Asphyxia

Soumis par Tris Acatrinei le Mardi 17 juillet 2012 à 11:40

*Ce texte a été relu et corrigé par Majinboo, Mandarine, Cowreth et Fo0_. Merci à eux.*

Ceux qui connaissent la saga Millenium de Stieg Larsson ont sans aucun doute remarqué le fameux outil utilisé par Lisbeth Salander, pour espionner certains protagonistes de l'histoire.

Au-delà de l'aspect romanesque de la saga, il convient de s'interroger sur la véracité technique d'Asphyxia.

Concrètement, est-ce que ce type d’outil existe ? Oui mais il convient d’expliquer brièvement sa composition et la façon dont il fonctionne.

Si la conception est séduisante et paraît complexe, il s’agit en fait d’une backdoor. Littéralement porte dérobée, une backdoor permet d’accéder à la machine d’une personne à distance, à en prendre le contrôle, à voir toutes les informations personnelles qui y sont enregistrées, etc.

Certains peuvent être paramétrés et configurés de manière à se connecter à Internet quasiment automatiquement dès le démarrage de la machine qui héberge localement les fichiers, ce qui est le cas dans le roman Millenium.

L’installation est faite physiquement sur les machines dont que va regarder Lisbeth, ce qui est finalement la méthode la plus rapide.

Une backdoor peut également être installée avec d’autres moyens : social engineering, Trojan, email piégé, exploitation d’une faille de sécurité ou encore consultation d’un site Web vérolé.

Dans le roman, Lisbeth crée une "image" d'Internet Explorer, à savoir un faux raccourci. La victime va naviguer sur Internet en cliquant sur ce faux raccourci. Lisbeth "pilote" alors l'internaute là où elle a envie de l'amener. à savoir, utiliser l’image d’Internet Explorer, qui en fait un faux raccourci. La victime se voit présenter une page d'Internet Explorer, qui paraît normal mais qui comporte en réalité un code malveillant, qui envoie les informations, peu importe que ces dernières soient chiffrées ou non.

Ce n’est pas tout à fait une méthode « drive-by-download » puisqu’elle ne recourt qu’à moitié à du social engineering : elle n’a pas besoin de convaincre ses victimes de télécharger le faux Internet Explorer, elle l’installe directement, mais elle compte sur l’absence de méfiance de ses cibles.

Si elle était passée par l’exploitation d’une faille de sécurité d’Internet Explorer sur la visite d’un site Web ou par un envoi de mail, cela aurait été de l’exploitation de faille Remote Code Execution (ou RCE).

Dans l’hypothèse de Millenium, c'est un système Man-in-the-Browser, qui est donc une interaction directe avec le navigateur. L’idée de ce type d’attaque est d’intercepter des communications entre deux points. Basique, une des victimes de Lisbeth veut se connecter à un site Web. La victime est le point A et le site, le point B. Lisbeth, en interceptant les communications, se situe au milieu, mais sans que les points A et B ne puissent s’en rendre compte.

Voici pour la dissection très rapide des outils qui pourraient composer Asphyxia. Il convient cependant de s'arrêter quelques instants sur un aspect purement pratique : dans le roman, Asphyxia ne fonctionne que s'il est physiquement implémenté sur une machine. On m'objectera qu'il est tout à fait possible d'installer à distance un keylogger, notamment via des méthodes de social engineering. Mais c'est la combinaison des différents outils et des différentes techniques qui rend l'exploit intéressant.

Une société suédoise ne s'y est d'ailleurs pas trompée puisqu'elle avait acheté le nom de domaine relatif à cet outil, qui devait soi-disant mener au téléchargement de ce dernier. Pour cela, il fallait entrer ses coordonnées. En réalité, la société récupérait tranquillement des adresses emails, constituant de solides bases d'information, qu'elle a vraisemblablement revendue par la suite. A l’heure actuelle, le site n’existe quasiment plus.

Toujours concernant le roman, on voit qu’à l’exception de Mikael Blomkvist, personne ne remarque que sa machine est équipée d’une backdoor. Ce type de malware est très discret et les indices de détection sont plutôt destinés à des internautes chevronnés : cela peut-être un trafic anormalement élevé, une activité plus importante du disque ou encore une activité qui paraît anormal de l’anti-virus.

En conclusion, le roman Millenium n’est pas délirant sur le plan de la technique, Asphyxia existe en tant que technique mais vous ne le trouverez pas à télécharger en cherchant dans Google et bien entendu, l’utilisation d’une backdoor à des fins d’espionnage reste illicite.

Commentaires

AdrieM (non vérifié)

Thursday 02 August 2012 à 22:47

Permalien

Hostile Takeover ?

Bonjour, désolé de commenter longtemps après le poste originel mais, une question que je me suis posée, a propos du hostile takeover, si j'ai bien compris ca parais assez compliqué a mettre en oeuvre, pense tu que ca soit quand meme réalisable techniquement parlant ? Je pense que Stieg Larsson n'es pas totalement étranger a la culture qui es la notre étant donné les nombreuses références dans le livre. En tout cas, je me suis douté que tu avais lu le roman, ca se voit au nom de ton site :)

répondre

Tris Acatrinei

Thursday 02 August 2012 à 22:53

Permalien

Hello,

Hello,
pas de soucis, il n'y a pas de date de péremption pour les commentaires.
Concernant un HTO, oui et non, c'est surtout une question d'opportunité. Si tu as la possibilité d'introduire le programme qui va bien dans la machine victime ou de faire un peu de social engineering, c'est largement faisable. Après évidemment, ce n'est pas à la portée de tout le monde et dans le roman, il est bien mentionné à plusieurs reprises que Lisbeth avait programmé elle-même son outil :)
Concernant le nom de mon site, très peu de personnes avaient fait le rapprochement avec le roman car il faut s'être enquillé les trois tomes pour comprendre la référence :)