Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

JSSI de l’OSSIR : quand les mondes virtuels se transforment en cauchemar

mars 2009 par Marc Jacob

A l’occasion de la 8ème édition des JSSI organisée par l’OSSIR, François Paget, un des membres fondateurs du groupe Avert au sein de McAfee a démontré qu’il était possible de créer toutes sortes de malwares sur Second Life. Dans son voyage dans les mondes virtuels de Second Life, il a émis du spam, créer des vers et virus, fait du phishing en toute impunité. Les cabinets de prospectives, comme le Gartner, prévoient qu’en 2011, 80% des internautes devraient avoir un avatar dans un monde virtuel, tout est à craindre !

Dans les mondes virtuels sans argents on ne peut rien faire. Plus de 9 millions de $ seraient échangés chaque mois sur Second Life par exemple. Depuis 2007, des malwares ont été découvert par les équipe de McAfee comme des fonctionnalités permettant d’envoyer du spam ou des attaques en DDOS tant à l’extérieur qu’à l’intérieur de Second Life. Cette fois ci, François Paget a voulu vérifier que l’on pouvait aller plus loin.

Le spam et le DDOS sont possibles à partir de Second Life

Sur Second Life, la majorité des objets sont payants. Toutefois, certains sont gratuits et sont donc très convoités. François Paget s’est créé un avatar et s’est rendu dans un café virtuel où un autre avatar était attablé à boire un verre de vin. Il s’est fait prêter le verre et y a introduit un code pour envoyer du spam. Pour ce faire, il l’a créé dans un « bac à sable » dans un monde non fréquenté avec les commandes llHTTP e-mail et email HTTPRequest. Le code ainsi introduit permet l’envoi de spam à chaque fois que l’on touche le verre. Toutefois, pour éviter l’envoi de spam Second Life à introduit un temps de latence de 20 second entre l’envoi de deux mails. Toutefois, François Paget a pu contourner cette mesure par le Multi threading par la création d’un llemail positionné comme dernière instruction. De la même manière, il est possible de procéder à une attaque en DDOS en utilisant le llHTTPRequest.

Le ver qui se s’auto-clone sur Second Life

François Paget s’est ensuite attaché à créer un ver (objet qui se duplique à l’infini jusqu’à bloquer sa session en envahissant son environnement). Il a pour cela utilisé les fonctions llRez Object. Par contre, cette fonction est particulièrement dangereuse car on peut créer des doublons à l’infini. Pour arriver à ses fins il a créé un objet puis à insérer un même objet à l’intérieur du premier. Ainsi, dès que l’objet est touché il se duplique en fonction du nombre de duplication programmée.

Da la même manière, il a voulu voir si il était possible de générer un virus (objet qui saute de lui-même vers un autre ne le contenant pas). Il a pour cela utilisé les fonctions llSensor et llGivenInventory. Toutefois, un objet ne peut pas s’infecter tout seul grâce aux « Flag Running » qui sont contenus dans Second Life. Il est nécessaire que l’utilisateur exécute le code. Ainsi, pour rendre un virus efficace, il est nécessaire de lui associer des techniques de social engineering.

Les pirates pourraient aussi utiliser les logiciels Open Source Copybot & Shooperlife qui sont en principe interdit sur Second Life. Toutefois, François Paget s’en est servi durant plusieurs mois pour cloner son avatar. L’intérêt de créer des clones est de pouvoir obtenir des objets gratuitement ou de multiplier son nombre d’avatar. Il faut savoir que sur Second Life, faire du « camping » est rémunérateur. En effet, en restant à un endroit un avatar gagne de l’argent. Il y a donc de plus en plus de personnes qui se créer des clones d’avatars pour augmenter leur gain.

Le phishing existent aussi dans les mondes virtuels

François Paget a voulu aussi vérifier les possibilités de faire du phishing sur Second Life. Pour cela, il a offert à un avatar un objet avec la promesse que celui-ci lui rapporterait de l’argent. Des que la victime a touché l’objet il a disparu de son environnement pour se positionne dans son inventaire. Dès que l’objet est dans son inventaire, il lui demande de m’envoyer un Linden $. Une fois qu’elle a procédé à la rétrocession, une autre sollicitation est tentée puis une troisième, jusqu’à vider totalement le compte de la victime.

François Paget a conclu sa démonstration en recommandant au « voyageur » de Second Life, ce conseil est valable pour tous les mondes virtuels, de se créer un avatar banquier et de n’avoir sur son propre compte que peu d’argent. Aujourd’hui, il n’y a pratiquement pas de solution de protection, même si Symantec a sorti un antivirus pour World of Craft…




Voir les articles précédents

    

Voir les articles suivants