Support \ compléments et informations sur le Hackers guide

Questions et réponses sur les spywares (16/05/05)

Nouvelles questions et réponses au (16/05/05)

Après quelques mois de diffusion, cet ouvrage a produit quelques dizaines d'échanges entre nous. Je vous invite à continuer à m'écrire, vos questions étant toujours une source d'inspiration sans fin. Commençons donc cette série de transcriptions de nos échanges par des messages sympathiques !

Q  Bonjour Monsieur, J'ai entamé la lecture de votre 'Guide. Simplement pour savoir si vous êtes tj parmi nous étant donné l'ultimatum free (en fait Tiscali NDEC)? Cordialement

R Ce lecteur à la gentillesse de s'inquièter pour mon accès Internet ! Je l'ai rassuré : pas de suite de ce côté, la hache de guerre est enterrée !

Questions Spyware

Qu'est ce qu'un Spyware ?

Le phishing et le spyware sont actuellement les deux fléaux de l'internet. Les failles de vulnérabilité de MSIE innombrables en ce domaine favorisent le développement fulgurant du navigateur alternatif Firefox.

Les spywares sont ces logiciels à la frontière du virus, du spam et du plugin qui s'ajoutent à votre système et pirates vos données ou affichent des publicités intempestives. Le meilleur outil anti spyware - gratuit - disponible à l'heure actuelle est Spyboat search and destroy.
Vous pouvez vous tenir au courant de l'actualité sur le spyware en visitant le blog rubrique sécurité.

Pourquoi à peine ré-allumé, les spywares supprimés se retrouvent-ils de nouveaux sur mon ordinateur ?(question par mail le 16 Mai 05)

C'est le fond du problème : les spywares sont prévus pour se réinstaller "sauvagement" : le moyen de les érradiquer définitivement est d'utiliser un antispywares (voir http://www.echarton.com/liens_download.htm)

Y a t'il un exécutable sur mon pc avec un nom anodin qui va rechercher sur le net tout ce que l'anti-spyware avait supprimé ?(question par mail le 16 Mai 05)

Pas spécialement: il existe un ensemble de méthodes, pour réinstaller un spyware. Il n'y a pas d'exécutable générique à localiser.

Pourquoi l'anti-virus ne détecte rien d'anormal. (question par mail le 16 Mai 05)

C'est le fond du problème ! Les antivirus ne savent pas détecter les spywares, et nombre d'utilisateurs se croient protégés part ces outils alors qu'ils ne le sont pas. Un antivirus doit aujourd'hui être associé à un Antispyware

Un fichier téléchargé sur réseau peer to peer peut il contenir un spyware ?

Oui ! Depuis fin décembre, des fichiers sonores au format WMA d'un genre douteux circulent sur les réseaux P2P. Ceux qui ont essayés de les lire se sont retrouvés avec une collection impressionnante d'espiogiciels (spywares) sur leurs PC. Ces WMA sont en fait des fichiers protégés dont dont le système de gestion des droits d'auteur (en anglais Digital right management ou DRM) a été détourné pour permettre l'installation de logiciels espions.

Que fait le spyware ?

Le plus souvent, il se contente d'afficher des messages publicitaires pendant vos sessions internet. Mais il n'est pas rare qu'il collecte vos informations  (mots de passes, carnet d'adresse e.mail) pour les transmettre à l'autre bout de la planète. Il peut aussi transformer votre PC en relais d'envoi de  publipostage sauvage (spam).

Questions diverses

• Protection clé en main !

Q : J'ai lu avec attention votre livre, car avant de connecter le réseau de mon entreprise ( 10 personnes ) via un accès adsl, je voulais savoir à quels dangers je pourrais être confronté. Mes connaissances en informatique me permettent de mettre en route un réseau , mais pas de le sécuriser. Je pensais trouver dans votre ouvrage une démarche pas à pas pour sécuriser son accès et ses machines, mais je ne l' ai pas trouvé peut-être ne l' ai-je pas vu. Pouvez-vous me donner des informations utiles ou l'adresse d'un site expliquant pas à pas comment fermer tous les ports inutiles et filtrer les messages email inopportun.

R Il n'existe pas de "recette clef en main" pour sécuriser un réseau. Le postulat de l'ouvrage est vous transmettre les connaissances nécessaires pour que vous puissiez mettre en oeuvre vous mêmes vos mesures de protection.

Chaque chapitre présente une méthode d'attaque sous trois angles :

·       La technique de piratage

·       La mise en pratique (pour vérifier si votre réseau est vulnérable)

·       La contre mesure (pour supprimer votre vulnérabilité)

C'est la "contre mesure" qui vous protégera, mais chaque chapitre présente la contre mesure adaptée au contexte (exemple protection virale, ou protection contre les paquets ICMP ou encore le SCAN).

Si nous avions indiqué une recette "globale", il est certain que vous n'auriez pas pu protéger correctement et complètement votre réseau. Désolé, donc, il va vous falloir tout lire !

• Prise de contrôle à distance

Q : Je viens de faire l'acquisition de votre ouvrage "Hacker's guide". Je tiens tout d'abord vous féliciter pour la clarté de celui-ci, que je trouve très abordable  malgré mon niveau (plus que) débutant en matière "d'intrusion réseaux"...

J'aimerais vous demander si vous connaissez la situation que je vis en ce moment … sur le plan micro-informatique, bien sur !

Je me suis aperçu que mon ordinateur, (sous WinXP Pro) était de plus en plus chargé... Après quelques recherches, il m'est apparu  que mon disque dur contenait près de 5 Go d'images JPG, et; c'est ce qui m'interpelle, que ces dernières étaient stockées dans un répertoire intitulé C:\ProgramFiles\Accessories\Temp34. Ces images sont des captures écran.

A raison d'une capture d'écran chaque 50 secondes, je vous laisse imaginer la place occupée...J'ajoute qu'un fichier "keylog" s'y crée aussi, où sont retranscrits toutes mes écritures, tout ce que je tape sur le clavier! Auriez-vous 1'idée de la manière dont cela m'est arrivé? Une solution facile consisterait elle à formatter mon Disque Dur et réinstaller le système ?

R Que vous est il arrivé ? Le pire ! Un espionnage de votre écran (probablement via un troyen), et de votre clavier. La totale ! Oui, pour la solution, vous avez raison : utilisez notre chapitre 12 pour tout reformatter et supprimer toute trace des espions de votre machine. Mais pas seulement.

Vous devez aussi remplacer tous vos mots de passe qui ont probablement étés volés via le keylogger. Vous devez aussi, et surtout, vous assurer que personne n'a accès physiquement à votre ordinateur, car il est bien possible que votre machine ai subit une intrusion par le biais de son clavier.

• Analyser muet

Q Je suis Lionel et je suis en train de lire un de vos livres :"hackers guide". J'aimerais savoir pourquoi lorsque j'utilise le programme "analyser", je ne reçois apparemment rien. Cela peut-il venir de mon firewall???

R Très probablement. Essayez de passer ce dernier en mode NAT pour qu'il relaie toutes les requêtes IP vers l'extérieur, et procédez à des vérifications sur votre réseau local.

• Pinger muet

De très nombreux messages font état de l'impossibilité d'utiliser un PING sur certains sites voire sur leur propres ordinateurs. Ceci est du à la mise en place de protection "Anti Ping", et il n'y a quasiment rien à faire pour contourner ces protections. :

Voici par exemple un message envoyé par le robot Octave de l'hébergeur OVH qui explique cette démarche d'Anti Ping:

J'ai mis plusieurs protections en plus sur les routeurs. Vous ne pouvez – par exemple - plus du tout pinger la passerelle par défaut (ne vous en étonnez donc pas). Cette protection est mise en place pour faire face aux attaques que nous subissons depuis 4 jours. Elles ne sont pas très graves en soit mais coupent icmp (et donc ping). Si vous avez reçu des alertes sans justification vous savez maintenant pourquoi !

Que s'est il passé ici ? Soumis à un bombardement incessant de pings de la mort, l'hébergeur choisit de protéger ses routeurs, en amont de son réseau. Résultat ? Plus de ping !

• SSH ne fonctionne plus

Q Mon accès telnet sécurisé ne fonctionne plus, est ce à cause d'un pirate?

R Pas forcément : il peut s'agir d'une protection mise en place par votre hébergeur, si vous utilisez un SSH dont la versions trop ancienne, alors vous êtes peut être victime d'une attaque.

Questions et réponses sur le Wi-Fi

Q Qu'en est-il de la sécurité d'un réseau sans fil ?

R La sécurité d'un réseau 802.11b est plus que moyenne. En effet, le protocole de cryptage utilisé (WEP) est crackable, même dans sa version 128 bits. Mais la plupart du temps, le problème vient de l'administrateur réseau qui n'active pas les fonctionnalités de contrôle d'accès et de cryptage sur son réseau. La sécurité d'un tel réseau repose donc surtout sur sa bonne configuration. Il existe néanmoins des sociétés qui proposent des systèmes de sécurité renforcés pour les réseaux sans fil.

 Q Est il vrai que la cryptage du réseau 802.11b est crackable sans tester toutes les combinaisons des clefs.

 R : Malheureusement oui ! Il a été démontré que la clef pouvait être identifiée par des mesures statistiques (en observant le trafic réseau pendant quelques temps). Ce qui signifie que le temps de décryptage de cette clef s'en trouve considérablement réduit.

 Q : Le wi-fi est il sûr ?

 R : Selon une étude parue dans un article de VNUNET, menée sur 100 entreprise de grande taille, environ 80 d'entre elles seraient accessibles par wi-fi depuis l'extérieur de leurs immeubles ... Tout est dit. (voir aussi l'aricle de Marc Olanié). Dans la plupart des cas, ces réseaux étaient accessibles par manque de configuration (pas de cryptage, pas de wep), mais il existe aujourdhui des outils logiciels qui permettent de scanner les réseaux sans fils et de "cracker" leurs codes wep. En conclusion, le seul moyen de fiabiliser à peu près un réseau sans fil est de bien le configurer, et surtout, de maitriser complètement sa portée d'émission.

Nouvelles questions et réponses au 06/04

• Question de droit

Q : Votre livre, "Créez votre site Web", m'a intéressée à plus d'un titre, en particulier pour les quelques exemples édifiants d'"expériences  malheureuses" en matière d'hébergement chez un fournisseur d'accès Internet. Confrontée à un problème de la sorte, j'aurais aimé en savoir  plus sur le droit Internet. Connaissez-vous une adresse de site ou de forums de discussions traitant de ce vaste sujet Merci d'avance. Florence R
P.S. : Si cela vous intéresse, je pourrais vous exposer mes propres déboires avec un ISP basé en Corse.

R: Vous pouvez essayer ce lien http://www.juriscom.net/. Tous les témoignages sont les bienvenus, ils seront éventuellement intégrés dans la prochaine édition.

• Question sur les Proxy (16 mai 2005)

Q :J'ai commencé la lecture de votre livre Hacker's Guide et je me pose une question vis à vis des proxy. Leur utilisation est elle vraiment légale? Je me pose cette question à cause du  téléchargement sur les réseaux P2P car c'est à partir de l'adresse IP que  les forces de l'ordre peuvent connaitre l'identité de la persone qui télécharge. Donc l'utilisation des proxy permet de contourner la loi.

• Surf anonyme ...

Q : J'ai acheté votre ouvrage "Hacker's Guide". Je tiens tout d'abord à vous féliciter pour sa clarté! J'aimerais savoir pourquoi lorsque j'utilise le programme Stealther en mode "super stealth", lors de mes tests d'envoi d'e-mail mon IP est toujours reprise en clair dans l'entête des messages... Est-ce normal ? Comment faire pour que cela n'arrive pas ? (Note : je suis sous windows XP et j'utilise Outlook Express )

R: Stealther ne masque que les requêtes http. Il ne peut pas agir sur les entête de mails qui sont indiquées par le logiciel de messagerie.

• Lecteur assidu et un errata, un !

Q : Je suis actuellement en train de lire le livre Hacker’s Guide que vous avez rédigé. Je suis plutôt surpris de l’explication sur les classes d’adresses IP que j’y trouve page 35 dans le chapitre 2 : Les défauts de TCP/IP. Je vois les explications curieuses suivantes : 1^er point : « Dans 192.168.10.1 192 est la classe A 168 est la classe B 10 est la classe C. « Je ne comprends absolument pas le sens de cette explication. Pour moi les classes d’adresses ne se déterminent pas ainsi, mais avec le 1^er octet de l’adresse en binaire. Si l’adresse commence par : 0 Il s’agit d’une classe A 0 -> classe B 110 -> classe C 1110 -> classe D 11110 -> classe E. Dans une classe C, il est écrit que l’on peut « attribuer 255 adresses à ses ordinateurs ». Ceci est faux puisque 0 (réseau) et 255 (broadcast) sont réservés, donc sur les 256 valeurs il n’en reste en réalité plus que 254. 3^ème exemple : « Imaginons une entreprise qui possède le numéro de classe B, 192.200 « Ceci est faux puisque Une adresse dont le 1^er octet est 192 c'est-à-dire 11000000  est une adresse de « classe C » puisque commençant par 110.  L’exemple d’adressage qui suit est donc faux lui aussi puisque vous procédez à un adressage de 192.200.0.0 à 192.200.255.255. Ceci ne peut pas fonctionner puisque le 3^ème octet fait partie de l’adresse du réseau. Vos machines ne pourront donc pas communiquer puisqu’elles se retrouvent sur un réseau différent (je rappelle que le masque par défaut d’une classe C est 255.255.255.0). Je sais, pour en avoir fait l’expérience que les systèmes nous laissent parfois écrire des âneries en mettant par exemple un masque de sous réseau de classe B pour une adresse de classe C et que cela fonctionne, mais d’un point de vue de la  norme, cela est faux et totalement absurde.  Je ne suis pas un expert en réseau mais seulement un étudiant en Informatique. Je pense ne pas avoir pas commis d’erreur, avant d’écrire cet email j’ai avant tout vérifié auprès de plusieurs sources sur Internet et dans mes cours de l’année dernière. Je suppose que ce n’est pas le premier email que vous recevez concernant ce chapitre, mais si ça l’est, j’espère qu’il servira à une éventuelle correction de Hacker’s Guide ou à l’un de vos futurs ouvrages.

R : Ces corrections sont faites dans les édition suivantes (voir erratum)

• Le Ping me va ...

Q : C'est avec beaucoup d'intérêt que j'ai commencé à lire votre ouvrage. Mais je me demande s'il est légal de faire un ping ou quelques uns sur un site ne serait-ce que pour vérifier que sa connexion internet fonctionne bien (je le fais régulièrement sur le site de la cnil) ?

R : Le ping standard est une opération légale prévue par la norme d'internet. Il permet de vérifier qu'un ordinateur relié au réseau fonctionne, exactement comme lorsque vous pressez un interrupteur pour vous assurer qu'une lampe n'est pas grillée. C'est l'utilisation de Ping re programmés pour mettre hors circuit un serveur qui peut tomber sous le coup de la loi.

• Drôle de Virus

Q  : J'ai eu le plaisir d'acheter votre livre intitulé "Hacker's Guide" (Edition de luxe) ainsi que le CD "Kit Campus" qui est fournit avec. A ma grande surprise, ce CD est contaminé !!. Veuillez voir attaché la liste des fichiers infectés. Je vous serai très reconnaissant de bien vouloir m'informer comment je peux avoir ce CD sans virus !

Q :Je viens de faire l'acquisition du livre : "Hacker's Guide - Edition Deluxe. Je vous signale que le programme "pinger.exe" sur le CDROM est infecté par un virus.

Q  Sur le CD après analyse virale, j'ai trouvé trois virus :
Le fichier F:\Pinger\divers\pinger\pinger.exe est infecté par le virus Hacktool.DoS. Le fichier F:\Pinger\divers\pingui\pinger.exe est infecté par le virus Hacktool.DoS Le fichier compressé ddosping.exe dans F:\FoundStone_tools\ddosping.zip est infecté(e) par le virus Hacktool.

R: L'édition de Luxe vous indique au début , qu'un certain nombre de fichiers du CD sont identifiés par les anti virus par ce qu'ils sont des outils de piratage (Hack Tools). Mais il ne s'agit évidemment pas de virus, mais bien de logiciels. Je vous invite à revoir l'ouvrage pour plus d'informations.

• Romuald écrit à mon éditeur ... (merci Romuald ...)

Q Via votre service de remarque sur votre site web, j'ai fais parvenir ce document concernant le livre Hacker's Guide, IBSN: 2-7440-1536-9 dont le contenu laisse la porte ouverte à la connaissance spartiate et bafoué du monde des réseaux. Dès lors, si vous avez le soucis de la qualité de vos ouvrage, veuillez prendre note de ces quelques remarques, et à cet égard, je reste à votre disposition afin d'y apporter plus d'éléments probants. Merci de votre professionnalisme en tenant compte des propos ci-dessous et d'acter cela.  

"Etant certifié Cisco CCNA/CCNDA, je me trouve dans l'obligation de prendre en partie (je préfererai nettement être pris "à partie" ... NDEC) l'auteur Eric Charton pour son livre intitulé "Hacker's Guide" (ISBN: 2-7440-1536-9). Lors de mon passage en librairie, je suis tombé sur un exemple que j'ai feuilleté et acheté après avoir constaté bon nombre d'hérésies et de méconnaissances de l'auteur sur bon nombre de sujets traités à l'image du protocole TCP/IP complètement remanié à la sauce Charton. Ainsi, à la page 34, il déclare qu'une adresse IP 192.168.10.1 est attribuée par exemple lors de la connection à l'Internet donc à un réseau dit public. Est-ce bien sérieux de prendre en exemple une IP qui fait partie d'un range privé et réserver à l'adressage de Lan (réseaux locaux). De plus, à la page suivante, l'explication des classes d'adresses IP est une révolution en la matière, et le document RFC0791 décrivant le standard se voit complètement ridiculiser par cette hérésie. Bon nombres d'exemples ont été relevés et je me ferais un plaisir de vous les cités si besoin est. Je suis à la page 187 du dit livre et à ma droite 5 feuilles recto-versos de remarques, corrections et hérésies à apportés ou
supprimés.  Enfin, si vous êtes soucieux de la qualité et la véracité des  livres que vous publiés, merci de faire relire le livre par une personne experte (je suis prêt à partager mes remarques) afin de réaliser un errata ou une correction du présent livre."

R (de E.Charton) : Romuald ne nous a jamais envoyé ses 5 feuillets ... Pour ce qui est des erreurs de classe IP, voir correction plus haut et dans l'erratum. Pour ce qui est de la page 34, il ne s'agit pas d'une erreur mais de l'utilisation d'une adresse effectivement non opérationnelle, dans une optique d'illustration (si une "vrai adresse" était mentionnée, elle pourrait correspondre à une machine réelle, dont le propriétaire n'apprécierait probablement que modérément la diffusion dans un ouvrage tel que celui ci). C'est exactement le principe des faux numéros de téléphones utilisés dans les films ou les fictions pour éviter de publier au hasard le vrai numéro d'un pauvre abonné qui se retrouverait submergé par des appels farceurs.

Pour ce qui est de l'éventuelle collaboration de Romuald, c'est raté. Romuald, petit scarabée, franchement, crois tu que c'est en tapant sur le dos des copains qu'on écrit des bouquins ?

• Analyser en analyse

Q:  je viens de me procurer votre livre que je lis avec le plus grand intérêt. J'ai voulu expérimenter le logiciel "Analyser", mais sans résultat car je travaille sur un PC à la maison avec une liaison ADSL. Auriez-vous la gentillesse et le temps de m'indiquer si il existe un outil pour surveiller les échanges sur le modem ADSL. Je voudrais savoir, comme vous l'imaginez peut-être, si certaines applications (strictement de bureau, non web) communiquent "secrètement" avec leurs - disons - auteurs, pendant qu'elles s'exécutent ?

R: Analyser peut surveiller toute forme d'échange, y compris les paquets qui transitent sur un modem Adsl, si ce dernier est relié par Ethernet à un routeur ou un hub dans les conditions décrites dans l'ouvrage. Je vous confirme que de nombreuses applications communiquent avec leurs éditeurs, pas toujours en vous prévenant.

• Chaude question sur ICMP

R: Bonjour et merci de votre intérêt pour mes publications,  Je répond rarement à des questions aussi précises lorsque mon interlocuteur utilise une boîte anonyme et ne me fournit pas son nom de famille. Ceci dit, pour ce qui est de l'ICMP tout ce qui peut être dit techniquement est dans le livre, la documentation d'ICMP est librement accessible et le reste est affaire de programmation.. Désolé de ne pouvoir vous aider plus.

• Agression anti charton !

Q:J'ai trouvé que ce livre survole beaucoup de sujets, mais n'apprends rien qu'un lamer ne sache déjà. Je m'attendais quand même à des explications sur netstat, sur les tables de routages, etc. Bref, un cours de réseau minimal ! Mais non, il s'agit d'un ensemble de modes d'emploi pour logiciels "utiles" aux pirates.  Il me semblait pourtant que les pirates n'utilisaient pas Windows... C'est invraisemblable mais vrai : ce livre occulte complètement l'univers Unix.  Un titre racoleur pour un livre à éviter. (commentaire de Mathusalem paru sur Amazon.fr)

R: Cette question soulève le problème des commentaires des "lecteurs" sur les sites de vente en ligne. Outre le fait que la plupart de ces commentaires sont souvent bidonnés par les éditeurs et les auteurs (vous ne le saviez pas ?), ils manquent souvent de discernement, et sont si peu nombreux qu'ils donnent parfois un regard très peu loyal sur les ouvrages qu'ils critiquent (les râleurs écrivent plus que les lecteurs contents, ce qui est logique); Heureusement, le public tranche (7 éditions pour le Hackers Guide ...)

Revenons en aux affirmations de Mathusalem (qui comme chacun le sait, à plus de 5000 ans et peut donc avoir quelques problèmes de vue). Ce livre n'est pas un cours réseau. Son but est d'aider la plus vaste population possible (donc les débutants, aussi) à se protéger contre quelques méthodes de piratage et d'espionnage. Si ce lecteur avait lu l'introduction et le premier chapitre de l'ouvrage, ou même le dos du livre, il aurait compris la démarche. Il est certain qu'une explication de netstat ou des tables de routages n'apporterait rien à un utilisateur. Dans ce contexte, occulter l'univers Unix (en réalité, le livre parle beaucoup d'Unix mais ne donne pas de clefs pour pirater avec les outils d'Unix, nuance) tombe sous le sens, les victimes d'actes d'espionnage ou de piratage, sont surtout équipés de Windows, bien évidemment !

Pour ce qui est de l'affirmation selon laquelle les pirates n'utilisent pas Windows, nous laissons ce lecteur à sa méconnaissance du milieu du hack. En ce domaine, il n'existe pas de dogme ou de mode, seul le résultat compte ... Bien souvent le premier code d'un outil de hack est livré portable, c'est à dire compilable sur n'importe quel système moyennant quelques adaptations... Édicter une règle en la matière est donc un peu audacieux : quand on est bon en programmation système, très franchement, on est bon sur tous les systèmes. Les meilleurs virus ou spyware sont ainsi écrits en assembleur (par ce que plus compacts et plus indépendants du système, voir multi codes pour fonctionner sur 68000 et famille de processeurs Intel), ce qui exige - cher lecteur - un très haut niveau de technicité, sans doute plus élevé que celui de programmer sous n'importe quel OS (Linux ou Unix compris).

Au fait, utiliser les outils réseaux que vous citez pour pirater ne fait pas de l'utilisateur un Hacker, mais bel et bien un Lamer (faux pirate) ... Si vraiment vous voulez en savoir plus sur ce sujet, une seule page comme celle ci - par exemple - vous suffira ... Pas de quoi écrire un bouquin !

Complément au 23 Juillet 2007 : cette réponse fût écrite pour la deuxième édition qui traitait peu du phénomène des spywares et des troyens. On a vu depuis, avec quelle efficacité, les hackers ont colonisés des troupeaux entiers de PC (qu'on appelle des ferme d'ailleurs), avec des Troyens, systhématiquement écrits sous Windows. Dont acte ...