Compte rendu du séminaire de l'ESEC sur la Lutte Informatique Offensive

Sat 07 February 2009 by Guillaume

Le laboratoire de Recherche et Développement de l'ESEC organisait le 3 février 2009 un séminaire sur la Lutte Informatique Offensive. Après une introduction de David Bizeul sur les incidents de sécurité et de cybercriminalité dans le monde bancaire, les intervenants de l'ESEC ont traité des attaques de masse puis des attaques ciblées. Voici un résumé des différentes conférences ...

Introduction

Edouard Jeanson, directeur de l’ESEC, a introduit le séminaire en présentant brièvement l’agence : le large panorama de ses compétences, ses moyens de communications et son laboratoire de Recherche et Développement, au sein duquel travaillent les intervenants de la journée.

Les incidents de sécurité et de cybercriminalité dans le monde bancaire

David Bizeul, responsable de la cellule SRT (Security Response Team) du groupe Société Générale

Le SRT est le CERT (Computer Emergency Response Team) interne de la banque ; ses missions recouvrent la veille et le traitement des incidents. Ces derniers sont de trois types :

  • sécurité IT (atteinte au système d’informations) ;
  • information (atteinte aux données ;
  • cybercriminalité (fraude).

La gestion de ces incidents de sécurité comprend trois étapes :

  • détecter : il s’agit de mettre en place des contrôles pour identifier les incidents et des processus pour les remonter aux responsables de la sécurité ; le tout en s’appuyant sur une politique de sécurité ;
  • traiter : tout en anticipant au maximum les menaces, il faut disposer d’outils et suivre divers modes opératoires pour faire face aux incidents ;
  • communiquer : les informations adaptées doivent être transmises aux bonnes personnes ; il est ainsi capital de savoir « qui fait quoi » au sein de l’entreprise.

David Bizeul a ensuite détaillé les principales causes des incidents de sécurité qui touchent les entreprises :

  • la politique de sécurité est appliquée de manière laxiste. Ainsi, il est courant que la gestion des patchs n’inclue pas la vérification de leur installation…
  • l’entreprise anticipe peu ou pas les menaces. Par exemple, il est rare que tous les vecteurs de propagation des menaces soient connus et considérés.
  • les processus de crises sont inexistants : en cas d’incident, qui sont les administrateurs Windows et réseau à contacter ? Qui sont les bonnes personnes à solliciter ?
  • la sécurité n’est pas intégrée dans les projets.

Dans un second temps, David Bizeul a dressé un tableau des principales menaces qui touchent le monde bancaire, au travers de sa méthode de gestion des incidents (détecter-traiter-communiquer). Les menaces sont nombreuses : intrusions, malwares & virus, déni de service, deffacement, usurpation d’identité, fuite d’informations, intelligence économique et racket, escroquerie (phishing, scam), keylogger, vol de trafic (slamming, domain hijacking), etc… L’usage d’Internet par les salariés joue un rôle dans ces menaces ; ainsi la fuite d’informations est facilitée par l’utilisation fréquente de services à la mode tels que les réseaux sociaux (Facebook, Linkedin), les webmails ou les sites de gestion documentaire (Google Documents). Il est impératif de sensibiliser les salariés à ce genre de problème, de façon à ce qu’ils ne fassent pas sortir des informations confidentielles de l’entreprise. De manière générale, la cybercriminalité affecte la relation de confiance que la banque entretient avec ses clients. Mais la complexité de la situation et le nombre important d’acteurs qui y prennent part, limite la capacité de réaction de la banque.

Les hébergeurs bullet-proof

Alexandre Gazet et Gabriel Campana

Parmis les hébergeurs bullet-proof les plus connus, on peut citer :

  • RBN (Russian Business Network), dont une étude détaillée a été rédigée par David Bizeul
  • McColo, qui était responsable de plus de la moitié du spam mondial

Les hébergeurs bullet-proof sont répartis en deux catégories : les hébergeurs passifs d’une part, peu regardants sur le contenu hébergé et ne tenant pas compte des plaintes adressées par les autorités, et d’autre part les hébergeurs actifs, qui proposent en plus des services explicites pour des prix plus élevés, tout en ne fournissant pas ou peu de conditions générales de ventes (CGV). Il est facile de trouver de tels hébergeurs en passant par un moteur de recherche, mais pour leur étude Alexandre Gazet et Gabriel Campana ont préféré partir de la « source », c’est-à-dire de malwares, pour remonter aux hébergeurs avec qui ces malwares communiquent. Ils se sont ensuite renseignés sur les noms de domaines associés à ces hébergeurs pour en apprendre un peu plus sur ces derniers qui, contrairement aux idées reçues, ne sont pas tous localisés en Chine ou en Russie. Ils ont choisi de mener leur étude sur l’hébergeur Nano, situé en Lettonie. Celui-ci dispose de CGV « classiques », tout en proposant une politique tarifaire intéressante. La première étape a été de retrouver tous les noms de domaine rattachés à la plage d’adresses IP affectée à Nano. Certains noms de domaine sont composés de caractères aléatoires. Pour bien référencer ces domaines, les cybercriminels ont recours à des techniques de « black SEO » (Search Engine Optimization). Il s’agit de techniques d’exploitation abusive des biais des moteurs de recherche, dont le but est d’améliorer le référencement pour augmenter le nombre de visites. Bien que rudimentaires, elles sont toujours efficaces. Parmi ces techniques, on trouve :

  • le cloaking : cette technique consiste à ne pas proposer le même contenu selon que le visiteur est un internaute ou un moteur de recherche ;
  • le link farm : de multiples pages se référencent entre elles ;
  • le keyword stuffing : la page Web est remplie de mots-clés.

Les sites qui emploient ce genre de techniques risquent le blacklisting, c’est-à-dire l’exclusion de l’index du moteur de recherche. En étudiant le contenu hébergé par Nano, Alexandre Gazet et Gabriel Campana y ont découvert de nombreux faux blogs menant vers des sites de vente de médicaments ou encore de jeux en ligne. La technique du cloaking y est particulièrement bien employée, ainsi que le keyword stuffing, en association avec du padding (de nombreuses phrases aléatoires permettent de rendre les mots clés relativement moins nombreux pour éviter le blacklisting). D’autre part, des robots sont chargés de poster un maximum de liens vers les blogs hébergés, toujours dans le but d’améliorer le référencement de ces derniers. Enfin, on trouve aussi sur Nano des faux sites imitant l’interface de Youtube et destinés à la distribution de malwares. En conclusion, Nano se caractérise comme hébergeur bullet-proof passif. Les techniques de Black SEO employées se révèlent très efficaces pour référencer les différents sites finaux générateur de revenus: médicaments, jeux en lignes, distribution de malware. L'architecture (faux blogs, relais, robots) est particulièrement flexible et son déploiement peut être en grande partie automatisée.

Analyse d'un botnet venu du froid

Damien Aumaitre, Christophe Devaux et Julien Lenoir

Un botnet peut être défini comme un ensemble de machines compromises à l’insu de l’utilisateur, et contrôlées par un ou plusieurs serveurs qu’on appelle serveur CC (« Command and Control »). Les botnets peuvent servir à envoyer du spam, à générer de la fraude aux clics, du black SEO ou encore à voler les informations personnelles des machines compromises. Il est souvent difficile de repérer les serveurs CC et d’évaluer l’architecture du botnet, car ces derniers ont recours à des techniques telles que le « fast flux DNS », qui consiste à tirer parti des limitations inhérentes à l’implémentation du protocole DNS pour attribuer des milliers d’adresses IP à un même nom de domaine, dans le but de cacher celui-ci dans la masse et de rendre son identification plus compliquée. Les botnets emploient également des techniques « Peer-to-Peer » (P2P) pour décentraliser la gestion des machines tout en chiffrant les communications avec des algorithmes propriétaires. Ces réseaux sont bien souvent exploités de manière professionnelle ; ils constituent un vrai marché et génèrent des sommes importantes. Le botnet le plus important est certainement « Conficker », dont F-Secure a estimé mi-janvier qu’il était composé d’environs 9 millions de machines, envoyant près de 10 milliards de spam par jour… L’arrêt des serveurs CC ne signifie pas la fin des botnets, comme l’a montré la fermeture fin 2008 de l’hébergeur McColo : quelques jours plus tard les machines compromises ont trouvé de nouveaux serveurs CC, grâce à des algorithmes leur permettant de trouver automatiquement de nouveaux « donneurs d’ordres ». En pratique, une machine devient compromise suite à une infection par un malware. Les vecteurs d’infection sont nombreux : clé USB avec fonction autorun, téléchargement de faux codecs ou faux générateur de clé, e-mails piégés ou exploitation de failles… Une fois installé sur le système d’exploitation, le malware va récupérer un lanceur qui va lui-même récupérer un malware qui transforme alors la machine en « zombie », prête à recevoir des ordres du serveur CC.Le lanceur est souvent générique et contient les adresses « en dur » des serveurs hébergeant les malwares à télécharger. Damien, Christophe et Julien ont étudié un botnet à partir d’un poste infecté. Ils ont pu constater que le malware était relativement artisanal, qu'il communiquait avec un serveur CC très récent et qu'il revendiquait un certain patriotisme puisqu’il ne touchait pas les systèmes dont la langue était le russe … Le malware analysé est composé de quatre éléments :

  • psyche

Ce composant s’enregistre en tant que service Windows puis se cache de l’utilisateur, tel un rootkit, avant de se connecter au serveur CC pour récupérer un fichier de configuration, ainsi que le template du spam à envoyer et les adresses des destinataires. Une fois l’opération terminée, la campagne de spam peut commencer. Le malware communique avec le serveur CC au moyen d’un protocole dont les échanges sont chiffrés. Il est également capable d’exécuter un shellcode sur le système hôte.

  • putmuk

Le but de ce composant est de déchiffrer les mots de passe des comptes FTP enregistrés sur la machine compromise, et de transmettre les identifiants au serveur CC ; le botnet a en effet besoin de place, il est donc preneur de tout espace FTP sur lequel il pourrait stocker des données … L’auteur du malware dispose d’une interface d’administration des machines infectées, il peut ainsi vérifier rapidement si les comptes FTP qui lui sont envoyés sont bien valides.

  • banker

Comme son nom l’indique, ce composant a pour vocation de récupérer les informations bancaires saisies par le propriétaire de la machine compromise. Pour cela, il installe un plugin pour Internet Explorer, offrant plusieurs fonctionnalités : keylogger, enregistrement des données des formulaires Web, injection de HTML à la volée sur les sites bancaires. Cette dernière fonctionnalité permet d’ajouter un champ (comme le numéro de carte bleue) au véritable formulaire d’un site bancaire. L’utilisateur confie ainsi ses informations à des tiers sans s’en apercevoir.Il est à noter qu’il existe des générateurs de BHO « banker » avec interface administrateur et très simples d’utilisation …

  • fake alert

Ce composant est classé dans la catégorie des « scareware » : il a pour but de vendre des logiciels aux utilisateurs en ayant recours à des pratiques malhonnêtes. Le malware va faire apparaître à l’écran de fausses alertes de sécurité ou simuler de faux « écrans bleus », pour pousser l’utilisateur à acheter un antivirus ou un anti-malware. À cette occasion, le malware volera les informations bancaires et pourra modifier l’affichage des pages Web. En analysant certaines machines infectées, Damien, Christophe et Julien ont pu remonter jusqu’au propriétaire du botnet et arriver aux conclusions suivantes : il apparaît que celui-ci dispose de compétences techniques limitées, il loue les services d’experts du domaine et il ne se cache pas (il peut être facilement contacté par messagerie instantanée). Au final, le bilan comptable de la mise en place d’un tel botnet est positif : les coûts (développement, location de serveur) sont largement inférieurs aux profits (vente de spam, de données personnelles, etc). Même un botnet non professionnel comme celui qui vient d’être étudié se révèle efficace ; l’investissement est minimal mais lucratif. Le botnet est toujours en ligne, bien que l’auteur soit facilement identifiable. Peut-être que le caractère relativement moins dangereux de ce botnet comparé à d’autres lui permet de ne pas être encore concerné par des plaintes …

Contournement des produits de sécurité

Jean-Baptiste Bédrune et Yoann Guillot

Le discours des éditeurs de produits de sécurité a pour but de convaincre les acheteurs potentiels que ces produits peuvent les protéger de « l’internet hostile », qu’ils assurent l’intégrité, la confidentialité et l’authentification des données, mais aussi qu’ils peuvent contrer les pirates, les virus, les botnets, le spam, etc. Jean-Baptiste Bédrune et Yoann Guillot ont analysé plusieurs produits de sécurité pour en étudier les possibilités de contournement.

  • Antivirus

Les antivirus utilisent principalement des bases de signatures pour détecter les virus. Mais pour détecter les virus inconnus (dont la signature n’est pas dans la base), il existe diverses techniques, comme l’analyse spectrale, l’émulation ou l’analyse comportementale. Il est possible de contourner la signature d’un virus. Pour cela, il suffit d’isoler la signature dans la base et de muter n'importe quel bit de la partie reconnue, ou meme d’y appliquer une technique de poly/métamorphisme. En effet, la signature dépend souvent d'une tres grande partie du code du virus, il est donc très simple d'y modifier un élément insignifiant pour que ce dernier ne soit plus détecté, sans affecter ses fonctionnalités malveillantes. Les fonctionnalités d’analyse comportementale sont tres peu utiliséees en pratique, mais elles sont elles aussi contournables. Elles consistent à surveiller un programme et à lever une alerte si celui-ci exécute des actions suspectes. Il s’agit alors pour l’attaquant de modifier l’enchaînement des actions malveillantes du programme (ajouter un délai d’attente, partager la tâche avec plusieurs processus, etc) afin de passer outre le filtre.

  • Détecteur d’intrusion (IDS)

Les IDS fournissent les fonctionnalités de scanner réseau, de détection de signature sur le contenu du trafic ou encore d’analyse statistique du trafic. Plusieurs situations rendent difficile voire impossible le travail de l’IDS : chiffrement des flux, flux trop importants, protocole trop complexe, ambiguïté de la gestion d’erreur. Yoann Guillot a détaillé deux exemples d’attaques, l’un basé sur la désynchronisation (l’attaquant va faire croire à l’IDS que la connexion avec le serveur cible a été fermée en envoyant un paquet RST ayant un TTL faible), l’autre sur des en-têtes HTTP malformés (duplication du champs Content-length par exemple).

  • Système de prévention d’intrusion (HIPS)

Ces solutions tentent de combler les limitations des antivirus en fournissant une protection contre le « zéro-day » (menaces inconnues) en détectant par des hook de certaines API ou du noyaux l'exécution de shellcodes, et proposent également de restreindre les capacités du compte administrateur (pour se protéger par exemple contre les chevaux de troie). Pour contourner la détection des shellcodes, il est possible de camoufler l’adresse de retour des appels vers les fonctions protégées, ce qui trompe facilement les HIPS. Ceci est possible en faisant pointer l'adresse de retour vers une zone de code saine qui servira de relai avant de repasser la main au code malveillant. Ce type de leurre peut être enchaîné pour tromper même les HIPS plus évolués.Enfin les restrictions des comptes administrateurs sont très complexes à configurer, ce qui les rend toujours contournable.

  • Le chiffrement de fichiers

Jean-Baptiste Bédrune a pris l’exemple du système de chiffrement File Vault, intégré à MacOS X. Les spécifications du système ne sont pas publiées, outre le fait que la clé de chiffrement est dérivée du mot de passe de l’utilisateur et que l’algorithme de chiffrement est AES. Le condensé du mot de passe est stocké dans un fichier shadow, sous deux formes : -SHA-1 (avec un sel de 32 bits). La présence de sel rend les rainbow tables inefficaces, il reste alors la force brute pour retrouver le mot de passe. -NTLM (pour la compatibilité avec le partage SMB). Il existe des rainbow tables pour NTLM, ce qui permettrait de retrouver le mot de passe s’il n’est pas trop compliqué. Mais Jean-Baptiste Bédrune a orienté son étude dans une autre direction, puisqu'il a analysé le processus loginapplication.app qui gère l’authentification au système. Ce processus conserve le mot de passe en clair et ne l’efface jamais ! (Cette faille est connue et reportée depuis plusieurs années). Mais il faut disposer des droits root pour accéder au processus. Or lorsque l’utilisateur active l’hibernation du système, la mémoire de tous les processus est sauvegardée sur le disque dans le fichier d'hibernation ; fichier accessible a un attaquant qui possède un accès au disque, ce qui lui permet donc de récupérer les mots de passe du système, et par la suite les clés de chiffrement des fichiers. Apple conseille de désactiver l’hibernation ou encore de cocher l’option de chiffrement du fichier d’hibernation, mais dans ce dernier cas la clé de chiffrement est stockée en clair dans le fichier, rendant celle-ci totalement inutile.

  • Authentification forte

Le but est ici de contourner le code PIN associé à une carte à puce. Cette dernière se bloque souvent au bout de trois essais infructueux. Pour la débloquer, il faut entrer un code PUK. Il est inutile d’essayer trouver ce code PUK par force brute car la carte se bloque au bout de 30 essais infructueux. Jean-Baptiste Bédrune a analysé la génération du code PUK sur un modèle particulier de cartes. Celui-ci dépend du numéro de série de la carte (facilement accessible), du code client (commun à toutes les cartes d’une même entreprise) d’une entropie de 16 bits. Si l'on peut se procurer une instance particuliere d'un code PUK pour une carte dont on connaît le numéro de série, il est alors facile de tester toutes les possibilités correspondant à ces 16 bits, et donc au final de pouvoir générer un code PUK pour toute carte partageant le même code client. Il suffit alors pour l’attaquant de subtiliser la carte de son collègue, de la bloquer par trois essais de code PIN invalide, puis d’entrer le code PUK ; il sera alors en mesure d’entrer son propre code PIN, afin de bénéficier des droits accordés à son collègue. En conclusion, Jean-Baptiste Bédrune et Yoann Guillot ont souligné que chaque produit présente des limitations, et souvent même des vulnérabilités, d’autant plus que ces produits sont complexes, sans parler des erreurs de configuration. Tout est contournable, ce n’est qu’une question de temps et de moyens. Ces produits se révèlent inefficaces contre une attaque ciblée, mais offrent néanmoins une légère protection contre les attaques génériques massives (spam de virus, ...).

Les PDF malicieux

Guillaume Delugré et Frédéric Raynal

Le succès du format PDF s’explique en partie par la confiance qu’il inspire par rapport aux fichiers Office, il est même devenu une norme que Guillaume Delugré et Frédéric Raynal ont analysée en détails pour y découvrir des failles conceptuelles, plus longues à trouver mais plus difficiles à corriger. La norme date de 1991, elle intègre aujourd’hui le JavaScript, mais aussi l’audio, la vidéo, la 3D ou encore le flash. Le PDF est à la fois un langage et un format de fichier composé d’une structure et d’un ensemble d’objets. L’intégration du JavaScript implique que des fonctions dangereuses sont implémentées. Il existe des restrictions mais celles-ci sont faciles à contourner car basées sur une liste noire. Par ailleurs, la sécurité est paramétrée au niveau de chaque utilisateur du reader PDF et les fichiers de configuration leur sont accessibles en écriture… Cela va permettre à un attaquant de déclencher des actions par un simple clic de souris, ou dés l’ouverture ou la fermeture du document. Souvent une fenêtre pop-up avertira l’utilisateur d’une action que ce dernier s’empressera alors d’exécuter pour aller plus vite … Le moteur JavaScript, dérivé du moteur SpiderMonkey de Mozilla, s’exécute soit dans un contexte non privilégié (par défaut), soit privilégié, auquel cas il dispose d’un large panel de fonctions. Le code JavaScript peut être stocké soit dans le document en lui-même, soit dans le répertoire du document ; dans ce cas il est exécuté en mode privilégié ! Le PDF peut contenir des pièces jointes mais le filtrage s’opère uniquement par extension du nom de fichier, et l’utilisateur peut ajouter sa propre liste blanche dans la base de registre où les paramètres en question sont accessibles en écriture par l’utilisateur. Le format PDF inclue l’accès au réseau, la vérification n’est basée que sur une liste noire en fonction de nom d’hôtes, il suffit alors d’utiliser l’adresse IP …Par ailleurs, il est possible de signer numériquement les fichiers PDF, en joignant le certificat public au fichier. L’étape supplémentaire est la certification, c’est-à-dire une seconde signature avec un certificat dit « de confiance », mais qui est stocké dans la base des certificats Adobe dans le dossier de l’utilisateur : il va donc être facile de certifier un document, ce qui lui conférera davantage de droits ! Enfin le PDF intègre des « usage rights », ce sont des actions facultatives qu’il est possible d’autoriser ou non pour un fichier (modification, impression, signature, etc). Il faut disposer de la fonction payante d’Adobe pour pouvoir les activer. Mais une fois cette version installée, on peut récupérer le certificat d’Adobe car la clé privée associée est également stockée sur le disque dur… Après la présentation théorique des failles conceptuelles du format, Guillaume Delugré et Frédéric Raynal ont procédé à plusieurs démonstrations qui ont permis de montrer qu’il était possible de :

  • cacher du PDF dans d’autres formats
  • mettre en œuvre la technique du « zip bomb » pour faire facilement planter l’ordinateur
  • sauter d’une page à l’autre en permanence, ce qui rend le document illisible
  • contourner la technique de surlignage en noir d’informations confidentielles avant diffusion
  • lancer une connexion à un site dés l’ouverture du fichier PDF

Puis deux démonstrations plus poussées ont été réalisées. Le premier est une preuve de concept de virus en PDF en s’appuyant sur les Usage Rights permettant à un fichier PDF de se copier sur le disque. Le second exemple illustre une attaque ciblée ou un premier fichier malicieux corrompt la configuration de l’utilisateur et liste les fichiers intéressants sur son système. Chaque fichier PDF reçu ensuite par la cible contient une commande destinée à faire « fuiter » un document sélectionné par l’attaquant.

Les rootkits navigateur

Christophe Devaux et Julien Lenoir

Un rootkit est un programme malveillant dont le but est de garder le contrôle partiel ou total d’un système après une intrusion, tout en étant furtif.Pourquoi s’intéresser au navigateur ? Il occupe aujourd’hui une place centrale dans l'utilisation que fait une personne de son ordinateur, et surtout il est autorisé à se connecter à Internet puisque c'est son but premier. Une activité liée à Internet comme une communication avec un attaquant peut donc paraître normale si elle est effectuée depuis un navigateur Web. De plus, il traite de nombreuses données sensibles saisies par l’utilisateur. Le développement du rootkit s’effectue ici selon certaines contraintes : il doit s’exécuter avec des droits restreints et privilégier la furtivité, sans laisser trop de traces sur le système d’exploitation. Christophe a développé le rootkit sous la forme d’une extension pour Firefox. Les extensions pour le navigateur de Mozilla ont l’avantage de rester persistantes grâce au gestionnaire d'extensions de Firefox qui s'occupe seul de les charger. En les développant en utilisant uniquement du JavaScript, il est facile de créer une extension multiplateforme. Il ne reste alors plus qu'à cacher l'extension malicieuse et à la faire communiquer avec l'attaquant. Une extension Firefox est un fichier compressé contenant des fichiers JavaScript, XUL, CSS et binaires. Une fois l’extension installée (à l’aide d’un virus, d’un fichier PDF malicieux ou comme une extensions légitime), celle-ci va se cacher soit de l’utilisateur (à l’aide d'un fichier CSS) soit de Firefox (en supprimant l’extension du composant de gestion d’extension). Il est aussi possible d’infecter une extension déjà installée. Ensuite, cette dernière va communiquer avec l’extérieur (site Web ou serveur de contrôle de botnet) en HTTP/HTTPS ou au moyen de l’objet XmlHttpRequest. Le rootkit va pouvoir infecter d’autres ordinateurs en interceptant les e-mails envoyés et en se rajoutant en tant que pièce jointe.L’extension utilise l'interface XPCOM de Firefox, ce qui lui donne accès aux mots de passe et aux cookies stockés, mais elle peut également exécuter un processus, agir comme un keylogger, sniffer le réseau ou envoyer du spam … Il n’est pas vraiment possible de se prémunir contre ces extensions malveillantes, cela est dû à la gestion trop permissive des extensions par le navigateur. Julien s’est intéressé au navigateur de Microsoft. Ce dernier ne possède pas le même système d’extensions que Mozilla, mais il dispose d'un système de modules appelés BHO (Browser Helper Object). Cependant, il faut être administrateur du poste pour pouvoir ajouter un BHO, ce ne sera donc pas la solution retenue ici. Julien va plutôt injecter du code dans le processus du navigateur en utilisant une vulnérabilité de celui-ci (maintenant corrigée, mais le principe est applicable à toute nouvelle vulnérabilité). Une fois dans le processus d'Internet Explorer, il crée d’abord un onglet furtif (c'est à dire invisible) qui va permettre ensuite de corrompre les caches du navigateurs, de façon à ajouter dans la zone « de confiance » le site qui contrôle le rootkit. Une fois cette étape terminée, le rootkit est en mesure de lire et écrire des fichiers ou le registre Windows, sans laisser de traces, mais aussi d'accéder aux données saisies par l’utilisateur lors de son utilisation du navigateur, en récupérant les entrées des formulaires par exemple. Le rootkit dispose d’un module de communication par l’objet XmlHttpRequest, qui lui permet de recevoir les ordres distants et d’exfiltrer des informations, mais encore d’exécuter du code sur le système hôte. En pratique, le rootkit est capable d’intercepter des e-mails envoyés au moyen d’un webmail. Pour finir, Christophe et Julien ont insisté sur l’analogie qui existe entre un rootkit pour navigateur et un rootkit pour un système d'exploitation.

Conclusion

Luc-François Salvador, Président Directeur Général de Sogeti, a conclu le séminaire en justifiant la présence d’un laboratoire de Recherche et Développement au sein d’une SSII. Il a également rappelé l’importance que revêt la sécurité des systèmes d’informations pour Sogeti.