La sécurité informatique vu d'ici

Mot de passe Windows 7 perdu

2012-01-20T10:50:00.000-08:00

Ce n’est pas une nouveauté, mais pour ceux qui ne connaissent pas ça peut économiser une réinstallation et tout ça en moins de 10min.

Il suffit simplement d’un Live CD, linux dans mon cas et de démarrer dessus.
La technique est simple et fonctionne aussi sur Vista normalement.
Il permet de réinitialiser un mot de passe oublié, de créer un compte, d’activer le compte administrateur local…

Le principe est de remplacer l’exécutable Utilman.exe, qui gère les options d’ergonomie, options disponibles dès l’ouverture de session via cet icone bleu , par l’invite de commande cmd.exe.
Ainsi en cliquant sur l’icône des options d’ergonomie, l’invite de commande se lance et dispose de droits permettant un certain nombre d’opérations d’administration.
Partant du principe que les lecteurs de se blog ont un minimum de bases en informatique, je ne détaillerais pas comment booter sur un cd, lire un fdisk etc…

#Selon le livecd, vous risquez de devoir mettre sudo devant les commande suivantes.

#Afficher la liste des partitions pour savoir quelle partition est celle contenant le système Windows
fdisk –l
#Monter la partition Windows (dans le cas présent 1ere partition du 1er disque dur)
mount –t ntfs-3g /dev/sda1 /mnt
#Se déplacer dans le dossier system32 de la partition Windows
#Attention les majuscules sont importantes
cd /mnt/Windows/System32
#Renommer Utilman.exe
mv Utilman.exe Utilman.exe.bak
#Copier cmd.exe sous le nom Utilman.exe
cp cmd.exe Utilman.exe
#Redémarrer
init 6

Il suffit ensuite de cliquer sur l’icone bleu d’option d’ergonomie pour voir afficher le prompt de l’invite de commande.

Petit rappel des commandes utiles dans le cas présent :
#Afficher la liste des utilisateurs
net user
#Réinitialiser le mots de passe oublié
net user nom_utilisateur *
#Activer le compte administrateur local éventuellement
net user administrateur /active:yes

Une fois terminé, vous pouvez vous connecter avec le mot de passe ainsi modifié.
Pensez à remplacer le Utilman.exe par le Utilman.exe.bak d’origine pour remettre les choses dans leur état initial.

Introduction au mécanisme de hash en cryptographie

2011-08-29T11:55:00.001-07:00

Voici, un billet présentant les fonctions de hachage en cryptographie

Le hachage (hash) est un moyen de vérifier l'intégrité de l'information et donc prouvé que les données transmises n’ont pas été modifiées entre la source et la destination. Les fonctions de hachage permettent de créer une empreinte électronique (fingerprint ou message digest).

Les mécanismes les plus courants pour la vérification de l’intégrité d’un message sont Message Digest 5 (MD5), Secure Hash Algorithm (SHA-1, SHA-256, SHA-384 et SHA-512), Message Authentication Code (MAC) et Keyed-Hash Message Authentication Code (HMAC).

Le chiffrement assure l'intégrité de manière intrinsèque puisque si un bloc de texte chiffré a été modifié, le bloc ne sera pas déchiffré correctement. La signature numérique fournit également l'intégrité, car elle utilise des fonctions de hachage.

Figure 1 : Les mécanismes assurant l'intégrité

Les empreintes électroniques ou hachages doivent être uniques. Cette unicité est nécessaire parce que deux documents qui sont très semblables ont besoin de créer des hachages complètement différent pour aider à protéger les fichiers d’une falsification.

Une propriété souhaitable de toute fonction de hachage cryptographique est l'effet avalanche. L'objectif est qu’un tout petit changement en entrée doit entraîner un changement important en sortie. Si un attaquant venait à modifier un bit dans le fichier, l’empreinte électronique doit changer d’au moins 50 % de ses bits. Cela empêche un attaquant de comparer deux hachages similaires et de déterminer que ses valeurs proches de hachage signifient que les fichiers sont deux fichiers similaires.

Une fonction de hachage doit avoir les propriétés suivantes :
• Compression : La valeur de hachage a une longueur fixe quel que soit la taille du message.
• Efficacité : Il est relativement facile à calculer pour un message donné.
• Sens-unique : Il est mathématiquement impossible d’inverser le hachage.
• Forte résistance aux collisions : « Impossibilité » d’obtenir deux haches identiques à partir de deux différents messages.

Une fonction de hachage est une « fonction de hachage forte» si elle satisfait toutes les propriétés ci-dessus.

Figure 2 : Processus de vérification d'intégrité

Le Troyen qui fait réinstaller Windows

2011-06-29T01:57:00.000-07:00

Il est des infections qui méritent un peu plus qu’un entrefilet dans une base de signatures. C’est le cas de l’équidé Win32/Popureb.E qu’a analysé avec attention Monsieur Chun Feng du Microsoft Security Research Center, et qui vaut à cette infection tout un billet avec dump à l’appui. Un cheval dont les méthodes d’attaques semblent relativement « bourrines », puisque son imbrication dans le noyau semble résister à toute tentative d’élimination par des moyens conventionnels.
Plus d'information sur l'article : Le Troyen qui fait réinstaller Windows

Les stratégies de sécurité des entreprises souvent obsolètes

2011-06-28T05:02:00.000-07:00

Selon une étude sponsorisée par l'éditeur Fortinet, davantage d'entreprises françaises que dans le reste de l'Europe n'ont pas de stratégie en sécurité ou ne l'ont pas réévaluée depuis au moins trois ans. Pourtant les menaces ont beaucoup évolué.
Plus d'information sur l'article : Les stratégies de sécurité des entreprises souvent obsolètes

Les experts de la gendarmerie passent au logiciel libre

2011-01-20T09:38:00.000-08:00

Au diapason de la gendarmerie qui adopte les logiciels libres étape par étape, son labo de recherche criminelle, l'IRCGN, adopte de même l'open source. "Nous avons tout intérêt à partager nos outils avec les autres forces de police", explique aux Echos son responsable SI.
Plus d'information sur l'article : Les experts de la gendarmerie passent au logiciel libre

Protection des mots de passe Cisco

2010-12-12T12:16:00.000-08:00

Bonjour à tous ceux qui suivent le blog!
Comme vous avez pu le constater, très peu d'actualités ici depuis quelques temps mais ça devrait revenir doucement à la normale.

Un petit billet, sur la protection des mots de passe sur les équipements Cisco, lié à une petite mésaventure.
J'avais tout simplement perdu le mot de passe telnet d'un switch Cisco. Merci au fait que les mots de passe telnet, console et auxiliaire soient, dans mon cas, cryptés via le "service password-encrytion" et que le cryptage utilisé dans ce cas soit réversible. Il m'a suffit d'aller sur la sauvegarde de la configuration, de passer sur internet avec une recherche du style : decrypt 7 cisco. Et là plein d'utilitaires online pour decrypter le mots de passe.

J'en profite pour faire un petit rappel sur les recommandations Cisco en matière de mot de passe :

Utiliser un mot de passe d'au moins 10 caractères. On peut exécuter la commande "security password min-length 10" pour s'assurer que cette recommandation soit respectée.
Utiliser des caractères alphanumériques (minuscule et majuscule), caractères spéciaux. Un espace est un caractère spécial valide sauf s'il est utilisé au tout début du mot de passe, dans ce cas il est ignoré.
Le mot de passe ne devrait pas être un mot commun que l'ont peut trouver dans un dictionnaire.
Créer une politique qui définit quand les mots de passes doivent être changés.
Utiliser la commande "enable secret" plutôt que "enable password". La première crypte le mot de passe (MD5) ne permettant pas ainsi de lire le mot de passe à l'œil nu dans la configuration, tandis que la deuxième laisse le mot de passe en clair. La commande "enable password" n'est à utiliser que si l'IOS ne supporte pas la commande "enable secret".
Les mots de passe telnet, console et auxiliaires sont stockés en clair dans la configuration. Il est nécessaire d'utiliser la commande "service password-encryption" pour qu'ils soient cryptés. Le service utilise un algorithme de cryptage propre à Cisco basé sur "le chiffre de vigenere". Ce cryptage est facilement réversible comme indiqué au début du billet.

Note : L'encryption MD5 est désignée par un 5 par Cisco. L'encryption propriétaire à Cisco est désignée quand à elle par un 7. Il existe aussi une encryption "6", plus d'informations encrypt pre-shared key.

Le cryptage MD5 n'est pas en reste puisqu'en faisant une recherche "md5 decrypt" vous trouverez un panel de site vous proposant de "décrypter" le hash MD5 de votre mot de passe.

Cursor Jacking - Proof of concept

2010-08-16T23:42:00.000-07:00

Cursor Jacking est une attaque de type ClickJacking qui a pour particularité de "créer" un décalage entre l'endroit où vous semblez cliquer et l'endroit où vous cliquez réellement. De ce fait, un pirate pourrait vous faire, en théorie, cliquer n'importe où dans une page web.

Informations et démonstration sur static.vulnerability.fr

Lancer un malware sans toucher a la base de registre

2010-07-21T04:25:00.000-07:00

Nick Harbour, dans un article publié sur M-unition, s’intéresse aux différentes méthodes permettant de lancer un exécutable sans toucher ni à la base de registre, ni au répertoire de démarrage, ni aux autres méthodes conventionnelles connues à ce jour.

Le principe de son « lanceur de malware » est assez subtil : il repose sur l’ordre de recherche et d’exécution des dll appelées par un programme.

Lire l'article complet : Lancer un malware sans toucher à la BDR : le DLL-Hell frappe encore

Nouvelle faille de sécurité Windows toutes versions

2010-07-19T04:22:00.000-07:00

Dans un bulletin de sécurité publié le 16 juillet, Microsoft confirme l'existence d'une vulnérabilité non corrigée de son système d'exploitation Windows. D'après les premières informations communiquées, la faille se situe au niveau du composant Windows Shell et découle d'une erreur dans le traitement des fichiers de raccourci en .LNK.

Selon Microsoft, cette vulnérabilité affecte les différentes versions de l'OS, à savoir 2000, Windows XP (dont le SP2 qui n'est plus supporté et ne bénéficiera dont pas d'un correctif), Vista, Seven, Server 2003 et 2008.

lire l'article complet : Découverte d'une faille de sécurité affectant toutes les versions de Windows

Le Tabnabbing un nouveau type d'attaques par Phishing

2010-05-26T01:26:00.000-07:00

Le Tabnabbing est un nouveau type d'attaques par Phishing visant à modifier le contenu d'un onglet déjà ouvert et cela après une période définie d'inactivité. Elle part du principe que la vigilance est moindre dès lors que des actions malicieuses interviennent sur un onglet ouvert préalablement.
Un chercheur vient d'exposer un nouveau type d'attaque par Phishing autorisant son instigateur à se servir d'un script qui va s'exécuter dans le but de modifier, après un certain laps de temps, le contenu de la page dont il est issu. Cette technique est bien entendu dépendante du fait que la victime navigue au préalable sur un site contrôlé par l'attaquant et que le script en question puisse être exécuté.

Lire l'article complet : Le Tabnabbing un nouveau type d'attaques par Phishing

IAWACS 2010 PWN2KILL, ils en parlent

2010-05-13T02:41:00.000-07:00

La deuxième édition du concours IAWACS (International Alternative Workshop on Aggressive Computing and Security) a eu lieu à Paris, à l'ESIEA, le week end dernier.

L'objectif était de passer outre la protection du logiciel antivirus dans un environnement Windows 7 en mode utilisateur, sans connexion internet et avec les applications communes installées (Suite Microsoft, Suite OpenOffice, Pdf reader...).

Les résultats sont très loin d'être glorieux pour les antivirus. Voici une liste d'articles sur le sujet :

iAWACS 2010 : les antivirus déjoués en masse
iAwacs 2010 ou la défaite par K.O. des antivirus
Challenge iAWACS 2010 : comment les antivirus sont tombés
iAwacs 2010, la sécurité informatique est un sport de combat
iAwacs 2010, sécurité sans obscurité
iAwacs 2010 : des virus et des hommes
iAwacs 2010, sur les traces des perversions polymorphes
Bilan iAWACS 2010 : les outils de sécurité tombent, il faut revoir les politiques de sécurité
Challenge PWN2KILL : les antivirus pas assez efficaces
Quinze antivirus mis en échec par des étudiants en informatique
le marketing des antivirus contesté lors du concours Pwn2kill

Google classe et défie les gouvernements

2010-05-08T00:52:00.000-07:00

Les États n'ont qu'à bien se tenir : Google vient de publier une carte des requêtes gouvernementales adressées à ses services. En clair, le géant du Web dévoile, sur un planisphère, le nombre de demandes d'accès aux données privées et le nombre de demandes de suppression de contenus qu'il a reçues de la part de chaque gouvernement, ou presque. Un document très instructif...

"Nous voulons augmenter la transparence", a expliqué Peter Fleischer, conseiller de Google pour les données personnelles, lors de la présentation de la page "Government Requests" au siège parisien.

Lire l'article complet : Libertés : Google classe et défie les gouvernements

Google, Hadopi et Pages Jaunes nommés aux

2010-05-08T00:45:00.000-07:00

Comme chaque année, les Big Brother Awards élisent les pires pourfendeurs de la vie privée. Sociétés comme élus, surtout au gouvernement, figurent parmi les peu prestigieux nominés : Facebook, TMG, Nadine Morano, ...

La nomination d'une société ou d'un individu aux Big Brother Awards n'a rien de particulièrement valorisant. Comme chaque année, ce concours vise à élire ceux ou celles qui ont porté le plus atteinte à la sphère privée.

Comme pour le Festival de Cannes, la liste des nominés a été dévoilée. Ils seront nombreux cette année encore à prétendre aux titres bien peu prestigieux (pour les élus), dans des catégories comme Internet.

Lire l'article complet : Google, Hadopi et Pages Jaunes nommés aux Big Brother Awards 2010

Seedfuck et Hadopi

2010-05-01T09:34:00.000-07:00

La diffusion de l’outil de torrent poisoning Seedfuck inquiète le député Michel Zumkeller qui craint de voir des abonnés à Internet être injustement accusés de téléchargement illégal. L'identification des téléchargeurs présumés par leur IP est de nouveau remise en cause.

Le logiciel de torrent poisoning fait désormais parler de lui jusque dans l'Hémicycle. Le député UMP Michel Zumkeller a officiellement déposé une question à l'attention du ministre de la Culture, Frédéric Mitterand.

Lire l'article complet : Le ministre de la Culture invité à s’exprimer sur l’impact de Seedfuck sur l’application d’Hadopi

Les mises en garde du nouveau patron de l'intelligence économique

2010-05-01T09:29:00.000-07:00

Nommé il y a six mois à la tête de la délégation interministérielle à l'intelligence économique, Olivier Buquen met en garde les PME. Leurs secrets ne sont pas assez bien gardés.

Lire l'article complet : Les mises en garde du nouveau patron de l'intelligence économique

8e rapport de sécurité signé Microsoft

2010-04-26T09:36:00.000-07:00

Microsoft a présenté, vendredi à ZATAZ.COM, la 8ème édition de son rapport de sécurité semestriel portant sur l´analyse d´un demi-milliard d’ordinateurs. Pour Microsoft, aucun doute, le cybercrime organisé est en pleine expansion. Microsoft a présenté, vendredi en avant-premiére à ZATAZ.COM, son 8e volume de son rapport SIR (Security Intelligence Report). Un rapport diffusé ce jour, partout dans le monde. 240 pages d'analyses du second trimestre 2009. Pour cette étude, Microsoft a fait appel à ses différentes sources de données :

Lire l'article complet : 8e rapport de sécurité signé Microsoft

Détecter et supprimer les Alternate Data Stream

2010-04-13T10:25:00.000-07:00

Comme nous avons pu le voir dans l’article Le danger des flux additionnels - ADS : Alternate Data Stream les Alternate Data Streams permettent de cacher des fichiers aux yeux de l’utilisateur et du système.
Mais comment les détecter et les supprimer.
Outre l’utilisation classique d’antivirus, pare-feu, anti-spyware et la mises à jour de votre système, il existe quelques utilitaires tierces gratuits.

Utilitaires gratuits pour détecter les ADS

StrmExt
Outils mis à disposition par microsoft
Une fois ntfsext.exe télécharger, extraire le contenu puis rentrer dans le dossier ntfsex, extraire le contenu de StrmExt.zip, se déplacer dans le dossier StrmExt et dans ReleaseMinDependency.
Puis copier le fichier StrmExt.dll dans “c:\windows\system32”.
Finalement faire démarrer > exécuter > taper "regsvr32 StrmExt.dll"
Une fenêtre s’ouvre indiquant la réussite de votre commande.
Il vous suffit de faire un clic droit propriété sur un fichier pour voir un onglet stream supplémentaire.

HijackThis
Outil graphique, un tutoriel d’utilisation est disponible sur malekal.com

Streams
Fonctionne en ligne de commande, il permet d’examiner les fichiers et dossiers spécifiés et indique le nom et la taille des flux trouvés dans ces fichiers. Il peut aussi supprimer des flux.

LADS - List Alternate Data Streams
Fonctionne en ligne de commande, il permet de lister les ADS existant.

ADS Locator
Outil graphique permettant de recherche des flux ADS sur vos disques.

Les outils de JC Bellamy
JC Bellamy propose des outils en ligne de commande ou graphique pour énumérer les ADS.

LNS - List NTFS Streams
Fonctionne en ligne de commande et permet de rechercher les Alternate Data Streams.

StreamArmor
Fonctionne en mode graphique et sans installation. Il permet de scanner l'ordinateur à la recherche de flux ADS et de supprimer les flux.

Supprimer les flux alternatifs de données

Il est possible de supprimer un flux ADS en utilisant les méthodes suivantes :
1. Utiliser un utilitaire tel que Hijackthis, StreamArmor, streams ou StrmExt.
2. Copier les fichiers sur un système de fichier non NTFS (clé USB en FAT32 par exemple).
3. Copier le contenu du fichier légitime dans un autre fichier en utilisant cette commande (ne fonctionne pas avec un dossier) :
rename fichier_original.exe copie_originale.exe
type copie_originale.exe > fichier_original.exe
del copie_originale.exe
4. Cette méthode ne permet pas de supprimer le flux mais de limiter l'espace disque utilisé par un flux en l'écrasant (modifier le nom ads.txt par celui du flux que vous souhaitez écraser).
echo "" > fichier.txt:ads.txt

Usurpation d´identité

2010-04-11T10:12:00.000-07:00

D´après un sondage 10 % des internautes français ont été victimes d´usurpation d´identité au cours des 12 derniers mois.

D'après un sondage en ligne réalisé par YouGov à la demande de VeriSign Inc. (NASDAQ : VRSN), fournisseur réputé de services d'infrastructure sur Internet pour le monde en réseau, 10 % des internautes français ont été victimes d'usurpation d'identité au cours des 12 derniers mois. En moyenne, la somme dérobée s'élève à 1 300 €, 25 % des victimes se plaignant de ne pas avoir pas été remboursées.

Lire l'article complet : Usurpation d´identité

Droit et Internet mars 2010

2010-04-11T10:06:00.000-07:00

Retour sur l´actualité juridique Internet et informatique du mois de mars 2010 proposée par le cabinet d'avocats Murielle-Isabelle Cahen.
ALLEMAGNE
La loi de conservation des données de connexion censurée outre-Rhin
Le tribunal constitutionnel allemand a censuré une loi de 2008 qui autorisait la rétention pendant six mois des données téléphoniques et Internet. Il invoque une atteinte à la vie privée. La conservation des données de connexion est nécessaire à des fins de sécurité et d'enquête. Mais ce n'est pas une raison pour faire n'importe quoi. C'est la leçon donnée en substance par le tribunal constitutionnel allemand au législateur. Il a en effet censuré une loi de 2008 qui prévoyait la conservation par les opérateurs de données de connexion, d'échanges de courriels et de données téléphoniques pendant six mois, afin que des enquêteurs puissent éventuellement y avoir recours. Le tribunal estime que ce texte de loi portait atteinte à la vie privée et au droit à avoir une correspondance privée. Plus exactement, il ne juge pas la conservation de ces données illégitime en elle-même. Mais il trouve disproportionnées les mesures prévues au nom de la sécurité en regard des droits qui sont bafoués. (01net)

Lire l'article complet : Droit et Internet online

Hackito ergo sum, le Tout Paris du hacking

2010-03-28T11:25:00.000-07:00

Le programme de la première conférence Hackito ergo sum vient d’être arrêté et publié sur le site de la manifestation. Durant 3 jours, du 8 au 10 avril prochain, plusieurs spécialistes sécurité se succèderont dans les locaux de l’espace Main d’œuvre, 1 Rue Charles Garnier à Saint-Ouen(M°Porte de Clichy).
Rodrigo Branco parlera de TPM, Benjamin Henrion titillera les routeurs ADSL de certains FAI d’Outre Quiévrain, Carlos Sarraute de Core Security dissertera sur le pentesting, et son collègue de travail, Luis Alvarez Medina, dévoilera certains aspects aussi intéressants qu’indiscrets d’Internet Explorer. A ne pas manquer non plus un petit voyage dans la mémoire physique d’OS/X, par Mathieu Suiche le papa de Sandman, une virée dans le monde de la VoIP et de ses vulnérabilités, par Sandro Gauci, immédiatement suivi, communauté de thème oblige, par un exposé du Maître de Cérémonie et organisateur Philippe Langlois, qui conviera l’assistance à visiter le royaume du SS7. L’on reparlera également de crack du GSM, de FPGA avec notamment une description des travaux de Sébastien Bourdeauducq sur Milkymist, de crochetage de serrures… sans oublier l’inévitable concours « stop the Fed » que l’on pourrait rebaptiser en «découvrez les barbouzes ».

Source www.cnis-mag.com : Hackito ergo sum, le Tout Paris du hacking

Guide de sécurisation de Windows face aux menaces des périphériques amovibles

2010-03-27T04:53:00.000-07:00

J'évoquais dans un article Les dangers de la clé USB

Voici un Guide de sécurisation face aux menaces des périphériques amovibles
"Au travers de ce guide complet, vous découvrirez les étapes permettant de sécuriser différentes versions de Windows (XP, Vista et Windows 7) face aux menaces des périphériques amovibles. Après avoir vu ensemble le fonctionnement de ces menaces, nous étudierons les différentes protections possibles à mettre en place en fonction des cas de figures rencontrés. "

Lire le guide de sécurisation de Windows face aux menaces des périphériques amovibles

Usb-set : Logiciel de prévention contre les risques des supports amovibles

2010-03-27T04:48:00.000-07:00

J'évoquais dans un article Les dangers de la clé USB

Et voici la sortie de USB-Set qui est un outil de prévention destiné à vous aider à configurer votre PC pour limiter les risques de propagation des infections par supports amovibles entre votre PC et ces supports.
Avec USB-set, vous pourrez régler facilement les fonctions Autorun et Autoplay de Windows, nettoyer les traces laissées par d'anciens supports amovibles, activer/désactiver la reconnaissance de ce type de périphériques, vacciner les disques présents et installer le résident qui s'occupera de vacciner tout périphérique de stockage amovible inséré ultérieurement.

Téléchargement de usb-set
Tutoriel sur USB-Set

Quel est l’avenir du hacking et de l’intrusion cybernétique ?

2010-03-24T13:54:00.000-07:00

On voyait les hackers comme des individus cinglés ou criminels. Quelques évènements récents attirent l’attention sur le fait que ce sont de plus en plus souvent des organisations qui agissent dans un but politique défini.

Un nouveau mot est apparu parmi les spécialistes : « hacktiviste » désigne les activistes qui, employant les méthodes et les compétences des hackers, pénètrent les réseaux des autorités, les perturbant, les paralysent.

Le Global Internet Freedom Consortium (GIFC) créé aux Etats-Unis par des membres du Falum Gong chinois est réputé produire les plus puissants programmes permettant de casser les murailles de la censure. Ces cyberactivistes ont d’abord travaillé sur la Chine mais ils interviennent maintenant en Iran.

Des réseaux de plus en plus nombreux pratiquent l’intervention cybernétique pour protéger la libre circulation de l’information de l’intervention des Etats. Et d’autres Etats, partisans de la libre information, peuvent les appuyer. Par exemple, Freedom House et Sesawe Consortium qui pratiquent l’intrusion cybernétique seraient financés par le State Department.

Lire l'article complet : Quel est l’avenir du hacking et de l’intrusion cybernétique ?

Le danger des flux additionnels - ADS : Alternate Data Stream

2010-03-18T09:07:00.000-07:00

ADS signifie Alternate Data Stream (flux de données additionnels). Cette technique ne concerne que les systèmes de fichiers NTFS utilisé sous Windows.
Elle permet de cacher des flux de données dans un fichier totalement légitime. Ces flux peuvent être un simple fichier texte, une image ou bien du code exécutable.
Ces données cachées sont totalement invisibles pour l’explorateur ou même l’invite de commande Windows. La taille du fichier qui contient un ou plusieurs flux est tout simplement la même que celle du fichier ne contenant aucun flux.
Une technique qui intéresse particulièrement tout individu souhaitant cacher des fichiers, virus, chevaux de troies… aux yeux du système et de l’utilisateur.

Mais alors pour quelles raisons Microsoft a-t’il implémenté une telle fonctionnalité dans son système de fichier NTFS?
Une des raisons principales du support des ADS par Windows est de permettre le support du système de fichiers Macintosh Hierarchical File System (HFS) et ainsi de permettre à un système de type Windows d'être serveur de fichiers pour des clients Macintosh.
De nos jours, ils sont aussi utilisés par les antivirus qui stockent les checksums (sommes de vérification qui assurent l’intégrité du fichier) dans un flux, par des applications comme Internet Explorer, Outlook Express ou Windows Messenger qui marquent les fichiers qui en sont issus pour prévenir l’exécution de ces derniers. Le système de quotas, depuis Windows server 2003 R2, utilise aussi les Alternate Data Streams.

Les principaux dangers
- Les flux ne sont visibles que par des logiciels spécialisés tierces.
- Les flux ne s'attachent pas seulement aux fichiers, mais aussi aux répertoires ou racine d’un volume.
- Il peut y avoir plusieurs flux attachés à un même fichier.
- Sans outil spécifique, la suppression d’un flux nécessite soit la suppression du fichier hôte, soit le déplacement déplacement du fichier hôte vers un système de fichier non NTFS (une clé USB formatée en FAT32 par exemple).
- Le système ne prenant pas en compte la taille des flux, il peut indiquer un espace disque disponible important alors que votre disque est plein, entrainant ainsi un dysfonctionnement.
- Les flux peuvent être exécutés.
- Selon le système, seul le nom du fichier hôte peut apparaître lors de l'exécution d'un flux.

Les ADS en pratique
Il est techniquement assez simple de créer des ADS.

Lancer un invite de commande (démarrer > exécuter> taper cmd puis entrée)
Ensuite il suffit de créer un dossier pour faire les tests :
mkdir c:\testads

Puis se déplacer dedans :
cd c:\testads

Il faut ensuite créer un simple fichier texte avec un peu de contenu grâce à :
echo "Ceci est un simple fichier texte" > fichier.txt
De lancer la commande "dir" pour afficher le contenu du dossier et la taille du fichier et l'espace disque disponible :
dir
Nous pouvons maintenant créer un ADS :
echo "Ceci un 2e fichier cache dans un flux de donnees" > fichier.txt:ads1.txt
Ensuite effectuer la commande dir pour constater que la taille du fichier, le contenu du dossier et l'espace disponible sont identiques :
dir
Pour ouvrir le fichier texte classique, utilisez :
start fichier.txt
ou bien
notepad fichier.txt
Pour ouvrir l'ADS, utilisez :
notepad fichier.txt:ads1.txt

Vous pouvez créer un deuxième ADS et constater que le résultat de la commande "dir" est toujours le même et l'ouvrir lui aussi :

echo "Ceci un 2e fichier cache dans un flux de donnees" > fichier.txt:ads2.txt
dir
notepad fichier.txt:ads2.txt

Il est possible de faire la même chose avec d'autres fichiers même des exécutables, par exemple en utilisant notepad.exe qui correspond au bloc note et calc.exe qui correspond à la calculatrice (%windir% correspond au dossier contenant les fichiers windows par défaut c:\windows) :
type %windir%\system32\calc.exe > %windir%\system32\notepad.exe:calc_ads.exe
start %windir%\system32\notepad.exe:calc_ads.exe
La calculatrice s'ouvre.
Ces manipulations nécessitent qu'à un moment donné le fichier que l'on souhaite insérer dans un flux soit existant comme un "simple" fichier (par exemple calc.exe). Une fois placé dans le flux, le fichier "simple" d'origine peut alors être supprimé.

Prochain épisode "Détecter et supprimer les Alternate Data Streams"

Les députés devraient-ils être sensibilisés à la sécurité informatique ?

2010-03-17T01:16:00.000-07:00

De nombreux députés utilisent des services grand-public comme le webmail. Or, l’accès à ces comptes de messagerie est souvent facile à obtenir en exploitant le système de restauration de mot de passe. Deux députés en ont récemment fait les frais.

Trop imprudents les députés français ? A en croire un article publié sur le site des Inrocks, la question mérite en tout cas d'être posée.

Suite à la publication d'un billet sur les travaux de chercheurs britanniques relatifs à la faiblesse du système de question de sécurité des webmail, le journaliste Nicolas Kayser-Bril a reçu des captures d'écran des comptes de messagerie de deux députés : Pierre Forgues et philippe Goujon.

Lire l'article : Les députés devraient-ils être sensibilisés à la sécurité informatique ?