La méthodologie des attaques dévoilée pour mieux se protéger


Être discret : peu d’administrateurs vérifient les journaux de connexion de leurs serveurs, l’attaquant se doit d’être paranoïaque en ce qui concerne les traces qu’il laisse derrière lui. Même avec des outils d’exploitation performants, une attaque à 99 % de chance de passer inaperçue.

Le hacker peut passer par un autre système pour atteindre sa cible. Combien de fois, ai-je vu des logiciels tels que Team Viewer sur des desktops dans les SI ?

Sur ce système, il prendra soin d’installer quelques outils « pratiques » permettant de mener son attaque. Une possibilité est de modifier les logs quand il sera sur le système mais ça n’est pas un moyen suffisant.

Une autre solution consiste à se rendre anonyme à l’aide d’un proxy couplé à un système de chiffrement comme SSL. Le fait d’être anonyme est déjà un bon point. D’ailleurs, un hacker évitera d’attaquer toujours avec la même adresse IP pour éviter de se faire repérer.

Un hacker peut maintenant attaquer votre smartphone, prendre possession des webcams de votre maison, de votre appartement pour les faire visiter.

Cibler la victime : vous devez utiliser les bons outils comme Netcat pour mettre simplement en place des portes dérobées, des backdoors.

Les backdoors sont des petits programmes qui passent inaperçus sur votre système et qui permettent au hacker de revenir à son gré pour peu que le système cible soit connecté sur Internet.

Telnet permet de créer une connexion TCP/IP avec un serveur distant.

Le protocole SSH a remplacé Telnet car il utilise des trames chiffrées donc impossibles à sniffer.

Nmap est un scanner de ports permettant d’obtenir un certain nombre d’informations.

Scapy permet l’interception de paquets sur un réseau, la génération de paquets dans un grand nombre de protocoles, la réalisation d’une prise d’empreinte de la pile TCP/IP, un traceroute… Il peut se substituer aux commandes les plus courantes de Nmap, hping, arpspoof, tcpdump ou encore Wireshark.

Metasploit teste les vulnérabilités d’un système à l’aide de « pentest », des tests de pénétration visant à l’exécution d’exploits sur une machine.

Il existe beaucoup d’autres outils pour avoir un portrait précis de la victime.

Repérer les domaines : avec whois, vous pouvez vous renseigner sur le propriétaire du nom de domaine et sur l’organisme propriétaire du nom de domaine. Vous avez même accès à l’adresse postale du propriétaire, au contact mail du responsable, au numéro de téléphone…

Afin de repérer l’adresse IP du serveur hébergeant le site web, la commande host est une alliée simple mais précieuse également.

Cela peut permettre également de savoir où est, géographiquement parlant, hébergé le site web.

La commande traceroute peut également s’avérer utile, en listant les nœuds intermédiaires entre un point de départ et un point d’arrivée, elle nous informe sur le routage des paquets, et donc nous aide à situer le routeur dans le réseau.

Google, Facebook, LinkedIn, Viadeo, Twitter, les forums, les autres réseaux sociaux et les blogs sont vos amis : suivre une personne peu soucieuse de ses données personnelles est souvent un jeu d’enfant. Vous trouvez beaucoup de forums où des administrateurs vont poster la configuration de leur serveur pour obtenir un coup de main, de même pour des développeurs ayant un souci avec le site web qu’ils gèrent.

La circulation des données en accès libre n’implique plus d’enfreindre la loi pour obtenir des informations que l’on peut avoir en toute légalité sans grande recherche. Sur Internet, on a accès aussi bien aux informations personnelles des employés d’une entreprise qu’aux informations administratives. Grâce à un smartphone en alimentation, nous pouvons vous géo localiser. Ca n’est pas de la Science-fiction, c’est une réalitée. Dans les faits divers, les coupables qui n’ont jamais été retrouvés se sont tous débarrassés des éléments qui les raccordaient à leurs passés, jusqu’au pays de résidence. La police scientifique n’est pas aussi développée que ce que vous voyez dans les séries américaines.

Rien de plus simple que de connaître le gérant/président d’une société, grâce à Infogreffe.fr ou Societe.com ! Ensuite, vous commandez les statuts et vous savez où habite le gérant….Ensuite, vous trouvez le nom de ses amis sans vous déplacer, les lieux qu’il fréquente. Vous pouvez le rencontrer par un hasard qui n’en est pas un le weekend. C’est dangereux car même les célébrités ne sont plus protégées : nous pouvons savoir où elles habitent réellement…Pour pratiquer une activité, elles ont un pseudonyme déposé sous la forme d’une marque, une entreprise indépendante et une adresse. Même si l’adresse est une société de domiciliation, vous pouvez savoir où elles habitent pour une simple commande des statuts, des Kbis…

Lorsque vous publiez une information ou envoyez des photos, ces 2 éléments appartiennent au site internet et ne vous appartiennent plus. De plus nous pouvons tracer l’appareil duquel ces éléments ont été envoyés. Vous pouvez même mettre des espions dans vos messages électroniques afin de savoir s’ils se sont affichés sur le récepteur de votre cible sans qu’il le sache. Une photo peut être comparée avec l’ensemble des photos sur les moteurs de recherche afin de faire matcher celle-ci avec votre nom.

Avec Facebook ou encore Copains d’avant, il est facile d’obtenir des informations personnelles. La grande tendance actuelle étant d’exposer sa vie au grand jour sur Internet, et de créer des liens entre tous les réseaux en ligne. En quelques clics, vous pouvez tracer un profil précis de votre cible. Même s’il est essentiel de vérifier les informations trouvées sur la toile de cette manière, il s’avère que la plupart sont exactes. Même les détectives privés et les usurpateurs d’identités qui utilisent les numéros de sécurité sociale de d’autres personnes s’en servent ! Se créer une fausse vraie carte d’identité est devenu très facile. De nombreux témoignages et reportages l’ont montré.

Le hacker peut cerner les centres d’intérêt de sa cible, son état d’esprit, ou connaître son entourage, ou encore le retrouver dans les archives de mailing list dans les discussions laissées par les équipes techniques d’une entreprise. Il est bon de savoir qu’une information rendue publique n’est peut-être pas exploitable seule, mais recoupée avec d’autres du même type, elle peut former une source d’informations importante. Nous entrons dans le domaine de la big data.

Profitons de la faille humaine : Dans le domaine informatique, il n’est pas rare de dire qu’il faut savoir être fainéant. C’est juste savoir utiliser des outils pour parfois se simplifier la vie. Et parfois, il suffit juste d’ouvrir une porte et de parler.  La faille humaine est souvent considérée comme l’une des plus importantes dans un système d’informations. Répondre à des questions que l’on nous pose, faire confiance à un inconnu qui se présente à nous comme ayant des droits, porter secours à quelqu’un, ou juste négliger son poste de travail… voilà des brèches humaines qui peuvent être lourdes de conséquences, et qui sont à l’origine d’une technique de hacking non pas des moins efficace, le social engineering.

Il est ainsi très facile à l’attaquant d’insérer un cheval de Troie dans le réseau via cette cible intermédiaire, ou d’obtenir des informations très importantes. Un poste de travail professionnel connecté à internet passe forcément par un Active Directory pour ouvrir une session en dehors d’une connexion locale.

Ouvrir les postes du réseau : il est possible de sniffer les informations qui circulent sur celui-ci.

Pour sniffer un réseau, il existe de nombreux outils, le plus connu étant Wireshark (anciennement Ethereal), mais d’autres sont également plus spécifiques, comme Siphon ou DSniff. Ce dernier capture les mots de passe, mais reconnaît de nombreux protocoles, comme SNMP, NetBIOS ou Rlogin. La grande majorité des protocoles Internet font transiter les informations en clair sur le réseau, comme des identifiants et des mots de passe. Ainsi, en analysant le trafic, il nous est très facile de voir les informations non chiffrées, et de pouvoir les exploiter immédiatement.

De plus, à l’aide du logiciel Ettercap et de requêtes ARP Poisoning, il est possible d’effectuer plusieurs actions de type Man in the Middle, en se plaçant au milieu d’une communication entre deux machines ; ainsi il est possible de voler des informations de manière transparente pour l’utilisateur, avec par exemple du SSL spoofing, en fournissant aux victimes des certificats SSL erronés.

Une autre façon “d’écouter aux portes” est de profiter du Wi-Fi, ouvert ou mal sécurisé. Et les moyens sont presque sans fin, la technologie aidant, les failles se multiplient : hacking par Bluetooth, téléphone, clé U3…

Il est donc préférable d’interroger plutôt les bases de données en ligne telles que le site SecurityFocus qui met à jour régulièrement sa base de données de vulnérabilités.

L’attaque par le web : En effet, de nombreux sites présentent des problèmes de sécurité, que ce soit dans les formulaires, particulièrement les formulaires d’envoi qui sont mal protégés et permettent d’envoyer des fichiers sur le serveur, ou en donnant accès à des informations de la base de données.

Les injections SQL sont parmi les plus fréquentes. Il s’agit de profiter de la mauvaise protection de certaines requêtes SQL prenant comme paramètres des informations fournies par l’utilisateur final (l’internaute).

Un autre type de faille courante est l’attaque XSS, ou cross-site scripting. Il s’agit également ici de profiter d’un formulaire ou des paramètres d’URL pour injecter des données dans un site web, parce qu’elles ne seraient pas vérifiées et protégées. Il est ainsi possible de faire exécuter un script par le navigateur web de l’internaute qui va visiter la page et de voler des informations comme ses cookies d’authentification, sa session, ou encore de le rediriger vers un site (en apparence) identique, mais situé côté hacker…

J’ai dû vous faire très peur avec cet article. Mais je vous rassure. En faisant appel à une entreprise telle que GREENITWAYS ou d’autres entreprises avec des consultants experts en sécurité, vous pouvez supprimer vos traces sur internet et sécuriser totalement votre SI. Votre communication sur le web doit être contrôlée et ciblée. Nous sommes tous responsable de notre communication.

Francois-FLEURY

François FLEURY Chef De Projets Architecte Intégrateur Formateur
Applications | Cloud AWS/GOOGLE/IBM/MICROSOFT |
Inter/Intra/Extranet | Messagerie | Système | Sécurité | Stockage | Réseau | Virtualisation
Logo GIWGREENITWAYS SAS
Site web : http://greenitways.com
Gestion de projets | Management d’équipes | Design | Intégration | Administration | Exploitation | Gestion des incidents | Support niveau 3
ffleury@greenitways.com
Pseudo Skype pour video call : greenitways
1993 Total Views 1 Views Today



1994 Total Views 2 Views Today