articles
réactions
Jeff - 06.02.2007 | 0 réactions | #link | rss
Les failles dites "client-side" concernent plus particulièrement les utilisateurs et leur poste de travail. En effet, ces failles s'appliquent aux logiciels de bureautique courants et non aux systèmes serveurs et autres mainframes.

Par définition, la principale victime est donc l'utilisateur du poste; par rebond, tout son voisinage réseau peut également être infecté (ce qui présente un intérêt dans le cas d'un employé travaillant sur le réseau de son entreprise, moins dans le cas du consommateur de base). Ainsi, il n'est pas rare de voir les plus grands acteurs (sic) du domaine de la sécurité se heurter à des infrastructures bien protégées puis viser les employés pour ensuite réussir à remonter vers les serveurs. Je ne leur jette pas la pierre, quand il n'y a pas le choix il faut bien s'en contenter...

Pour les internautes privés, les enjeux sont tout autres cependant. D'une part, les risques pris par un pirate sont très faibles, d'autre part les bénéfices sont multiples: une fois le poste de l'internaute contrôlé, il est virtuellement possible d'en faire ce que l'on veut. Envoyer ou relayer du mail et du spam, créer des réseaux de machines pour spammer massivement, héberger de faux sites webs, voler ou espionner des informations privées telles que numéros de cartes bancaires, identités, forcer l'achat de logiciels, etc...

Pour les anglophones, allez vous faire peur avec cette petite vidéo: quand un vers intègre une faille client-side (VML, dans IE). En gros, en prenant l'exemple de MySpace (voir mon post précédent), l'attaquant compromet un utilisateur, lui injecte son code, qui lui-même se répand par email entre les utilisateurs de Myspace, qui à leur tour sont infectés en ouvrant ce mail, etc, etc...
L'histoire originale du vers est disponible ici. Il n'utilisait pas de faille client-side, mais a réussi à compromettre plus d'1 million de comptes en 20h.


L'utilisation de failles client-side permettrait d'attaquer directement les postes des utilisateurs et non leurs comptes web. Les conséquences seraient catastrophiques.

Pour enfoncer un peu le clou, ces failles existent pour une multitude (la totalité?) d'applications courantes:

  • Microsoft Office (Word, Excel, Access, etc.): les fichiers peuvent contenir macros, virus, buffer overflows...

  • Acrobat Reader (fichiers PDF): multiples failles dans les plugins de navigateur, heap overflow dans le reader (critique).

  • Emails: attaques de phishing, XSS et autres manipulations des URLs.

  • VCard: buffer overflows divers et variés.

  • Pages web: tout contenu actif peut intégrer des virus ou autres (ActiveX, etc.)

  • Java: buffer overflow dans la JVM (critique)

  • Winzip: buffer overflows dans l'application (ici).

  • Images (JPG, WMF, VML, GIF, etc) : multiples vulnérabilités critiques.

Jeff - 13.09.2006 | 0 réactions | #link | rss
Récemment converti -pour de bon- aux torrents, mais utilisateur de longue date de la mule, j'ai galéré quelques temps avant de trouver chaussure à mon pied, c'est-à-dire le client qui m'offrait la simplicité et le contrôle auxquels j'étais habitué. Voici donc mes différentes tentatives, subjectives et incomplètes:

- BitTorrent est de loin le plus laid et le moins intuitif à mon goût, mais il reste le réflexe en matière de client torrent. J'avoue qu'il n'est pas resté longtemps chez moi, même s'il a fallu ruser pour le désinstaller (le programme de désinstallation se trouve dans le répertoire d'installation, il faut l'y chercher).

- TurboTorrent est un client dont le nom m'a tout de suite plu, forcément... Côté fonctionnalités, il est convenable et permet de maîtriser pas mal de paramètres. L'interface web est pourrie, mais j'ai décidé de m'en passer. Par contre, j'ai trouvé qu'il utilisait beaucoup de ressources et rendait mon PC un poil bruyant... genre tondeuse à gazon au milieu du salon...

- Azureus, la petite grenouille, semblait très prometteur mais s'est révélé le pire des 4. J'ai voulu le tester à force de voir d'autres clients de ce type se connecter au mien... par curiosité donc. L'interface change encore une fois des autres clients, il faut un certain temps pour s'y retrouver. Il permet de contrôler beaucoup de paramètres, mais là j'avoue que certains d'entre eux me sont restés obscurs; rien de plus lourd que de devoir tester plusieurs valeurs d'un paramètre pour pouvoir comprendre à quoi cela sert. J'en ai donc conclu que seuls les développeurs devaient vraiment savoir leur signification.
Là où les choses se sont gâtées, c'est quand mon PC s'est mis à planter régulièrement (un beau freeze, bien brutal, CPU à 100%, reset hard requis). J'ai testé différentes choses pour comprendre d'où cela provenait. La première raison que j'ai identifiée concerne l'espace disque disponible; en effet, ce petit malin s'amusait à allouer l'intégralité des téléchargements même si ceux-ci n'avaient pas encore démarré ou étaient totalement arrêtés. Et avec ma fâcheuse habitude d'avoir des listes d'attente de 10 pages... plusieurs centaines de Go étaient donc requis. Bien entendu, aucun message d'avertissement n'est affiché, même les logs restent obscurs.
J'ai donc activé l'option d'allocation incrémentale, qui a résolu le problème. Mais pas les plantages. J'ai donc jeté l'éponge.

- MicroTorrent était mon joker, le remplaçant d'Azureus, ce dernier commençant à me taper sur le système. Et là, j'avoue que pour l'instant je n'ai pas été déçu: pas d'installation requise, faible consommation de ressources (13 Mo en mémoire pour 15 torrents en téléchargement, à env. 350-400Ko/s), paramètres compréhensibles et efficaces jusqu'au clic sur l'icone. Il ne fait pas la cuisine, ni le ménage, juste ce qu'on lui demande. Exactement ce que je cherchais.


Pour la suite, encore quelques trucs à chercher, raffiner, etc... Au programme, utilisation conjointe avec la mule (cela tournait bien avec TurboTorrent), interface en ligne de commande (si cela existe), planification de la bande-passante réservée en fonction de l'heure et du jour...
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch