Six heures pour passer les défenses du FBI (et autres aventures)

le 29/05/2008, par david Lentier avec IDG News Service, Hacking, 988 mots

Il en faut beaucoup pour choquer Chris Goggans. Il réalise des tests d'intrusion depuis 1991. Mais il affirme que rien n'a jamais été aussi flagrant que les manques de sécurité à la fois dans les infrastructures et dans la gestion des correctifs, d'une agence civile gouvernementale sur laquelle il a récemment travaillé. Un travail de routine au départ Les failles étaient telles qu'il a pu aller jusqu'à une base de données sensibles du FBI sur des informations liées au crime, en moins de six heures. Chris Goggans est consultant chez PatchAdvisor. Il avait commencé par un travail de routine de passage en revue (« scan ») du réseau. Il a alors découvert une série de vulnérabilités non corrigées dans un serveur Web d'une agence gouvernementale, ainsi que dans d'autres parties de l'entreprise. A partir d'une faille dans le serveur Web, Chris Goggans a récupéré des noms d'utilisateurs et des mots de passe, qu'il a réutilisés sur d'autres systèmes de l'entreprise. Prise de contrôle d'une machine de la Police Sur ces systèmes, il trouvé d'autres détails sur les comptes des utilisateurs qui lui ont permis de récupérer des privilèges d'administration de domaines sur le réseau Windows. Dès lors, il a pu prendre le contrôle de quasiment toutes les machines Windows de l'entreprise, y compris un poste de travail utilisé par la Police. Il a ainsi remarqué que plusieurs des postes de travail des forces de police, possédaient une seconde carte réseau, selon le protocole SNA, directement connectée vers un Mainframe IBM. En installant clandestinement un logiciel ... ...de prise de contrôle à distance sur ces postes, il a trouvé des programmes qui se connectent automatiquement à la base de données NCIC (National Crime Information Center) du FBI. Cela aurait pu être aisément éviter « A partir de ce logiciel, couplé à un outil de capture des frappes clavier, on pourrait récupérer des droits afin de se connecter à la base du FBI, remarque-t-il. Comme la plupart des vulnérabilités, celle-ci aurait pu être aisément supprimée par quelques stratégies de sécurité basiques. Par exemple, le réseau de la Police aurait dû être isolé du réseau principal, par des pare-feux, et les postes des enquêteurs tenus à l'écart du plus grand domaine. De même, l'agence n'aurait pas dû autoriser des postes de travail à être destinés à la fois à des tâches sensibles sur la base NCIC et à un accès général au réseau. Enfin, les administrateurs systèmes auraient du effectuer le contrôle de la réutilisation des mots de passe, et les bloquer. La conformité réglementaire n'est pas de la sécurité Un autre consultant, Chris Nickerson, PDG de Lares Consulting, s'étonne aussi de la simplicité de la plupart des attaques, en particulier dans le domaine de la conformité. En fait, alors qu'il réalisait un test dans une très grosse société de conseil, il avait obtenu immédiatement tous les droits d'administration sur toutes les applications. "Cette société disait être conforme à Sarbanes Oxley, depuis plusieurs années. En 20 minutes, j'avais le contrôle de toute l'activité, dit-il. Il a également trouvé des problèmes chez les sociétés se revendiquant ... ... de la conformité avec PCI. « Ils ont dépensé des millions pour être conforme à PCI, et je suis arrivé à ouvrir leur principal système de traitement des cartes de crédit en 10 minutes ». Un avis que partage Serge Saghroune, RSSI du groupe Accor : « PCI DSS a la couleur de la sécurité, mais ce n'est pas de la sécurité. La conformité à PCI DSS donne une fausse impression de sécurité, c'est comme se promener avec un costume qui n'aurait que le devant alors que l'on est nu par derrière ». des outils automatiques d'intrusion Chris Nickerson encourage ses clients à se focaliser sur deux tâches en matière de technologies : gérer les correctifs, et durcir les systèmes d'exploitation, pour par exemple, bloquer les ports inutilisés. Chris Nickerson est fan des outils automatiques d'intrusion, tels que Core Impact de Core Security. « Avec un outil comme Core Impact, il est facile de se promener dans tout un réseau, même sans connaissances »". Ceci dit, ce type d'outils n'est pas la panacée. Chris Nickerson combine des outils automatisés et des procédures d'attaque manuelles, afin de montrer à quel point on peut fusionner de l'ingénierie sociale (exploitant la candeur de ses interlocuteurs) et l'exploitation des vulnérabilités réseau. Systématiser le test du code applicatif Il existe, de plus, de nombreux endroits où les données peuvent être corrompues dans le cas des applications Web : le navigateur, le serveur frontal, le serveur de back office, et lors du stockage. Par exemple, on a pu observer qu'une petite banque intégrait l'identifiant de l'utilisateur comme une partie de l'URL donnant accès à son compte client. En changeant quelques signes dans l'URL, on accédait très facilement à un autre compte. « La moitié des applications Web que nous testons donne accès à des données d'autres utilisateurs que celui qui s'est authentifié, souligne Brad Johnson, vice président de la société de consultants sécurité SystemExperts. « De nombreuses applications Web ne protégent pas le port 80, prévient pour sa part, Robert Maley, responsable de la sécurité pour les systèmes gouvernementaux de l'état de Pennsylvanie. Et c'est à la suite d'une attaque réussie de portails Web de l'état via de l'injection SQL, en provenance de Chine, qui a fait la une de la presse, ainsi que la mise en évidence d'une vulnérabilité donnant accès à des données personnelles sur les citoyens, que le responsable a pu enfin faire prendre conscience à sa hiérarchie des risques. « Grâce à cette mauvaise presse, finalement, nous avons les moyens de travailler sur la protection du code applicatif que nous développons et de le tester via des tests d'intrusion pour l'ensemble d'une configuration (matériel, logiciel, systèmes d'exploitation, et l'application elle-même), se félicite le responsable. Une démarche que l'on retrouve chez le groupe Accor qui - sous l'impulsion de son RSSI - a mis en place une équipe interne chargée de systématiser des tests d'intrusion sur l'ensemble des applications du groupe ainsi que celles de ses partenaires.

Microsoft coutumier des add-on non fonctionnelles et bogées

Vendredi dernier, la firme de Redmond a reconnu qu'elle avait dû réécrire 4 des 13 add-on de sécurité publiées lors du dernier Patch Tuesday. D'après le retour des utilisateurs, même une fois installées, les...

le 18/09/2013, par Gregg Keizer, adaptation Oscar Barthe, 463 mots

Google ne crypte pas efficacement les mots de passe Wi-Fi

Lorsqu'un utilisateur d'Android réalise une sauvegarde de son système, notamment en vue d'une réinitialisation de l'appareil, la firme de Mountain View accède immédiatement au clé de son réseau WiFi privé....

le 18/09/2013, par Oscar Barthe, 367 mots

2 millions de comptes clients de Vodafone Allemagne piratés

Un salarié travaillant pour un prestataire de Vodafone Allemagne est soupçonné d'être à l'origine du vol de données concernant deux millions de clients. Cette affaire n'est pas sans rappeler, par sa...

le 16/09/2013, par Serge LEBLAL, 364 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Jamshid Rezaei

DSI de Mitel

Le DSI de Mitel, Jamshid Rezaei, a adopté le système japonais du Kaizen prônant l'amélioration continue...