Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Chiffrer ou ne pas chiffrer, bonne question 2/3

Chiffrer ou ne pas chiffrer, bonne question 2/3
2009-06-032013-02-11sécurité du poste de travailfr
Dans le premier épisode, nous avons vu comment cacher des informations dans un autre fichier grâce à la stéganographie, technique simple permettant de passer des informations grâce à des messages. Mais, il est de fois plus simple de se déplacer, et lorsque l'on voyage, on est souvent...
Publié le 3 Juin 2009 par Philippe Maltere dans sécurité du poste de travail
Je vous remercie de la confiance que vous me portez aujourd'hui , de grand maitre de la sécurité, je passe au grade de gourou sécurité. J'ai pourtant un regret ,il est dommage que vu mon grand âge , je n'arriverai jamais au grade suprême de messie de la sécurité. Mais ce n'est pas grave... Atchoum, veuillez m'excuser, je crois que j'ai un peu attrapé froid lors de mon séjour au Mexique... Chers amis, je voudrai tous vous serrer dans mes bras, et vous dire à quel point je vous aime....

Mais reprenons notre formation concernant la dissimulation de données ou le passage d'information lorsqu'une entreprise ne peut pas chiffrer ses données.
Dans le premier épisode, nous avons vu comment cacher des informations dans un autre fichier grâce à la stéganographie, technique simple permettant de passer des informations grâce à des messages. Mais, il est de fois plus simple de se déplacer, et lorsque l'on voyage, on est souvent accompagné d'une boite appelée fréquemment ordinateur. Et c'est fou, ce que l'on peut faire avec celle-ci. On peut, par exemple, utiliser ADS. Non, ADS, ne veut pas dire dans ce cas Active Directory Services, mais Alternate Data Stream qui permet à des données comme du texte, des graphiques ou du code exécutable d'être stockées dans des fichiers cachés. Ces derniers sont liés à un fichier visible normal . L'ADS est utilisé par le système de fichier NTFS depuis Windows 3.1, cela ne nous rajeunit pas. De base, il avait été crée pour qu'un serveur Windows puisse être serveur de fichiers Apple. Pour être compatible avec le concept Apple de data fork et de ressource fork, Microsoft stocke ce dernier dans un flux (stream) NTFS caché, le data fork devenant le nom apparent du fichier. Mais faut il être un grand maitre pour savoir utiliser cette fonctionnalité ? Non, c'est simple, il suffit par exemple pour en créer un de rajouter deux points après le fichier « père » puis le nom du fichier.

Par exemple, echo texte du fichier > notepad.exe:ADS1. Dans cet exemple, j'ai associé à l'exécutable de bloc note, un texte « caché » nommé ADS1. Pour le visualiser, il suffit de taper type notepad.exe:ADS1. Cette manipulation reste invisible au niveau de l'explorateur, qui ne prend pas en compte (comme la commande DIR) l'espace pris par cet ADS. Cerise sur le gateau le checksum du fichier parent reste inchangé. Cette technique de dissimulation est pour cette raison très prisée par les pirates pour y déposer leur malwares (devenant presque indétectables). Il est donc possible de créer de positionner des exécutables dans ces flux, qui seront vus par le gestionnaire de tâches comme le fichier père, et non comme un stream. Comme nous le voyons, il n'existe aucun outil dans Windows standard pour détecter un ADS. Heureusement (ou malheureusement dans le cas de la dissimulation de données), il existe des outils permettant de détecter des ADS (LADS, Streams, Stream explorer,...). Cette technique peut donc être intéressante pour dissimuler des informations, si on les trouve vous pourrez toujours dire que ce sont des pirates qui ont positionné ces données, mais seul un examen très minutieux du disque le permettra. Mais comme je le dis souvent « qui vit par la technologie, périra par la technologie », c'est-à-dire qu'une technologie aura toujours sa « contre technologie » pour la repérer. Alors pour bien dissimuler ses données ne faut il pas revenir un peu en arrière ? Voir la suite...

2 Commentaires

  • 8 Juin 2009
    2009-06-08
    par
    Tout à fait, c'est pour cela que je parle plutôt du disque dur de l'appareil pour transporter ce type de données.
  • 3 Juin 2009
    2009-06-08
    par
    Bonjour,

    Juste un petit complément au stream NTFS. Si l'on copie les fichier vers un autre filesystem (FAT32 par exemple), le flux est perdu.
    Cette information est utile si l'on souhaite copier un fichier et son flux d'un ordinateur à un autre via une clé USB car celle-ci sont très souvent formaté en FAT ou FAT32.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage