SlideShare a Scribd company logo

Social Engineer Toolkit: quand la machine attaque l’humain

M
michelcusin
Technology
1 of 5
Download to read offline
T EC H NIQU E Social Engineer Toolkit: quand la machine Comme les infrastructures réseau sont de plus en plus sécurisées et difficiles à attaque l’humain pénétrer de l’extérieur, pourquoi ne pas utiliser des machines pour exploiter les humains afin d’atteindre l’accès au PAR MICHEL CUSIN, architecte de sécurité – Bell réseau et de l’attaquer de l’intérieur ? C’est un fait bien connu, la sécurité d’un réseau est aussi forte que son maillon le plus faible. Ce que beaucoup de gens ne réalisent pas, c’est que, trop souvent, ce maillon faible, c’est eux. Les cybercriminels l’ont compris depuis bien longtemps et sont passés maîtres dans l’art d’exploiter ce maillon faible qu’est l’être humain. L’ingénierie sociale (social engineering) est l’art d’exploiter les failles humaines afin d’obtenir l’accès à un système ou à de l’information. Il existe plusieurs volets à cette discipline et tous les coups sont permis pour quelqu’un de vraiment déterminé. L’ingénieur social peut tenter de se faire passer pour quelqu’un d’autre, feindre une situa- tion d’urgence afin de mettre une pression sur sa « victime », l’intimider verbalement, tenter de la corrompre financièrement, et j’en passe. Toutes ces méthodes impliquent des interactions entre des individus, ce qui peut entraîner des situations stressantes et inconfortables. Dans certains Michel Cusin œuvre dans le domaine de la sécurité cas, par exemple lors d’un test d’intrusion, il se peut que ce type d’approche ne soit pas envisa- depuis plus d’une décennie. Il geable pour diverses raisons. Alors, comme une approche impliquant l’ingénierie sociale tradi- travaille actuellement comme tionnelle n’est pas toujours possible, pourquoi ne pas tenter une nouvelle approche en utilisant un analyste en sécurité au sein logiciel ou une machine pour exploiter les gens à notre place ? du groupe Security Testing C’est là qu’entre en scène un outil comme le Social Engineer Toolkit (SET). Rassurez-vous, and Incident Handling Team (STITH) de Bell Canada. Dans SET n’est pas un robot ni un super ordinateur doté d’une forme d’intelligence artificielle complo- le passé, il a travaillé comme tant pour dominer le monde des humains comme dans le scénario du film L’œil du mal (Eagle Eye1) instructeur et consultant en ou encore comme Skynet dans Terminator2. En fait, SET est un logiciel opéré par un humain. Le sécurité dans les secteurs modus operandi est relativement simple : il s’agit de manipuler les humains en les hameçonnant privé et public pour diffé- rentes firmes en sécurité. à l’aide de diverses supercheries, pour ensuite leur faire faire une action qui permettra à l’at- Il détient plusieurs certifica- taquant d’exploiter une vulnérabilité présente dans un système donné dans le but d’en obtenir tions telles que CISSP GIAC , l’accès. (GCIH, GPEN), CEH, OPST et plusieurs autres relatives à divers manufacturiers READY ? SET, GO ! de solutions de sécurité. SET est un outil de type « ligne de commande » qui s’installe sur Linux et qui a été créé par Il collabore avec le SANS David Kennedy (ReL1k). Il peut être téléchargé gratuitement au www.secmaniac.com/download/. depuis plusieurs années, notamment à titre de mentor Contrairement à plusieurs outils de type « ligne de commande », il est très simple à utiliser pour et d’instructeur. Il participe un néophyte dans le domaine. Le concept du SET est sensiblement le même que ce lui d’un également à divers événe- restaurant chinois. Vous commandez un « numéro quatre pour deux », et c’est réglé ! Vous n’avez ments de sécurité à titre de pas besoin de savoir cuisiner pour manger. Dans le cas de SET, on retrouve le même concept de conférencier. Il est un pas- sionné de sécurité et aime menu. Vous n’avez qu’à démarrer SET, à sélectionner le type d’attaque suivi de quelques partager son expertise paramètres, et c’est réglé ! Vous n’avez pas vraiment besoin de savoir pirater pour attaquer. De avec la communauté. plus, SET est inclus dans la distribution de base de BackTrack3. Mais quel est le lien entre l’outil SET et l’ingénierie sociale ? Voyons tout d’abord à quoi l’outil ressemble et quelles sont ses carac- téristiques. Suite en page 28 Printemps 2012 SÉCUS | 27 |
Suite de la page 27 Premièrement, pour démarrer SET, vous devez vous Regardons trois options plus en détail avec quelques rendre dans le répertoire dans lequel il est installé. La com- exemples de scénarios : mande pour le démarrer est « ./set » (sans les guillemets). Voici un exemple de démarrage de SET dans BackTrack : 1) SPEAR-PHISHING ATTACK VECTORS « root@bt :/ pentest/exploits/set# ./set ». Il ne faut pas con- 1. Perform a Mass Email Attack fondre cette commande avec celle de « set » (sans le « ./ » 2. Create a FileFormat Payload devant), qui elle sert au paramétrage des variables de 3. Create a Social-Engineering Template l’environnement du shell, qui est l’interpréteur de lignes de Le module « Spear-Phishing Attack Vectors » permet commande. de créer et de personnaliser des attaques d’hameçonnage Une fois SET démarré, choisissez l’option « 1) Social- ciblé sur mesure. Par exemple, l’option « 2. Create a Engineering Attacks » du menu principal. Vous obtiendrez FileFormat Payload » permet de cacher du code malicieux, quelque chose qui devrait ressembler à ceci : par exemple une porte dérobée (backdoor), qui est sous la forme d’un exécutable (.exe), à l’intérieur d’un autre fichier qui pourrait être un document PDF. SET utilise ensuite le module msfencode qui fait partie de Metasploit (vous trou- verez plus de détails sur Metasploit un peu plus loin) afin de modifier l’exécutable malicieux en l’encodant différemment de façon à rendre son « apparence » unique. Il faut compren- dre que la plupart des antivirus fonctionnent sur une base de signatures. Donc, si un logiciel malveillant n’a jamais été vu nulle part, il n’existe aucune signature pour ce dernier. Cela a pour effet de le rendre invisible pour les antivirus. Une fois que le logiciel malveillant est invisible pour les antivirus, SET l’imbrique dans un fichier PDF légitime au choix de l’attaquant. Par la suite, il ne reste qu’à l’envoyer à la victime par courriel. Lorsque cette dernière cliquera sur le fichier joint pour ouvrir le document PDF, son ordinateur se fera infecté par la porte dérobée à son insu. Ici, l’aspect d’ingénierie sociale réside dans le fait que l’attaquant devra trouver le bon contexte et le bon prétexte pour faire en sorte que sa victime ouvre le fichier joint plutôt que d’envoyer le courriel à la corbeille. « SET sertun logiciel malveillant à à dissimuler donc d’outil servant Figure 1 l’intérieur d’un contenu légitime.» Comme vous pouvez le constater dans la Figure 1, le Poursuivons avec un deuxième exemple de scénario menu est divisé en plusieurs catégories qui sont toutes en basé sur le module « Website Attack Vectors ». lien avec des attaques relatives à l’ingénierie sociale. Une fois à l’intérieur de l’une de ces catégories, différentes 2) WEBSITE ATTACK VECTORS options d’attaques sont disponibles. Comme SET est en cons- 1) Java Applet Attack Method tante évolution, voici les catégories et quelques sous caté- 2) Metasploit Browser Exploit Method gories actuellement disponibles : 3) Credential Harvester Attack Method 1) Spear-Phishing Attack Vectors 4) Tabnabbing Attack Method 2) Website Attack Vectors 5) Man Left in the Middle Attack Method 3) Infectious Media Generator 6) Web Jacking Attack Method 4) Create a Payload and Listener 7) Multi-Attack Web Method 5) Mass Mailer Attack 8) Victim Web Profiler 6) Arduino-Based Attack Vector 9) Create or import a CodeSigning Certificate 7) SMS Spoofing Attack Vector 1. Web Templates 8) Wireless Access Point Attack Vector 2. Site Cloner 9) Third Party Modules 3. Custom Import Suite en page 29 Printemps 2012 SÉCUS | 28 |
La formation SANS SEC560 en français est de retour à Québec et aura lieu du 23 au 25 et du 28 au 30 mai 2012! Les cyber attaques augmentent au même titre que la demande pour les professionnels Le cours SANS SEC560: Network Penetration Testing and Ethical de la sécurité de l’information possédant de vraies compétences sur le plan des tests Hacking prépare les candidats d’intrusions réseau et du piratage éthique. Plusieurs cours de piratage éthique prétendent visant la certification GIAC enseigner ces compétences, mais peu le font réellement. Certified Penetration Tester (GPEN). Le cours SANS SEC560: Network Penetration Testing and Ethical Hacking vous prépare vraiment à effectuer avec succès vos projets de tests d’intrusion et de piratage éthique. Qui devrait y assister? I Les professionnels de la sécurité effectuant des tests d’intrusion (Pentesters) I Les pirates éthiques (Ethical Hackers) I Les auditeurs ayant besoin d’améliorer leurs compétences techniques I Le personnel de sécurité dont le travail consiste à évaluer les réseaux et les systèmes afin de trouver des failles de sécurité Instructeur : Michel Cusin I michel@cusin.ca I 418 955-2355 I http://cusin.ca/?p=1353 Suite de la page 28 Ce dernier possède deux niveaux d’options. Le premier Avec l’option « Infectious Media Generator », l’atta- niveau permet de sélectionner le type de charge active quant peut transformer un média amovible tel qu’un USB, (payload) qui servira lors de l’attaque du système d’exploita- un CD ou un DVD en un outil d’attaque simple, efficace et tion de la victime. Une fois le premier niveau sélectionné, d’apparence inoffensive. Cette option crée un fichier trois autres options, qui constituent l’appât, sont disponibles. « autorun.inf » ainsi qu’une charge active de type porte Dans ce module, l’attaquant pourrait par exemple décider de dérobée qui est programmée pour venir se brancher au sélectionner « 1) Java Applet Attack Method » et ensuite poste de l’attaquant qui attend les connexions cryptées « 2. Site Cloner ». Cela lui permettrait de cloner une page Web entrantes par Metasploit qui est en mode écoute (Metasploit d’un site de son choix. Une fois la page Web clonée, SET Listener). Par la suite, il ne reste tout simplement qu’à laisser interagit avec Metasploit et démarre un serveur Web local sur traîner une clé USB infectée près des locaux de la victime et son poste d’attaque afin de publier la page Web clonée. attendre que quelqu’un la ramasse et la mette dans son ordi- Encore une fois, l’attaquant trouve une supercherie pour que nateur pour savoir ce qu’elle contient. Honnêtement, que sa victime visite la page Web clonée. Une fois que la victime feriez-vous si vous trouviez une clé USB dans un hall d’entrée se branche à la page Web clonée résidant sur le poste de l’at- ou dans un stationnement ? Tout comme vous, notre victime taquant, une porte dérobée comme Meterpreter (vous trou- branchera la clé USB dans son ordinateur « juste pour voir ce verez plus de détails sur Meterpreter plus loin) s’installe à qu’elle contient ». Une fois la clé insérée dans l’ordinateur de son insu sur son poste par un applet Java. Une connexion la victime, une connexion cryptée s’établit à partir du poste cryptée s’établit alors à partir du poste infecté vers le poste infecté vers le poste de l’attaquant, lui donnant, encore une de l’attaquant, ce qui lui donne ainsi le plein contrôle de ce fois, le plein contrôle du poste de sa victime. Rappelez-vous dernier. Tout cela se passe, bien sûr, à l’insu de la victime. Une quand vous étiez petit. Votre mère vous disait de ne pas mettre vidéo faisant une démonstration de cette attaque peut être ce que vous trouviez par terre dans votre bouche, n’est-ce visionnée à http ://cusin.ca/ ?p=1346. pas ? Alors, aujourd’hui, c’est moi qui vous dis de ne pas mettre ce que vous trouvez par terre dans votre ordinateur ! Enchaînons avec un troisième scénario. Évidemment, ces trois scénarios ne sont que quelques 3) INFECTIOUS MEDIA GENERATOR exemples des multiples possibilités offertes par SET. 1. File-Format Exploits Plusieurs autres options aussi intéressantes les unes que 2. Standard Metasploit Executable les autres sont également possibles. Suite en page 30 Printemps 2012 SÉCUS | 29 |
Suite de la page 29 SOCIAL ENGINEER TOOLKIT (SET) ET INTERFACE UTILISATEUR METASPLOIT : UN DUO INFERNAL Comme mentionné plus tôt, Social Engineer Toolkit et Metasploit fonctionnent de pair. Mais qu’est-ce que Exploit 1 Payload 1 Metasploit ? Il s’agit en fait d’une plateforme d’un logiciel intégré (framework) pour le développement et l’exécution Exploit 2 Choix Payload 2 d’exploits4 contre des machines distantes. Metasploit comprend différentes interfaces d’utilisation, mais la Exploit N Payload N plus populaire reste la bonne vieille ligne de commande « msfconsole » (Figure 2). Metasploit, qui est en constante évolution, comprend notamment 762 exploits et 228 pay- Exploit 2 Payload 1 Stager Launcher VERS LA CIBLE loads différents au moment d’écrire ces lignes. Tout cela Figure 3 sans compter les 27 encodeurs différents pouvant être utilisés par le module msfencode comme mentionné dans METERPRETER l’exemple « 1) Spear-Phishing Attack Vectors ». Voici à quoi Merterpreter est un diminutif de « Meta-Interpreter » ressemble l’interface msfconsole (Metasploit Framework et fait partie de Metasploit. Il s’agit en fait d’un payload qui Console) : utilise l’injection DLL afin de s’injecter dans une application ayant été compromise par un exploit. Le même principe d’in- jection DLL s’applique pour le payload VNCInject mentionné plus tôt. Une fois injecté, meterpreter agit comme une porte dérobée et permet à l’attaquant de faire à peu près tout ce qu’il veut avec le poste de sa victime. Il peut, par exemple, vider le contenu des logs pour cacher ses traces, récupérer les hashes5 des mots de passe à partir du Security Accounts Manager (SAM) pour ensuite les cracker. L’obtention des hashes rend également possible les attaques « Pass-the-Hash6 ». Cette attaque consiste à injecter les hashes dans le proces- sus Local Security Authority Subsystem Service (LSASS.exe) sur le poste Windows de l’attaquant. Comme le processus LSASS.exe sert notamment lors de l’authentification des utili- Figure 2 sateurs Windows, il devient possible pour l’attaquant de se connecter à un autre poste en se faisant passer pour la vic- Parmi les options offertes par Metasploit, il y a time. Meterpreter permet également de visionner et de notamment le mode écoute (Metasploit Listener). Ce manipuler le contenu du disque dur et même de se servir du dernier permet de recevoir des connexions entrantes poste compromis comme relais pour attaquer le reste du (reverse shell). Lorsque des postes ayant été compromis, réseau. Meterpreter n’est résident qu’en mémoire et il ne comme décrit dans les trois scénarios précédents, se s’installe pas sur le disque dur par défaut. Cela signifie qu’il connectent à l’attaquant, il devient alors possible de les disparaît une fois que l’application qui a été injectée est fer- contrôler à distance. mée ou que le poste est redémarré. Cela a pour effet de le Metasploit peut également être utilisé pour attaquer rendre très difficile et presque impossible à repérer lors un système cible directement. Le fonctionnement de d’une investigation. Comme meterpreter utilise l’injection DLL, Metasploit est relativement simple. Premièrement, l’atta- il ne fonctionne que sur Windows pour le moment. Certaines quant se connecte à Metasploit. Il choisit ensuite un exploit rumeurs courent voulant que certaines initiatives, comme parmi tous ceux disponibles. Cet exploit sert à exploiter une « Meterpretux » pour Linux et « Macterpreter » pour Mac OS faille présente sur le système cible afin de permettre à X, soient apparemment en développement, mais rien de con- l’attaquant de pénétrer dans le système. Il choisit ensuite cret n’est encore publiquement disponible à ce jour. De plus, une charge active (payload) comme une porte dérobée la beauté avec Meterpreter est qu’il utilise du Secure Sockets (Meterpreter), un reverse shell, un serveur VNC Layer (SSL) pour crypter les communications entre la vic- (VNCInject), etc. Metasploit combine alors tous les élé- time et l’attaquant. Alors, même si le trafic est repéré, il est ments, lance l’attaque, compromet le système cible et pratiquement impossible à interpréter. De plus, il se fond très donne accès à l’attaquant (Figure 3). bien dans le trafic HTTPS normal du réseau. Suite en page 31 Printemps 2012 SÉCUS | 30 |
Suite de la page 30 Prenons, par exemple, le scénario « 2) Website Attack ET ALORS ? Vectors ». Lorsque l’attaquant réussit à compromettre le Social Engineer Toolkit est un outil technologique qui fureteur Internet de la victime à l’aide de l’applet Java, la permet à un attaquant de perpétrer des attaques sur des magie de l’injection DLL s’opère et Meterpreter est injecté systèmes en tirant avantage de l’ingénierie sociale. Le suc- dans le fureteur Internet. Meterpreter reste vivant tant que cès d’un outil comme SET réside dans le fait que l’humain le fureteur reste ouvert. Si le fureteur est fermé, la session demeure une faille de sécurité importante. Il est donc primor- Meterpreter se termine. Alors, afin de ne pas être à la merci dial de sensibiliser nos gens et de garder nos systèmes à du processus lié au fureteur, Meterpreter crée un nouveau jour. Pour de plus amples informations en anglais à propos de processus « notepad.exe » et y migre automatiquement. SET, je vous invite à visiter le www.social-engineer.org/frame- Aucune fenêtre n’apparaît à l’écran de la victime, mais le work/Computer_Based_Social_Engineering_Tools :_Social_ processus est bien présent si l’on vérifie à l’aide d’une com- Engineer_ Toolkit_%28SET%29. mande telle que « netstat –nao » par exemple. Il est égale- En terminant, j’aimerais vous rappeler que la prudence ment possible pour l’attaquant de faire migrer manuelle- et les bonnes pratiques sont toujours de mise, alors ouvrez ment Meterpreter vers un autre ProcessID (ou une autre l’œil et ne cliquez pas sur n’importe quoi ! application) de son choix. Il pourrait, par exemple, choisir un des multiples « svchost.exe » présents sur les machines 1. http://www.eagleeyemovie.com/intl/fr/. Windows. Il lui suffit d’utiliser la commande « migrate 2. http://fr.wikipedia.org/wiki/Personnages_de_Terminator#S. 3. www.backtrack-linux.org/. [PID] ». Le [PID] est bien évidemment remplacé par le 4. http://fr.wikipedia.org/wiki/Exploit_%28informatique%29. « Process ID » de l’application vers laquelle Meterpreter a 5. http://fr.wikipedia.org/wiki/Fonction_de_hachage. migré. 6. http://en.wikipedia.org/wiki/Pass_the_hash. Nouvelles en bref Voici quelques extraits d’articles de sécurité publiés sur Internet en mars 2012 : ZEROSPAM OBTIENT LA CERTIFICATION VBSPAM moins à risque puisque sept villes québécoises ferment le « ZEROSPAM a obtenu la prestigieuse certification VBSpam classement. Outre Lévis (50e) se classent Gatineau (49e), auprès de Virus Bulletin. Lors de cette première participation Longueuil (48e), Laval (47e), Sherbrooke (46e), Trois- au programme VBSpam, la solution ZEROSPAM a obtenu la Rivières (45e) et Québec (44e). » marque de 99,56 % et s’est classée au 5e rang des entre- s Information tirée de Cyberpresse.ca prises participantes, surclassant des rivaux tels que GFI, www.cyberpresse.ca/le-soleil/actualites/justice-et-faits- Sophos, Symantec, FortiMail et McAfee. Les commentaires divers/201202/22/01-4498639-cybercriminalite-levis-la- de Virus Bulletin sur la solution ZEROSPAM soulignent égale- ville-la-moins-a-risque.php ment la convivialité de l’interface client, le fait que chaque domaine dispose de plusieurs enregistrements MX assurant LES SYSTÈMES INFORMATIQUES DU CANADA ainsi la redondance du service, et le fait que le réseau HAUTEMENT À RISQUE ZEROSPAM est entièrement canadien. » « Des services critiques pour les Canadiens gérés par des s Information tirée de Virusbtn.com équipements désuets. Cette vérification, effectuée en juin 2011 auprès du Conseil du Trésor du Canada par un CYBERCRIMINALITÉ : chercheur d’Ottawa, démontre que 11 % des 2 100 systèmes LÉVIS, LA VILLE LA MOINS À RISQUE informatiques jugés “critiques” pour assurer les services aux « Les résidents de Lévis sont les Canadiens, parmi les habi- Canadiens sont dangereusement dépassés. Ces mêmes sys- tants des grandes villes, qui s’exposent le moins à la crimi- tèmes nécessiteraient des investissements de 1,4 milliard nalité en ligne. En effet, la ville de la rive sud arrive au de dollars pour les mettre à jour. Le gouvernement du Canada cinquantième et dernier rang d’un classement des villes dépense déjà autour de 5 milliards de dollars par années ayant le nombre le plus élevé de facteurs de risque liés à la pour ses TI. » cybercriminalité. Au Québec, la ville la plus à risque, s Information tirée de Branchez-vous.com Montréal, arrive loin au trentième rang du classement. Il www.branchez-vous.com/techno/actualite/2012/03/ semble que la province pourrait même figurer parmi les les_systemes_informatiques_du.html Printemps 2012 SÉCUS | 31 |

Recommended

Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
Authentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesAuthentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesSylvain Maret
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12michelcusin
 
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.michelcusin
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 
Présentation Se Camp
Présentation Se CampPrésentation Se Camp
Présentation Se CampMichel GERARD
 

Recommended

Article mc secus_10_10
Article mc secus_10_10Article mc secus_10_10
Article mc secus_10_10michelcusin
 
Authentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesAuthentification forte : les nouvelles tendances
Authentification forte : les nouvelles tendancesSylvain Maret
 
Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12Article prot vs_def_secus_10_12
Article prot vs_def_secus_10_12michelcusin
 
Article_pentest_Secus 10 12
Article_pentest_Secus 10 12Article_pentest_Secus 10 12
Article_pentest_Secus 10 12michelcusin
 
Combler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationCombler les écarts en sécurité de l'information
Combler les écarts en sécurité de l'informationmichelcusin
 
Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.Sécurité de l’information: L’importance du réveil des organisations.
Sécurité de l’information: L’importance du réveil des organisations.michelcusin
 
La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016La securité informatique - Etat des Lieux - Nov. 2016
La securité informatique - Etat des Lieux - Nov. 2016Olivier DUPONT
 
Présentation Se Camp
Présentation Se CampPrésentation Se Camp
Présentation Se CampMichel GERARD
 
Découvrir la Médiathèque de Yerres
Découvrir la Médiathèque de YerresDécouvrir la Médiathèque de Yerres
Découvrir la Médiathèque de YerresBibYerres
 
Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014
Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014
Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014IDATE DigiWorld
 
PFPD semana 3
PFPD semana 3PFPD semana 3
PFPD semana 3Claudia Aponte
 
El monstruo del hambre
El monstruo del hambreEl monstruo del hambre
El monstruo del hambrePlof
 
Wilington enrique lopez martinez
Wilington enrique lopez martinezWilington enrique lopez martinez
Wilington enrique lopez martinezFroggy Femeninos
 
Pdf semana 2
Pdf semana 2Pdf semana 2
Pdf semana 2Claudia Aponte
 
Les festivités de cideb
Les festivités de cidebLes festivités de cideb
Les festivités de cidebCIDEB501_FRANCAIS
 
IFA livre anniversaire 2001-2011 F
IFA livre anniversaire 2001-2011 FIFA livre anniversaire 2001-2011 F
IFA livre anniversaire 2001-2011 Fevertjanlammers
 
2011 03-10 complementario
2011 03-10 complementario2011 03-10 complementario
2011 03-10 complementarioMisión Peruana del Norte
 
Vivre avec des taux d'intérêt négatifs
Vivre avec des taux d'intérêt négatifsVivre avec des taux d'intérêt négatifs
Vivre avec des taux d'intérêt négatifsRoger Claessens
 
La Tribune 16-02-16.PDF
La Tribune 16-02-16.PDFLa Tribune 16-02-16.PDF
La Tribune 16-02-16.PDFVincent Genet
 
Doc22
Doc22Doc22
Doc22Vilma Chavez
 
La documentation et le système d’information pour coder et facturer en DRG ( ...
La documentation et le système d’information pour coder et facturer en DRG ( ...La documentation et le système d’information pour coder et facturer en DRG ( ...
La documentation et le système d’information pour coder et facturer en DRG ( ...Paianet - Connecting Healthcare
 
Guía 4
Guía 4Guía 4
Guía 4Nicole Tasso Pardo
 
Compartir
CompartirCompartir
CompartirAngelo Hernandez
 
Alpiste
AlpisteAlpiste
AlpistePlof
 
Coches del-futuro-diapositivas
Coches del-futuro-diapositivasCoches del-futuro-diapositivas
Coches del-futuro-diapositivasalex
 
E-réputation , strategie de presence : etat des lieux et perspectives
E-réputation , strategie de presence : etat des lieux et perspectivesE-réputation , strategie de presence : etat des lieux et perspectives
E-réputation , strategie de presence : etat des lieux et perspectivesFadhila BRAHIMI
 
Le grand quiz catalane
Le grand quiz catalaneLe grand quiz catalane
Le grand quiz catalaneAfev Barcelona
 
title
titletitle
titlezealion
 
APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?ITrust - Cybersecurity as a Service
 
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécuritéQuand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécuritéITrust - Cybersecurity as a Service
 

More Related Content

Viewers also liked

Découvrir la Médiathèque de Yerres
Découvrir la Médiathèque de YerresDécouvrir la Médiathèque de Yerres
Découvrir la Médiathèque de YerresBibYerres
 
Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014
Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014
Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014IDATE DigiWorld
 
El monstruo del hambre
El monstruo del hambreEl monstruo del hambre
El monstruo del hambrePlof
 
Wilington enrique lopez martinez
Wilington enrique lopez martinezWilington enrique lopez martinez
Wilington enrique lopez martinezFroggy Femeninos
 
IFA livre anniversaire 2001-2011 F
IFA livre anniversaire 2001-2011 FIFA livre anniversaire 2001-2011 F
IFA livre anniversaire 2001-2011 Fevertjanlammers
 
Vivre avec des taux d'intérêt négatifs
Vivre avec des taux d'intérêt négatifsVivre avec des taux d'intérêt négatifs
Vivre avec des taux d'intérêt négatifsRoger Claessens
 
La Tribune 16-02-16.PDF
La Tribune 16-02-16.PDFLa Tribune 16-02-16.PDF
La Tribune 16-02-16.PDFVincent Genet
 
La documentation et le système d’information pour coder et facturer en DRG ( ...
La documentation et le système d’information pour coder et facturer en DRG ( ...La documentation et le système d’information pour coder et facturer en DRG ( ...
La documentation et le système d’information pour coder et facturer en DRG ( ...Paianet - Connecting Healthcare
 
Alpiste
AlpisteAlpiste
AlpistePlof
 
Coches del-futuro-diapositivas
Coches del-futuro-diapositivasCoches del-futuro-diapositivas
Coches del-futuro-diapositivasalex
 
E-réputation , strategie de presence : etat des lieux et perspectives
E-réputation , strategie de presence : etat des lieux et perspectivesE-réputation , strategie de presence : etat des lieux et perspectives
E-réputation , strategie de presence : etat des lieux et perspectivesFadhila BRAHIMI
 
Le grand quiz catalane
Le grand quiz catalaneLe grand quiz catalane
Le grand quiz catalaneAfev Barcelona
 

Viewers also liked (20)

Découvrir la Médiathèque de Yerres
Découvrir la Médiathèque de YerresDécouvrir la Médiathèque de Yerres
Découvrir la Médiathèque de Yerres
 
Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014
Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014
Baromètre complet du jeu video en France by IDATE & SNJV - Edition 2014
 
PFPD semana 3
PFPD semana 3PFPD semana 3
PFPD semana 3
 
El monstruo del hambre
El monstruo del hambreEl monstruo del hambre
El monstruo del hambre
 
Wilington enrique lopez martinez
Wilington enrique lopez martinezWilington enrique lopez martinez
Wilington enrique lopez martinez
 
Pdf semana 2
Pdf semana 2Pdf semana 2
Pdf semana 2
 
Les festivités de cideb
Les festivités de cidebLes festivités de cideb
Les festivités de cideb
 
IFA livre anniversaire 2001-2011 F
IFA livre anniversaire 2001-2011 FIFA livre anniversaire 2001-2011 F
IFA livre anniversaire 2001-2011 F
 
2011 03-10 complementario
2011 03-10 complementario2011 03-10 complementario
2011 03-10 complementario
 
Vivre avec des taux d'intérêt négatifs
Vivre avec des taux d'intérêt négatifsVivre avec des taux d'intérêt négatifs
Vivre avec des taux d'intérêt négatifs
 
La Tribune 16-02-16.PDF
La Tribune 16-02-16.PDFLa Tribune 16-02-16.PDF
La Tribune 16-02-16.PDF
 
Doc22
Doc22Doc22
Doc22
 
La documentation et le système d’information pour coder et facturer en DRG ( ...
La documentation et le système d’information pour coder et facturer en DRG ( ...La documentation et le système d’information pour coder et facturer en DRG ( ...
La documentation et le système d’information pour coder et facturer en DRG ( ...
 
Guía 4
Guía 4Guía 4
Guía 4
 
Compartir
CompartirCompartir
Compartir
 
Alpiste
AlpisteAlpiste
Alpiste
 
Coches del-futuro-diapositivas
Coches del-futuro-diapositivasCoches del-futuro-diapositivas
Coches del-futuro-diapositivas
 
E-réputation , strategie de presence : etat des lieux et perspectives
E-réputation , strategie de presence : etat des lieux et perspectivesE-réputation , strategie de presence : etat des lieux et perspectives
E-réputation , strategie de presence : etat des lieux et perspectives
 
Le grand quiz catalane
Le grand quiz catalaneLe grand quiz catalane
Le grand quiz catalane
 
title
titletitle
title
 

Similar to Social Engineer Toolkit: quand la machine attaque l’humain

Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécuritéQuand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécuritéITrust - Cybersecurity as a Service
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptxBahaty1
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.pptNatijTDI
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplugmichelcusin
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptxZokomElie
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcampCameroon
 
Antivirus : une technologie obsolète?
Antivirus : une technologie obsolète?Antivirus : une technologie obsolète?
Antivirus : une technologie obsolète?Sylvain Maret
 
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole PolytechniqueAristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole PolytechniqueOPcyberland
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreNRC
 
Keynote thierry berthier cybersecurite NOVAQ 2018
Keynote thierry berthier cybersecurite NOVAQ 2018Keynote thierry berthier cybersecurite NOVAQ 2018
Keynote thierry berthier cybersecurite NOVAQ 2018OPcyberland
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfFootballLovers9
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTMaxime ALAY-EDDINE
 

Similar to Social Engineer Toolkit: quand la machine attaque l’humain (20)

APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?APT (menaces avancées) : peut on toutes les attraper ?
APT (menaces avancées) : peut on toutes les attraper ?
 
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécuritéQuand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
Quand les cybercriminels n’ont plus besoin de fuir les logiciels de sécurité
 
unité 2.pptx
unité 2.pptxunité 2.pptx
unité 2.pptx
 
Baudoin karle-ids-ips
Baudoin karle-ids-ipsBaudoin karle-ids-ips
Baudoin karle-ids-ips
 
Piratage informatique
Piratage informatiquePiratage informatique
Piratage informatique
 
Projet de Securité Informatique.ppt
Projet de Securité Informatique.pptProjet de Securité Informatique.ppt
Projet de Securité Informatique.ppt
 
Article secus 05_11_pwnplug
Article secus 05_11_pwnplugArticle secus 05_11_pwnplug
Article secus 05_11_pwnplug
 
Présentation1.pptx
Présentation1.pptxPrésentation1.pptx
Présentation1.pptx
 
Barcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphiaBarcamp presentation Cybersecurite by saphia
Barcamp presentation Cybersecurite by saphia
 
Cyberun #12
Cyberun #12Cyberun #12
Cyberun #12
 
Antivirus : une technologie obsolète?
Antivirus : une technologie obsolète?Antivirus : une technologie obsolète?
Antivirus : une technologie obsolète?
 
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole PolytechniqueAristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
 
Ingénierie sociale
Ingénierie socialeIngénierie sociale
Ingénierie sociale
 
Sécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettreSécurité informatique - 10 erreurs à ne pas commettre
Sécurité informatique - 10 erreurs à ne pas commettre
 
Les leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagnéLes leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagné
 
Keynote thierry berthier cybersecurite NOVAQ 2018
Keynote thierry berthier cybersecurite NOVAQ 2018Keynote thierry berthier cybersecurite NOVAQ 2018
Keynote thierry berthier cybersecurite NOVAQ 2018
 
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdfResume-theorique-M209-V1-version-provisoire-0909_2.pdf
Resume-theorique-M209-V1-version-provisoire-0909_2.pdf
 
Virusdoc
VirusdocVirusdoc
Virusdoc
 
CyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéECyberséCurité Et Vie PrivéE
CyberséCurité Et Vie PrivéE
 
Gestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoTGestion des vulnérabilités dans l'IoT
Gestion des vulnérabilités dans l'IoT
 

More from michelcusin

Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiquemichelcusin
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vousmichelcusin
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatalemichelcusin
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le mondemichelcusin
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010michelcusin
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008michelcusin
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_lavalmichelcusin
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsmichelcusin
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09michelcusin
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10michelcusin
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackersmichelcusin
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...michelcusin
 

More from michelcusin (12)

Intrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatiqueIntrusions et gestion d’incidents informatique
Intrusions et gestion d’incidents informatique
 
Vos enfants, Internet et vous
Vos enfants, Internet et vousVos enfants, Internet et vous
Vos enfants, Internet et vous
 
Pwn plug: Arme fatale
Pwn plug: Arme fatalePwn plug: Arme fatale
Pwn plug: Arme fatale
 
Le piratage à la portée de tout le monde
Le piratage à la portée de tout le mondeLe piratage à la portée de tout le monde
Le piratage à la portée de tout le monde
 
Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010Maitriser l'art du kung fu cqsi2010
Maitriser l'art du kung fu cqsi2010
 
Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008Présentation menaces web2.0_cqsi_2008
Présentation menaces web2.0_cqsi_2008
 
Présentation botnet u_laval
Présentation botnet u_lavalPrésentation botnet u_laval
Présentation botnet u_laval
 
Colloque cyber 2010 les botnets
Colloque cyber 2010 les botnetsColloque cyber 2010 les botnets
Colloque cyber 2010 les botnets
 
Article secus 09_09
Article secus 09_09Article secus 09_09
Article secus 09_09
 
Article mc secus_05_10
Article mc secus_05_10Article mc secus_05_10
Article mc secus_05_10
 
Thank you for collaborating with your local hackers
Thank you for collaborating with your local hackersThank you for collaborating with your local hackers
Thank you for collaborating with your local hackers
 
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
Comment les administrateurs de systèmes peuvent ils détecter les pirates info...
 

Social Engineer Toolkit: quand la machine attaque l’humain

  • 1. T EC H NIQU E Social Engineer Toolkit: quand la machine Comme les infrastructures réseau sont de plus en plus sécurisées et difficiles à attaque l’humain pénétrer de l’extérieur, pourquoi ne pas utiliser des machines pour exploiter les humains afin d’atteindre l’accès au PAR MICHEL CUSIN, architecte de sécurité – Bell réseau et de l’attaquer de l’intérieur ? C’est un fait bien connu, la sécurité d’un réseau est aussi forte que son maillon le plus faible. Ce que beaucoup de gens ne réalisent pas, c’est que, trop souvent, ce maillon faible, c’est eux. Les cybercriminels l’ont compris depuis bien longtemps et sont passés maîtres dans l’art d’exploiter ce maillon faible qu’est l’être humain. L’ingénierie sociale (social engineering) est l’art d’exploiter les failles humaines afin d’obtenir l’accès à un système ou à de l’information. Il existe plusieurs volets à cette discipline et tous les coups sont permis pour quelqu’un de vraiment déterminé. L’ingénieur social peut tenter de se faire passer pour quelqu’un d’autre, feindre une situa- tion d’urgence afin de mettre une pression sur sa « victime », l’intimider verbalement, tenter de la corrompre financièrement, et j’en passe. Toutes ces méthodes impliquent des interactions entre des individus, ce qui peut entraîner des situations stressantes et inconfortables. Dans certains Michel Cusin œuvre dans le domaine de la sécurité cas, par exemple lors d’un test d’intrusion, il se peut que ce type d’approche ne soit pas envisa- depuis plus d’une décennie. Il geable pour diverses raisons. Alors, comme une approche impliquant l’ingénierie sociale tradi- travaille actuellement comme tionnelle n’est pas toujours possible, pourquoi ne pas tenter une nouvelle approche en utilisant un analyste en sécurité au sein logiciel ou une machine pour exploiter les gens à notre place ? du groupe Security Testing C’est là qu’entre en scène un outil comme le Social Engineer Toolkit (SET). Rassurez-vous, and Incident Handling Team (STITH) de Bell Canada. Dans SET n’est pas un robot ni un super ordinateur doté d’une forme d’intelligence artificielle complo- le passé, il a travaillé comme tant pour dominer le monde des humains comme dans le scénario du film L’œil du mal (Eagle Eye1) instructeur et consultant en ou encore comme Skynet dans Terminator2. En fait, SET est un logiciel opéré par un humain. Le sécurité dans les secteurs modus operandi est relativement simple : il s’agit de manipuler les humains en les hameçonnant privé et public pour diffé- rentes firmes en sécurité. à l’aide de diverses supercheries, pour ensuite leur faire faire une action qui permettra à l’at- Il détient plusieurs certifica- taquant d’exploiter une vulnérabilité présente dans un système donné dans le but d’en obtenir tions telles que CISSP GIAC , l’accès. (GCIH, GPEN), CEH, OPST et plusieurs autres relatives à divers manufacturiers READY ? SET, GO ! de solutions de sécurité. SET est un outil de type « ligne de commande » qui s’installe sur Linux et qui a été créé par Il collabore avec le SANS David Kennedy (ReL1k). Il peut être téléchargé gratuitement au www.secmaniac.com/download/. depuis plusieurs années, notamment à titre de mentor Contrairement à plusieurs outils de type « ligne de commande », il est très simple à utiliser pour et d’instructeur. Il participe un néophyte dans le domaine. Le concept du SET est sensiblement le même que ce lui d’un également à divers événe- restaurant chinois. Vous commandez un « numéro quatre pour deux », et c’est réglé ! Vous n’avez ments de sécurité à titre de pas besoin de savoir cuisiner pour manger. Dans le cas de SET, on retrouve le même concept de conférencier. Il est un pas- sionné de sécurité et aime menu. Vous n’avez qu’à démarrer SET, à sélectionner le type d’attaque suivi de quelques partager son expertise paramètres, et c’est réglé ! Vous n’avez pas vraiment besoin de savoir pirater pour attaquer. De avec la communauté. plus, SET est inclus dans la distribution de base de BackTrack3. Mais quel est le lien entre l’outil SET et l’ingénierie sociale ? Voyons tout d’abord à quoi l’outil ressemble et quelles sont ses carac- téristiques. Suite en page 28 Printemps 2012 SÉCUS | 27 |
  • 2. Suite de la page 27 Premièrement, pour démarrer SET, vous devez vous Regardons trois options plus en détail avec quelques rendre dans le répertoire dans lequel il est installé. La com- exemples de scénarios : mande pour le démarrer est « ./set » (sans les guillemets). Voici un exemple de démarrage de SET dans BackTrack : 1) SPEAR-PHISHING ATTACK VECTORS « root@bt :/ pentest/exploits/set# ./set ». Il ne faut pas con- 1. Perform a Mass Email Attack fondre cette commande avec celle de « set » (sans le « ./ » 2. Create a FileFormat Payload devant), qui elle sert au paramétrage des variables de 3. Create a Social-Engineering Template l’environnement du shell, qui est l’interpréteur de lignes de Le module « Spear-Phishing Attack Vectors » permet commande. de créer et de personnaliser des attaques d’hameçonnage Une fois SET démarré, choisissez l’option « 1) Social- ciblé sur mesure. Par exemple, l’option « 2. Create a Engineering Attacks » du menu principal. Vous obtiendrez FileFormat Payload » permet de cacher du code malicieux, quelque chose qui devrait ressembler à ceci : par exemple une porte dérobée (backdoor), qui est sous la forme d’un exécutable (.exe), à l’intérieur d’un autre fichier qui pourrait être un document PDF. SET utilise ensuite le module msfencode qui fait partie de Metasploit (vous trou- verez plus de détails sur Metasploit un peu plus loin) afin de modifier l’exécutable malicieux en l’encodant différemment de façon à rendre son « apparence » unique. Il faut compren- dre que la plupart des antivirus fonctionnent sur une base de signatures. Donc, si un logiciel malveillant n’a jamais été vu nulle part, il n’existe aucune signature pour ce dernier. Cela a pour effet de le rendre invisible pour les antivirus. Une fois que le logiciel malveillant est invisible pour les antivirus, SET l’imbrique dans un fichier PDF légitime au choix de l’attaquant. Par la suite, il ne reste qu’à l’envoyer à la victime par courriel. Lorsque cette dernière cliquera sur le fichier joint pour ouvrir le document PDF, son ordinateur se fera infecté par la porte dérobée à son insu. Ici, l’aspect d’ingénierie sociale réside dans le fait que l’attaquant devra trouver le bon contexte et le bon prétexte pour faire en sorte que sa victime ouvre le fichier joint plutôt que d’envoyer le courriel à la corbeille. « SET sertun logiciel malveillant à à dissimuler donc d’outil servant Figure 1 l’intérieur d’un contenu légitime.» Comme vous pouvez le constater dans la Figure 1, le Poursuivons avec un deuxième exemple de scénario menu est divisé en plusieurs catégories qui sont toutes en basé sur le module « Website Attack Vectors ». lien avec des attaques relatives à l’ingénierie sociale. Une fois à l’intérieur de l’une de ces catégories, différentes 2) WEBSITE ATTACK VECTORS options d’attaques sont disponibles. Comme SET est en cons- 1) Java Applet Attack Method tante évolution, voici les catégories et quelques sous caté- 2) Metasploit Browser Exploit Method gories actuellement disponibles : 3) Credential Harvester Attack Method 1) Spear-Phishing Attack Vectors 4) Tabnabbing Attack Method 2) Website Attack Vectors 5) Man Left in the Middle Attack Method 3) Infectious Media Generator 6) Web Jacking Attack Method 4) Create a Payload and Listener 7) Multi-Attack Web Method 5) Mass Mailer Attack 8) Victim Web Profiler 6) Arduino-Based Attack Vector 9) Create or import a CodeSigning Certificate 7) SMS Spoofing Attack Vector 1. Web Templates 8) Wireless Access Point Attack Vector 2. Site Cloner 9) Third Party Modules 3. Custom Import Suite en page 29 Printemps 2012 SÉCUS | 28 |
  • 3. La formation SANS SEC560 en français est de retour à Québec et aura lieu du 23 au 25 et du 28 au 30 mai 2012! Les cyber attaques augmentent au même titre que la demande pour les professionnels Le cours SANS SEC560: Network Penetration Testing and Ethical de la sécurité de l’information possédant de vraies compétences sur le plan des tests Hacking prépare les candidats d’intrusions réseau et du piratage éthique. Plusieurs cours de piratage éthique prétendent visant la certification GIAC enseigner ces compétences, mais peu le font réellement. Certified Penetration Tester (GPEN). Le cours SANS SEC560: Network Penetration Testing and Ethical Hacking vous prépare vraiment à effectuer avec succès vos projets de tests d’intrusion et de piratage éthique. Qui devrait y assister? I Les professionnels de la sécurité effectuant des tests d’intrusion (Pentesters) I Les pirates éthiques (Ethical Hackers) I Les auditeurs ayant besoin d’améliorer leurs compétences techniques I Le personnel de sécurité dont le travail consiste à évaluer les réseaux et les systèmes afin de trouver des failles de sécurité Instructeur : Michel Cusin I michel@cusin.ca I 418 955-2355 I http://cusin.ca/?p=1353 Suite de la page 28 Ce dernier possède deux niveaux d’options. Le premier Avec l’option « Infectious Media Generator », l’atta- niveau permet de sélectionner le type de charge active quant peut transformer un média amovible tel qu’un USB, (payload) qui servira lors de l’attaque du système d’exploita- un CD ou un DVD en un outil d’attaque simple, efficace et tion de la victime. Une fois le premier niveau sélectionné, d’apparence inoffensive. Cette option crée un fichier trois autres options, qui constituent l’appât, sont disponibles. « autorun.inf » ainsi qu’une charge active de type porte Dans ce module, l’attaquant pourrait par exemple décider de dérobée qui est programmée pour venir se brancher au sélectionner « 1) Java Applet Attack Method » et ensuite poste de l’attaquant qui attend les connexions cryptées « 2. Site Cloner ». Cela lui permettrait de cloner une page Web entrantes par Metasploit qui est en mode écoute (Metasploit d’un site de son choix. Une fois la page Web clonée, SET Listener). Par la suite, il ne reste tout simplement qu’à laisser interagit avec Metasploit et démarre un serveur Web local sur traîner une clé USB infectée près des locaux de la victime et son poste d’attaque afin de publier la page Web clonée. attendre que quelqu’un la ramasse et la mette dans son ordi- Encore une fois, l’attaquant trouve une supercherie pour que nateur pour savoir ce qu’elle contient. Honnêtement, que sa victime visite la page Web clonée. Une fois que la victime feriez-vous si vous trouviez une clé USB dans un hall d’entrée se branche à la page Web clonée résidant sur le poste de l’at- ou dans un stationnement ? Tout comme vous, notre victime taquant, une porte dérobée comme Meterpreter (vous trou- branchera la clé USB dans son ordinateur « juste pour voir ce verez plus de détails sur Meterpreter plus loin) s’installe à qu’elle contient ». Une fois la clé insérée dans l’ordinateur de son insu sur son poste par un applet Java. Une connexion la victime, une connexion cryptée s’établit à partir du poste cryptée s’établit alors à partir du poste infecté vers le poste infecté vers le poste de l’attaquant, lui donnant, encore une de l’attaquant, ce qui lui donne ainsi le plein contrôle de ce fois, le plein contrôle du poste de sa victime. Rappelez-vous dernier. Tout cela se passe, bien sûr, à l’insu de la victime. Une quand vous étiez petit. Votre mère vous disait de ne pas mettre vidéo faisant une démonstration de cette attaque peut être ce que vous trouviez par terre dans votre bouche, n’est-ce visionnée à http ://cusin.ca/ ?p=1346. pas ? Alors, aujourd’hui, c’est moi qui vous dis de ne pas mettre ce que vous trouvez par terre dans votre ordinateur ! Enchaînons avec un troisième scénario. Évidemment, ces trois scénarios ne sont que quelques 3) INFECTIOUS MEDIA GENERATOR exemples des multiples possibilités offertes par SET. 1. File-Format Exploits Plusieurs autres options aussi intéressantes les unes que 2. Standard Metasploit Executable les autres sont également possibles. Suite en page 30 Printemps 2012 SÉCUS | 29 |
  • 4. Suite de la page 29 SOCIAL ENGINEER TOOLKIT (SET) ET INTERFACE UTILISATEUR METASPLOIT : UN DUO INFERNAL Comme mentionné plus tôt, Social Engineer Toolkit et Metasploit fonctionnent de pair. Mais qu’est-ce que Exploit 1 Payload 1 Metasploit ? Il s’agit en fait d’une plateforme d’un logiciel intégré (framework) pour le développement et l’exécution Exploit 2 Choix Payload 2 d’exploits4 contre des machines distantes. Metasploit comprend différentes interfaces d’utilisation, mais la Exploit N Payload N plus populaire reste la bonne vieille ligne de commande « msfconsole » (Figure 2). Metasploit, qui est en constante évolution, comprend notamment 762 exploits et 228 pay- Exploit 2 Payload 1 Stager Launcher VERS LA CIBLE loads différents au moment d’écrire ces lignes. Tout cela Figure 3 sans compter les 27 encodeurs différents pouvant être utilisés par le module msfencode comme mentionné dans METERPRETER l’exemple « 1) Spear-Phishing Attack Vectors ». Voici à quoi Merterpreter est un diminutif de « Meta-Interpreter » ressemble l’interface msfconsole (Metasploit Framework et fait partie de Metasploit. Il s’agit en fait d’un payload qui Console) : utilise l’injection DLL afin de s’injecter dans une application ayant été compromise par un exploit. Le même principe d’in- jection DLL s’applique pour le payload VNCInject mentionné plus tôt. Une fois injecté, meterpreter agit comme une porte dérobée et permet à l’attaquant de faire à peu près tout ce qu’il veut avec le poste de sa victime. Il peut, par exemple, vider le contenu des logs pour cacher ses traces, récupérer les hashes5 des mots de passe à partir du Security Accounts Manager (SAM) pour ensuite les cracker. L’obtention des hashes rend également possible les attaques « Pass-the-Hash6 ». Cette attaque consiste à injecter les hashes dans le proces- sus Local Security Authority Subsystem Service (LSASS.exe) sur le poste Windows de l’attaquant. Comme le processus LSASS.exe sert notamment lors de l’authentification des utili- Figure 2 sateurs Windows, il devient possible pour l’attaquant de se connecter à un autre poste en se faisant passer pour la vic- Parmi les options offertes par Metasploit, il y a time. Meterpreter permet également de visionner et de notamment le mode écoute (Metasploit Listener). Ce manipuler le contenu du disque dur et même de se servir du dernier permet de recevoir des connexions entrantes poste compromis comme relais pour attaquer le reste du (reverse shell). Lorsque des postes ayant été compromis, réseau. Meterpreter n’est résident qu’en mémoire et il ne comme décrit dans les trois scénarios précédents, se s’installe pas sur le disque dur par défaut. Cela signifie qu’il connectent à l’attaquant, il devient alors possible de les disparaît une fois que l’application qui a été injectée est fer- contrôler à distance. mée ou que le poste est redémarré. Cela a pour effet de le Metasploit peut également être utilisé pour attaquer rendre très difficile et presque impossible à repérer lors un système cible directement. Le fonctionnement de d’une investigation. Comme meterpreter utilise l’injection DLL, Metasploit est relativement simple. Premièrement, l’atta- il ne fonctionne que sur Windows pour le moment. Certaines quant se connecte à Metasploit. Il choisit ensuite un exploit rumeurs courent voulant que certaines initiatives, comme parmi tous ceux disponibles. Cet exploit sert à exploiter une « Meterpretux » pour Linux et « Macterpreter » pour Mac OS faille présente sur le système cible afin de permettre à X, soient apparemment en développement, mais rien de con- l’attaquant de pénétrer dans le système. Il choisit ensuite cret n’est encore publiquement disponible à ce jour. De plus, une charge active (payload) comme une porte dérobée la beauté avec Meterpreter est qu’il utilise du Secure Sockets (Meterpreter), un reverse shell, un serveur VNC Layer (SSL) pour crypter les communications entre la vic- (VNCInject), etc. Metasploit combine alors tous les élé- time et l’attaquant. Alors, même si le trafic est repéré, il est ments, lance l’attaque, compromet le système cible et pratiquement impossible à interpréter. De plus, il se fond très donne accès à l’attaquant (Figure 3). bien dans le trafic HTTPS normal du réseau. Suite en page 31 Printemps 2012 SÉCUS | 30 |
  • 5. Suite de la page 30 Prenons, par exemple, le scénario « 2) Website Attack ET ALORS ? Vectors ». Lorsque l’attaquant réussit à compromettre le Social Engineer Toolkit est un outil technologique qui fureteur Internet de la victime à l’aide de l’applet Java, la permet à un attaquant de perpétrer des attaques sur des magie de l’injection DLL s’opère et Meterpreter est injecté systèmes en tirant avantage de l’ingénierie sociale. Le suc- dans le fureteur Internet. Meterpreter reste vivant tant que cès d’un outil comme SET réside dans le fait que l’humain le fureteur reste ouvert. Si le fureteur est fermé, la session demeure une faille de sécurité importante. Il est donc primor- Meterpreter se termine. Alors, afin de ne pas être à la merci dial de sensibiliser nos gens et de garder nos systèmes à du processus lié au fureteur, Meterpreter crée un nouveau jour. Pour de plus amples informations en anglais à propos de processus « notepad.exe » et y migre automatiquement. SET, je vous invite à visiter le www.social-engineer.org/frame- Aucune fenêtre n’apparaît à l’écran de la victime, mais le work/Computer_Based_Social_Engineering_Tools :_Social_ processus est bien présent si l’on vérifie à l’aide d’une com- Engineer_ Toolkit_%28SET%29. mande telle que « netstat –nao » par exemple. Il est égale- En terminant, j’aimerais vous rappeler que la prudence ment possible pour l’attaquant de faire migrer manuelle- et les bonnes pratiques sont toujours de mise, alors ouvrez ment Meterpreter vers un autre ProcessID (ou une autre l’œil et ne cliquez pas sur n’importe quoi ! application) de son choix. Il pourrait, par exemple, choisir un des multiples « svchost.exe » présents sur les machines 1. http://www.eagleeyemovie.com/intl/fr/. Windows. Il lui suffit d’utiliser la commande « migrate 2. http://fr.wikipedia.org/wiki/Personnages_de_Terminator#S. 3. www.backtrack-linux.org/. [PID] ». Le [PID] est bien évidemment remplacé par le 4. http://fr.wikipedia.org/wiki/Exploit_%28informatique%29. « Process ID » de l’application vers laquelle Meterpreter a 5. http://fr.wikipedia.org/wiki/Fonction_de_hachage. migré. 6. http://en.wikipedia.org/wiki/Pass_the_hash. Nouvelles en bref Voici quelques extraits d’articles de sécurité publiés sur Internet en mars 2012 : ZEROSPAM OBTIENT LA CERTIFICATION VBSPAM moins à risque puisque sept villes québécoises ferment le « ZEROSPAM a obtenu la prestigieuse certification VBSpam classement. Outre Lévis (50e) se classent Gatineau (49e), auprès de Virus Bulletin. Lors de cette première participation Longueuil (48e), Laval (47e), Sherbrooke (46e), Trois- au programme VBSpam, la solution ZEROSPAM a obtenu la Rivières (45e) et Québec (44e). » marque de 99,56 % et s’est classée au 5e rang des entre- s Information tirée de Cyberpresse.ca prises participantes, surclassant des rivaux tels que GFI, www.cyberpresse.ca/le-soleil/actualites/justice-et-faits- Sophos, Symantec, FortiMail et McAfee. Les commentaires divers/201202/22/01-4498639-cybercriminalite-levis-la- de Virus Bulletin sur la solution ZEROSPAM soulignent égale- ville-la-moins-a-risque.php ment la convivialité de l’interface client, le fait que chaque domaine dispose de plusieurs enregistrements MX assurant LES SYSTÈMES INFORMATIQUES DU CANADA ainsi la redondance du service, et le fait que le réseau HAUTEMENT À RISQUE ZEROSPAM est entièrement canadien. » « Des services critiques pour les Canadiens gérés par des s Information tirée de Virusbtn.com équipements désuets. Cette vérification, effectuée en juin 2011 auprès du Conseil du Trésor du Canada par un CYBERCRIMINALITÉ : chercheur d’Ottawa, démontre que 11 % des 2 100 systèmes LÉVIS, LA VILLE LA MOINS À RISQUE informatiques jugés “critiques” pour assurer les services aux « Les résidents de Lévis sont les Canadiens, parmi les habi- Canadiens sont dangereusement dépassés. Ces mêmes sys- tants des grandes villes, qui s’exposent le moins à la crimi- tèmes nécessiteraient des investissements de 1,4 milliard nalité en ligne. En effet, la ville de la rive sud arrive au de dollars pour les mettre à jour. Le gouvernement du Canada cinquantième et dernier rang d’un classement des villes dépense déjà autour de 5 milliards de dollars par années ayant le nombre le plus élevé de facteurs de risque liés à la pour ses TI. » cybercriminalité. Au Québec, la ville la plus à risque, s Information tirée de Branchez-vous.com Montréal, arrive loin au trentième rang du classement. Il www.branchez-vous.com/techno/actualite/2012/03/ semble que la province pourrait même figurer parmi les les_systemes_informatiques_du.html Printemps 2012 SÉCUS | 31 |