“Keyloggers” l’espion de vos frappes clavier

Les keyloggers (ie « enregistreurs de touche« ) sont des outils permettant d’enregistrer les frappes clavier d’un utilisateur. Ils interceptent les données représentant la touche pressée par l’utilisateur durant leur transfert depuis le clavier jusqu’à l’application destinataire. L’installation d’un keylogger sur un poste de travail provoque souvent la compromission de nombreux mots de passe protégeant l’accès au reste du système d’information.

Pour effectuer l’interception de vos frappes, le pirate dispose d’un panel de techniques, correspondant aux différentes étapes du cheminement des frappes clavier. Pour faire simple, tout démarre au niveau matériel par l’encodeur du clavier en charge de l’état des différentes touches du clavier (appuyées, maintenues appuyées ou relâchées) qui transmet l’information à la carte mère. Ensuite, le driver du clavier convertit alors cette information en fonction de la touche ayant été appuyée puis l’OS récupère le message et le transmet à la fonction de l’application traitant les entrées clavier.

Chacune de ces étapes est potentiellement une cible pour un keylogger. On trouve en effet des keyloggers matériels. Ceux-ci sont très simples d’emploi, indétectables par un système logiciel de sécurité et fonctionnent pour tous les systèmes d’exploitation. En revanche, leur installation nécessite un accès physique au clavier.

Les keyloggers logiciels offrent de plus intéressantes possibilités et présentent de nombreux avantages pour le pirate. Ils permettent un haut niveau d’interaction avec le système, ce qui permet d’espionner toutes les actions de l’utilisateur dans leur contexte et peuvent être installés sans avoir un accès physique à la machine cible. Ces outils peuvent ensuite envoyer les informations récupérées au pirate par de nombreux moyens tels SMTP, HTTP… En revanche, mal implémentés, ces programmes peuvent être détectés par les suites de sécurité.

Windows XP offre nativement de nombreuses possibilités pour installer un keylogger comme les mécanismes d’extensions standards type BHO (Browser Helper Object) ou les nombreuses API standards qui permettent de consulter les frappes clavier (par exemple GetKeyState())… Certes, ces attaques doivent être lancées à partir d’un compte faisant partie du groupe « Administrateurs », ce qui est le cas pour la plupart des particuliers voire dans de nombreuses entreprises. Windows Vista a essayé d’apporter des protections à ces attaques avec l’UAC (User Account Control) mais celles-ci peuvent être contournées.

A noter également que les fonctionnalités des keyloggers ont évolué avec l’apparition des « claviers virtuels » qui demandent à l’utilisateur de cliquer sur des images pour renseigner son mot de passe. Ainsi certains keyloggers récents surveillent les clics de la souris et réalisent des captures d’écran.

Cela montre que pour la plupart des systèmes d’authentification, il est possible de concevoir une technique permettant d’espionner l’utilisateur !

Une nouvelle menace : le malvertising

Fausse pub mais vrai menace, le malvertising concerne les bannières publicitaires, bannières qui deviennent infectées, piégées ou piégeuses et qui investissent de nombreux sites comme MySpace, Expedia ou Rhapsody…

Le principe est simple. Ces bannières routent l’internaute sur une page « piégée » qui incite l’internaute au téléchargement d’un logiciel qui se révèle être un malware, lequel s’installe parfois automatiquement dans la machine. Ceci peut s’avérer particulièrement grave lorsqu’il s’agit d’un malware type backdoors qui permet aux hackers de prendre le contrôle du PC désormais infectés.

Difficile d’en connaître l’origine. Les bannières sont achetées à une régie, qui elle-même achète l’espace à des éditeurs de sites. On se trouve alors face à une quantité d’intermédiaires et on ne peut pas savoir qui a procédé à l’action. Très concrètement, le site support qui distribue la bannière malicieuse ne sait pas que cette dernière est infectée. Tout se passe à son insu. Il n’est que l’intermédiaire involontaire entre l’internaute et les pirates.

Les soupçons pèsent sur des groupes opérant depuis les pays de l’Est et la Russie, de la Chine ou de l’Amérique du Sud. Pour l’instant, ces fausses bannières de publicité ne s’affichent qu’en anglais. Mais rien n’empêche de les adapter en français.

Profitant de la notoriété des sites qu’elles parasitent, ces publicités frauduleuses inquiètent les experts en raison de leur mode opératoire. Elles peuvent en effet utiliser les failles de sécurité des navigateurs pour se charger à l’insu du visiteur. De plus, les scripts peuvent détecter le navigateur utilisé et s’adapter à ses vulnérabilités.

Actuellement, les attaques de malvertising sont encore limitées mais avec le développement du Web 2.0, elles devraient avoir tendance à augmenter et à ne plus toucher essentiellement les Etats-Unis.

La virtualisation accroît les risques de sécurité

Synonyme de flexibilité et d’économie, la virtualisation présente un certain nombre de risques encore trop peu pris en compte par les entreprises. Le principal argument consiste à rappeler qu’une machine virtuelle peut être régénérée beaucoup plus rapidement qu’une machine physique.

Or, une machine supportant plusieurs serveurs virtuels est mathématiquement plus vulnérable qu’un serveur physique doté d’une seule instance de système. Sur un serveur physique virtualisé, un problème sur l’un des moteurs d’émulation, dû à l’exploitation d’une faille par exemple, peut en effet entraîner des perturbations au sein des autres instances voire la mise hors service de l’ensemble de la chaîne, notamment si la mémoire est saturée.

De plus, lors de la récente conférence de sécurité Black Hat à Washington DC du 18 au 21 février, un étudiant de l’Université du Michigan, a présenté un logiciel qui permet de prendre le contrôle de l’hyperviseur ESX Server de VMWare et, dès lors, de télécharger des données d’une machine virtuelle.
Plus grave, une autre vulnérabilité découverte par la société Core Security Technologies concernant les clients VMware Workstation, VMWare Player et VMWare ACE autorise un attaquant à prendre le contrôle complet de la machine virtuelle, création, modification et exécution de code comprises. De là, l’attaquant peut accéder au système d’exploitation.

Parmi les règles basiques à suivre, il est impératif de s’assurer de la mise à niveau permanente de ses machines virtuelles et des systèmes qu’elles supportent en matière de correctifs.
Autre élément fondamental, la gestion des droits d’accès doit être exemplaire. On préférera idéalement une centralisation de celle-ci par le biais d’une plate-forme d’annuaire d’entreprise, avec la mise en place de pare feu spécifiques ou la définition de politiques de segmentation réseau au sein des LAN virtuel.

Dans certains cas, la mise en place de zone démilitarisée (virtuelle) est conseillée, en vue notamment de protéger une base de données « sensible » : on peut citer la perte de l’infrastructure dédiée aux services de nom de domaine comme potentiel point de départ d’une défaillance de plus grande importance.

Les solutions de sécurité virtuelles sont encore limitées en comparaison de leurs équivalents physiques. A mesure que la virtualisation progresse, de nouvelles problématiques de sécurité se font jour et le caractère évolutif de ces technologies remet en question l’efficacité des protections traditionnelles.

A ce sujet, l’annonce de VMsafe par VMware est une étape particulièrement importante pour la sécurité des infrastructures virtuelles. En effet, l’éditeur s’apprête à ouvrir son hyperviseur aux éditeurs de sécurité afin que ces derniers soient en mesure de faire fonctionner leurs solutions au coeur même de l’environnement, et non plus sur chaque machine virtuelle comme c’est aujourd’hui le cas.

Attaques sur le net : le top 2008

McAfee, société spécialisée dans la sécurité informatique, a livré sa liste des principales menaces les plus critiques à venir en 2008.

Les réseaux sociaux, veritables phénomènes de l’année 2007, sont une cible évidente : le nombre d’abonnés et la masse d’informations que l’on peut trouver sur des sites tels Facebook ou MySpace en font des proies de choix. De plus, ces sites, fleurons du Web 2.0, privilègient souvent la nouveautés et l’innovation au détriment de la sécurité.

Windows Vista sera la deuxième cible. L’augmentation du nombre d’attaques envers le nouveau système d’exploitation devrait être proportionnelle avec l’augmentation de sa base d’utilisateurs. Microsoft a mis en avant ses efforts concernant la sécurité de son nouvel OS. 2008 devrait permettre de tester sa robustesse et de prouver sa fiabilité.

Les logiciels de téléphonie par Internet, tel Skype, devraient être la cible d’un nombre beaucoup plus important d’attaques. McAfee prévoit que cette augmentation sera de l’ordre de 50% en 2008.De même, la messagerie instantanée avec Windows Live Messenger en tête, ne sera pas oubliée.

En revanche, 2008 devrait marquer le déclin des adwares. Les internautes se seraient-ils habitués à la publicité sur Internet ?

Sécuriser son architecture de téléphonie sur IP

Avant de se lancer dans la mise en oeuvre d’une solution de téléphonie sur IP (ToIP), il est vivement conseillé de procéder à un audit de sécurité du réseau. Cet audit servira alors de socle à la mise en place de la sécurisation de la solution. En effet, la sécurisation d’une infrastructure de téléphonie sur IP ne se limite pas à la sécurité d’un réseau IP traditionnel.

Le premier objectif est de garantir la continuité de service (obligatoire en téléphonie). Cela peut conduire à une mise à niveau de l’infrastructure réseau LAN. Prenons par exemple le cas de téléphones IP téléalimentés par le câble Ethernet. Mieux vaut prévoir que tous les commutateurs, garants de cette téléalimentation, soient secourus par des onduleurs.

Le second objectif concerne la protection contre les actes de malveillance, internes ou externes. Aux attaques « classiques » (utilisation de fausses requêtes ARP, manipulation des tables ARP des postes IP, usurpation d’adresses IP,…), s’ajoutent d’autres attaques comme l’écoute des conversations. Ces attaques sont relativement simples à mettre en oeuvre, des outils étant en effet en téléchargement libre sur Internet. Il est donc indispensable de séparer le trafic voix du reste des données transitant sur le réseau. Cette opération consiste à créer des réseaux locaux virutels (VLAN), voués à la téléphonie sur IP. Ensuite, il est impératif de mettre en place une politique de sécurité afin de contrôler les postes autorisés à se connecter au réseau (soit en ayant recours à des listes de contrôles d’accès, soit à des mécanismes d’authentification comme le protocole 802.IX).

Le troisième objectif consiste à protéger les communications à la sortie et/ou à l’entrée de l’entreprise. Pour cela, l’utilisation d’une solution de VPN IPSec s’impose naturellement. De même, pour vérifier le flux entrant, les éditeurs de pare-feu prennent désormais en compte les protocoles SIP, MGCP et H.323. Dans tous les cas, il faut surveiller le temps de latence dû à l’analyse du datagramme IP. Comme bien souvent, il sera nécessaire de faire des compromis entre performances et sécurité.

N’oubliez pas : le niveau de sécurité d’un système est celui du maillon le plus faible de la chaîne. Il convient donc d’intégrer la notion de sécurité très tôt dans le projet de téléphonie sur IP.

Sécurité : les boîtiers UTM

L’UTM (Unified Threat Management ou gestion unifiée des menaces) définit un boîtier regroupant diverses fonctions de sécurité relatives au filtrage des flux.
Outre le pare-feu traditionnel, un seul équipement UTM peut intégrer un système de détection et prévention des intrusions (IDS ou IPS), un antivirus de passerelle, du filtrage anti-spam, un réseau privé virtuel (VPN), voire une gestion de la bande passante et de la qualité de service.

Cette approche de la sécurité centralisée correspond aux besoins de sécurité actuels des PME. Ainsi, grâce à sa facilité d’installation, son administration simplifiée et centralisée et de par sa maîtrise des coûts, le boîtier de sécurité UTM est presque devenu un consommable, interchangeable d’une marque à l’autre.

Attention cependant aux choix que peuvent faire les différents constructeurs :
– en ce qui concerne l’OS, Open Source (une trop grande ouverture peut parfois être préjudiciable en ce qui concerne la sécurité) ou propriétaire (meilleure intégration de chacune des fonctionnalités)
– en ce qui concerne le choix de l’antivirus fourni dans le boitier (et de sa conhérence avec ceux installés sur les postes de l’entreprise)
– boitier équipé d’un disque dur ou d’une mémoire flash (compromis entre la taille de stockage et la tolérance aux pannes)
– choix du processeur (est-il performant si l’entreprise fait de la VoIP ?)
– gestion de la redondance (si vous n’avez qu’un seul boîtier et si le boîtier vient à tomber en panne, c’est toute la sécurité informatique de l’entreprise qui s’écroule !)

Enfin, pensez à vérifier que les revendeurs soient des experts sur chacune des technologies contenues dans leurs boîtiers UTM, de manière à vous les expliquer, à vérifier leur adéquation avec vos besoins et ainsi être capables de les paramétrer et de les intégrer à votre système d’informations.

Surfer “sur la toile” peut devenir dangereux !

Visiter un site web et retrouver son PC infecté par un cheval de Troie est une menace de plus en plus courante (voir l’article de la rubrique « Chiffres »). Dans sa dernière étude, qui portait sur le premier trimestre 2007, l’éditeur d’antivirus Sophos affirme avoir dénombré, chaque jour, quelque 5 000 nouvelles pages de sites web infectées par des logiciels malveillants.

Les deux tiers des sites web porteurs de malwares n’ont pas été créés à cet effet mais seulement infectés par des pirates, soit car leurs responsables n’ont pas appliqué comme il se doit les correctifs de sécurité correspondant aux applications sous-jacentes (PHP, mySQL, Java, etc), soit que les applications elles-mêmes aient été codées avec médiocrité, soit tout simplement faute de maintenance.

Une autre méthode de plus en plus utilisée par les hackers consiste à acheter en toute légalité de l’espace publicitaire, notamment les « liens commerciaux » sous Google sélectionnés en fonction de mots-clés. Ces liens ont, dans leur immense majorité, été achetés par des annonceurs afin d’attirer les clics des internautes. Certains hackers tiennent malheureusement le même raisonnement et achètent donc également des emplacements pour leurs liens. En cliquant sur l’un de ces liens, la victime est acheminée sur un site où elle sera encouragée à cliquer de nouveau sur un objet qui se révélera être un malware.

La seule parade consiste, comme toujours, à maintenir son ordinateur rigoureusement à jour, c’est-à-dire à appliquer systématiquement les correctifs de sécurité téléchargés par Windows Update, lesquels valent aussi bien pour le système d’exploitation que pour Internet Explorer, ainsi que les patches correspondant aux principales applications. L’antivirus actif sur la machine doit également être constamment remis à jour.

Retour en arrière…

Souvenez-vous, il fut un temps, avant l’avènement de l’internet, où les virus se transmettaient par une chose que l’on appelait « disquette », premier support amovible de l’histoire du PC.

Et bien, aujourd’hui, certains virus peuvent se propager en utilisant les supports amovibles, comme une clé USB ou un disque dur externe. Pour vous en prémunir, désactiver dans Windows le lancement automatique des supports amovibles (clé, CD, DVD…)

Pensez à mettre à jour votre antivirus !