script par exemple d’un simple accent.

Suite à la démonstration de toutes ces faiblesses, ils ont montré deux outils de détection de faille et un outil d’attaque.

IRIS : Un œil pour Windows

Le premier outil appelé IRIS permet de détecté de façon automatique des vulnérabilités sur Windows. Il permet de répondre à 4 questions que se posent régulièrement les RSSI où ? Quand ? Comment ? Qui ? Il propose aussi une analyse préventive et a posteriori. Cet outil a été écrit en Python. Il permet un découpage de l’analyse :

- Analyse du système fichier
- Analyse par rapport aux éléments natifs, au système d’exploitation
- Analyse du processus actif
- Analyse par rapport au format binaire
- Analyse au niveau d’espace noyau

Bien sûr cet outil ne ralenti pas l’utilisation du poste. Il est lancé à partir d’une simple clé USB. Par contre, il ne sert pas à faire des expertises judiciaires. Une version sous Unix est actuellement en cours de développement.

PONERA : un outil de test d’intrusion

PONERA a été conçu pour faire un test d’intrusion sur plus de 5.000 adresses IP en mode Blackbox. C’est un outil semi-automatique qui permet de découvrir les hôtes possibles, des ports des IP actives. Il propose aussi un audit des ports sur chaque IP actives avec un recueil d’information, une recherche des vulnérabilités le tout sans interruption de service. Plusieurs protocoles et application peuvent être traités comme par exemple : BGP, citrix, CVS, SMTP, oracle POP3, Unix…. La liste n’est pas exhaustive bien entendu. Il permet d’auditer aussi les serveur DNS, SMPT, Citrix, de vérifier les DoS, les compromission des serveurs.

Enfin, ils ont fait la démonstration d’un outil pour réaliser des écoutes sur un DECT mais qui peut s’appliquer à d’autres types de téléphones sans fil. Cet outil est en cours de développement dans le laboratoire d’ATLAB.




Voir les articles précédents

    

Voir les articles suivants