Publié le 27-08-2005 dans le thème Réseau - Sécurité

Pays : Europe - Auteur : Damien Bancal

Pub : Tous les logiciels antiphishing gratuits disponibles sur Internet

Le bon, la brute et les truands
Mai 2003, une étrange information nous est parvenue aux oreilles. Il était possible d'accéder à n'importe quel site hébergé chez Lycos. A l'époque, nous avons cherché et trouvé.

Mot de passe et code source
Nous vous expliquions dans Zataz 6 comment une bête faille permettait d'accéder aux répertoires de sites hébergés chez Lycos/Multimania. Rien de méchant sauf que ce bug permettait aussi d'accéder aux codes sources des pages php et dans le pire des cas aux logins et mots de passe de base de données SQL. Ce problème a été corrigé après notre alerte. Cependant, très vite, nous nous sommes rendu compte qu'un autre problème persistait. Plus grave car la rumeur faisait entendre qu'avec un simple mel il était possible de récupérer login et mot de passe d'un site web multimania.

Exploit, code, .exe
Selon la rumeur, la nouvelle faille permettait d'accéder à n'importe quel compte Web multimania, et de manière radicale. Pas de programmation, de bug de language. Une faille universelle et sans limites. Une faille qui permettait un renvoi de logins et mot de passe web, mais aussi, Ftp du compte multimania. Le fonctionnement de cette faille était somme toute très "simple". Elle reposait sur un défaut de programmation. Pour l'utiliser les pirates devait poster des requêtes HTTP, comprenez de simple information dans un url. Cette faille nous paraissait invraisemblable mais elle semblait effectivement exister au vu des démonstrations qui nous avaient été faites à l'époque sur nos propres comptes Lycos. Cette même erreur de programmation existait sur toutes les versions de lycos. Soit plusieurs millions de sites web prêts à être frappés par n'importe quel pirate en mal de reconnaissance. Il nous a suffit d'imaginer les conséquences désastreuses qu'aurait pu engendrer la publication d'une telle faille dans tous les forums de pseudos-hackers à travers le monde. Nous avons donc alerté Lycos France rapidement. L'équipe de cette entreprise a été plus que réactive. Quelques minutes après notre alerte les pirates pouvaient aller retourner d'où ils venaient, soit vers le néant. Nous nous étions posé la question de savoir quel aurait été la possibilité à un pirate d'automatiser complètement la tache pour un défacement de masse des pages web via un programme récupérant sur un compte mail muni d'un POP, certains champs du mail reçu, à savoir login et passe ftp, et que ces deux valeurs soient transmis en temps réel sur un logiciel ftp. Les conséquences auraient pu être désastreuses. Et bien vous ne pensez pas si bien dire ! Nous avons découvert lors de notre enquête sur cette faille que des codeurs avaient commencé à automatiser le problème en question.

Qui c'est qui toc !
Cette faille semble avoir séjourné pendant quelques temps dans un cadre bien fermé de releasers français jusqu'au jour où un groupe français s'est illustré, la Alex Family, en sortant un programme open source, automatisant complètement la tâche. Ce programme d'une simplicité enfantine ne demandait que trois informations, le pays, le login du compte que le pirate souhaitait "visiter" et le mail où LYCOS devait envoyer le password. Un programme qui effectuait seul tout le processus de modification et d'envoi de mot de passe. Ce programme codé dans un esprit de "découverte" par cette team connue pour ses développements et releases open source aurait pu se transformer en véritable arme à script kiddies. Il suffit de prendre comme exemple l'exploit de la faille WebDAV codé avec intelligence par Kralor et exploitée par tout un groupe de script kiddies. Le problème du full-disclosure repointe le bout de son museau. A noter que nous allons découvrir pas moins de 4 autres logiciels utilisant cette faille ainsi qu'une page html automatisant elle aussi le processus mais dans une moindre manière, page qui a été réalisée par un certain Ansuketor. Quand on pense que le champ d'action utilisateur face à une telle faille était quasi-inexistant, puisque celle-ci agit côté serveur, on peut dire que les pages persos hébergement gratuitement par Lycos ont eu chaud, très chaud.

Full-Disclosure : les pour et les contre
Par ce terme anglais, le full-disclosure, on entend la diffusion d'une faille, d'un exploit, donc d'un problème de sécurité informatique afin d'avertir la société faillible et les utilisateurs des logiciels, systèmes, sites ayant une faille pouvant mettre en danger leurs informations et leurs vies privées. Une alerte, comme on en trouve des milliers sur le site BugTraq, propriété de Symantec, se nomme advisory. Il existe deux groupes de pensées. Les pour, qui veulent que soient diffusées ses alertes et ceux qui refusent cette diffusion pensant qu'elle sert surtout à nourrir les pirates, ce qui est honnêtement pas si faux que cela.

L'Organization for Internet Safety (OIS) a présenté un projet de normalisation de processus de publication et de correction des failles de sécurité. Le but : limiter les conflits entre les "inventeurs" de failles et les éditeurs de logiciels, éditeurs comme Microsoft, Oracle, Sco, Network Associates, ISS, Guardent, Symantec, ... qui trônent dans cette organisation. Si on a bien tout suivi, l'éditeur a 7 jours pour répondre et accuser réception d'une faille. Si aucune réponse ne parvient à l'inventeur, ce dernier doit réécrire pour demander confirmation de réception de son premier mel. L'éditeur rajoute 3 jours dans son escarcelle alerte. Si les trois jours n'ont pas suffit, l'inventeur du problème doit encore attendre 30 jours avant diffusion, après que l'éditeur, lui, ait disposé d'un délai maximum de 30 jours pour effectuer l'investigation et la qualification du problème. A savoir, faille ou pas faille. Bref, avertir les utilisateurs qu'ils sont en danger 70 jours après la découverte, autant apprendre à danser la gigue, ca sera moins long. Toujours est-il que nous avons suivi à la lettre la normalisation de l'OIS. On doute que tout le monde soit aussi patient !

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Faille sur le site Wikileaks

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

La Ville de Chambéry corrige une fuite de données

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Prudence aux liens vers Darty et ELLE

Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.

Quand des Anonymous tapent sur des Anonymous, ça mousse

INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.

Les informations confidentielles de 541 policiers Français diffusées par les Anonymous

Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.

Faille pour Myspace

Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.

Multiples failles pour le site économique Forbes

INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.

La ville de Béthune corrige une fuite de données

INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.

Réagissez à ce contenu