Chiffrer ou ne pas chiffrer, bonne question 2/3

Partager

Je vous remercie de la confiance que vous me portez aujourd'hui , de grand maitre de la sécurité, je passe au grade de gourou sécurité. J'ai pourtant un regret ,il est dommage que vu mon grand âge , je n'arriverai jamais au grade suprême de messie de la sécurité. Mais ce n'est pas grave... Atchoum, veuillez m'excuser, je crois que j'ai un peu attrapé froid lors de mon séjour au Mexique... Chers amis, je voudrai tous vous serrer dans mes bras, et vous dire à quel point je vous aime....

Mais reprenons notre formation concernant la dissimulation de données ou le passage d'information lorsqu'une entreprise ne peut pas chiffrer ses données.
Dans le premier épisode, nous avons vu comment cacher des informations dans un autre fichier grâce à la stéganographie, technique simple permettant de passer des informations grâce à des messages. Mais, il est de fois plus simple de se déplacer, et lorsque l'on voyage, on est souvent accompagné d'une boite appelée fréquemment ordinateur. Et c'est fou, ce que l'on peut faire avec celle-ci. On peut, par exemple, utiliser ADS. Non, ADS, ne veut pas dire dans ce cas Active Directory Services, mais Alternate Data Stream qui permet à des données comme du texte, des graphiques ou du code exécutable d'être stockées dans des fichiers cachés. Ces derniers sont liés à un fichier visible normal . L'ADS est utilisé par le système de fichier NTFS depuis Windows 3.1, cela ne nous rajeunit pas. De base, il avait été crée pour qu'un serveur Windows puisse être serveur de fichiers Apple. Pour être compatible avec le concept Apple de data fork et de ressource fork, Microsoft stocke ce dernier dans un flux (stream) NTFS caché, le data fork devenant le nom apparent du fichier. Mais faut il être un grand maitre pour savoir utiliser cette fonctionnalité ? Non, c'est simple, il suffit par exemple pour en créer un de rajouter deux points après le fichier « père » puis le nom du fichier.

Par exemple, echo texte du fichier > notepad.exe:ADS1. Dans cet exemple, j'ai associé à l'exécutable de bloc note, un texte « caché » nommé ADS1. Pour le visualiser, il suffit de taper type notepad.exe:ADS1. Cette manipulation reste invisible au niveau de l'explorateur, qui ne prend pas en compte (comme la commande DIR) l'espace pris par cet ADS. Cerise sur le gateau le checksum du fichier parent reste inchangé. Cette technique de dissimulation est pour cette raison très prisée par les pirates pour y déposer leur malwares (devenant presque indétectables). Il est donc possible de créer de positionner des exécutables dans ces flux, qui seront vus par le gestionnaire de tâches comme le fichier père, et non comme un stream. Comme nous le voyons, il n'existe aucun outil dans Windows standard pour détecter un ADS. Heureusement (ou malheureusement dans le cas de la dissimulation de données), il existe des outils permettant de détecter des ADS (LADS, Streams, Stream explorer,...). Cette technique peut donc être intéressante pour dissimuler des informations, si on les trouve vous pourrez toujours dire que ce sont des pirates qui ont positionné ces données, mais seul un examen très minutieux du disque le permettra. Mais comme je le dis souvent « qui vit par la technologie, périra par la technologie », c'est-à-dire qu'une technologie aura toujours sa « contre technologie » pour la repérer. Alors pour bien dissimuler ses données ne faut il pas revenir un peu en arrière ? Voir la suite...

Nicolas Jacquey
Philippe Maltere

_