Ministère de l’Enseignement Supérieur
et de la Recherche Scientifique
  
Université de Carthage
  
Institut ...
‫إنشاء‬‫إختبارات‬ ‫برمجية‬‫المنزلية‬ ‫للعبارات‬ ‫المعلوماتية‬ ‫السالمة‬
‫ملخص‬:‫شهادة‬ ‫عهى‬ ‫نهحصىل‬ ‫انجايعٍت‬ ‫انذراساث...
Remerciements
u terme de ce projet de fin d’études, mes vifs
remerciements sont dédiés à tous ceux qui ont
contribué, dire...
Table des Matières
Page i
...................................................................................................
Table des Matières
Page ii
1.1.4.Outils de scan des ports....................................................................
Table des Matières
Page iii
2.3.Attaques et exploits ........................................................................
Liste des Figures
Page iv
Figure 1 : Logo SagemCom ..........................................................................
Liste des Figures
Page v
Figure 24 : Résultat d’un simple scan des ports et services ........................................
Liste des Tables
Page vi
Tableau 1 : Règles du pare-feu......................................................................
Introduction
Page 1
’est en pleine guerre froide que l’internet est née, est ce pour maintenir les
télécommunications opér...
Introduction
Page 2
passerelle en question, sera alors, le véritable cœur de tout le réseau local et la borne de tous les
...
Introduction
Page 3
outils d’audit de sécurité ainsi que l’élaboration d’un plan de tests couvrant les principales failles...
Chapitre 1 Contexte du projet
Page 4
Ce premier chapitre est consacré à la présentation du contexte général du projet. Le ...
Chapitre 1 Contexte du projet
Page 5
multimédia), des télécoms, de l’énergie (M2M1
, infrastructures télécoms, compteurs c...
Chapitre 1 Contexte du projet
Page 6
 La conception et le développement de logiciels pour les décodeurs TV numériques sou...
Chapitre 1 Contexte du projet
Page 7
2.2. Objectifs du projet
Afin d’atteindre l’objectif principal du projet, qui consist...
Chapitre 1 Contexte du projet
Page 8
Figure 4 Diagramme de Gantt représentant les principales étapes du projet
Conclusion
...
Chapitre 2 Concepts de base
Page 9
Dans ce chapitre, nous entamerons par une description des passerelles résidentielles (o...
Chapitre 2 Concepts de base
Page 10
 DHCP (Dynamic Host Configuration Protocol) pour offrir une configuration de réseau
T...
Chapitre 2 Concepts de base
Page 11
Figure 5 Connectivité et services des TRs SagemCom
1.2.3. TV sur IP
Les TRs SagemCom o...
Chapitre 2 Concepts de base
Page 12
Réseau sans fil (WIFI)
Les TRs SagemCom offrent la possibilité d’interconnecter les pé...
Chapitre 2 Concepts de base
Page 13
Port Forwarding
Le Port Forwarding ou redirection de port consiste à rediriger les paq...
Chapitre 2 Concepts de base
Page 14
2. Tests de pénétration (Pentesting)
Vu que les TRs SagemCom offrent des solutions à h...
Chapitre 2 Concepts de base
Page 15
 Black box testing : c’est une méthode permettant de réaliser des tests fonctionnels ...
Chapitre 2 Concepts de base
Page 16
relatifs aux meilleures pratiques internationales, aux lois et à la régularisation son...
Chapitre 2 Concepts de base
Page 17
2.3.3. Autres standards et méthodologies:
« Penetration Testing Execution Standard » (...
Chapitre 2 Concepts de base
Page 18
des TRs, en particulier les TRs SagemCom, leurs fonctionnalités et les services qu’ils...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 19
Les TRs SagemCom offrent plusieurs services et fonct...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 20
 Module VoIP : cette section sera consacrée aux ris...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 21
1.1.1. Scan des ports
Le scan de port est une étape ...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 22
Figure 6 TCP Scan (sur un port ouvert)
SYN Scan
Ce t...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 23
 Fin Scan n’active que le drapeau FIN utilisé si le...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 24
 TCP decoy : Cette technique consiste à leurrer l'h...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 25
1.1.1.3. Analyse des résultats
Chaque type de scan u...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 26
des services, il utilise une base de données pour fa...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 27
 Réalisation des tous les types des scans listés ci...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 28
 OSVDB : Open Source Vulnerability Data Base est un...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 29
1.2.2. Outils de scan des vulnérabilités
Dans cette ...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 30
o 2 GB (32 bits), 4 GB RAM (64 bits).
o 10 GB + d’es...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 31
Temps d'exécution type de License plateforme Extensi...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 32
Ci-dessous un graphe qui présente le pourcentage des...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 33
1.3. Exploits et autres types d’attaques
1.3.1. Expl...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 34
Attaque DDOS:
Ce sont les attaques qui provoquent l’...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 35
 Internet Gateway Device (IGD).
 Audio/Video (A/V)...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 36
Figure 16 Redirection vers une autre adresse locale
...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 37
 Redirection du trafic vers une adresse IP routable...
Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels
Page 38
Dans le monde du libre, on trouve un outil similaire...
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles
Prochain SlideShare
Chargement dans…5
×

Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles

1 680 vues

Publié le

Set up of a security test plan for residential gateways
Abstract: This work, done within the company "Sagemcom" is part of the project for obtaining Computer and Network Engineer Telecommunication National Graduation. The objective of this project is the establishment of a security testing solution for residential terminals. These terminals are the heart of any particular or professional network. Aware that the bridges are highly exposed to risks related to computer security, a test plan will cover possible scenarios and touch all functionality of the gateway (network access, WiFi, UPnP, VoIP, IHM). These tests will eventually be launched on a wide range of Sagemcom products to validate the proposed test environment.
Key Word: Gateway, Security, hacking, pentesting, vulnerability

Publié dans : Technologie
0 commentaire
1 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 680
Sur SlideShare
0
Issues des intégrations
0
Intégrations
37
Actions
Partages
0
Téléchargements
67
Commentaires
0
J’aime
1
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles

  1. 1. Ministère de l’Enseignement Supérieur et de la Recherche Scientifique    Université de Carthage    Institut National des Sciences Appliquées et de Technologie Projet de Fin d’Etudes Pour l’obtention du Diplôme National d’Ingénieur en Sciences Appliquées et en Technologie Filière : Réseaux informatiques et télécommunications Sujet : Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles Réalisé par : Salmen HITANA Entreprise d’accueil : Soutenu le 25/01/2012 Responsables entreprise : Raouf BEN SAÏD Dorra BEN AMARA Responsable INSAT: Kamel KAROUI Année Universitaire : 2011/2012
  2. 2. ‫إنشاء‬‫إختبارات‬ ‫برمجية‬‫المنزلية‬ ‫للعبارات‬ ‫المعلوماتية‬ ‫السالمة‬ ‫ملخص‬:‫شهادة‬ ‫عهى‬ ‫نهحصىل‬ ‫انجايعٍت‬ ‫انذراساث‬ ‫خخى‬ ‫يشزوع‬ ًٍ‫ض‬ ‫كىو‬ ‫سجاو‬ ‫شزكت‬ ً‫ف‬ ‫أَجش‬ ‫انذي‬ ‫انعًم‬ ‫هذا‬ ‫ٌُذرج‬ ‫واإلحصاالث‬ ‫اإلعاليٍت‬ ‫انشبكاث‬ ً‫ف‬ ‫يهُذص‬.ٍ‫ي‬ ‫يجًىعت‬ ‫وضع‬ ‫إنى‬ ‫انًشزوع‬ ‫هذا‬ ‫وٌهذف‬‫انًعهىياحٍت‬ ‫انساليت‬ ‫إخخباراث‬ ‫االَخزَج‬ ‫قزاصُت‬ ‫قبم‬ ٍ‫ي‬ ‫انًحخًهت‬ ‫نههجًاث‬ ‫انًُشنٍت‬ ‫انجسىر‬ ‫يقاويت‬ ٍ‫ي‬ ‫انخأكذ‬ ‫إنى‬ ‫حهذف‬ ً‫انخ‬(‫انهاكزس‬ ‫أو‬.)‫يىقع‬ ٌ‫إ‬ ‫انخارجٍت‬ ‫انشبكاث‬ ٍٍ‫ب‬ ‫وصم‬ ‫َقطت‬ ‫ًٌثم‬ ‫وانذي‬ ‫انشبكاث‬ ً‫ف‬ ً‫انًُشن‬ ‫انجسز‬(‫االَخزَج‬)‫ٌجعهه‬ ،‫انًُشل‬ ً‫ف‬ ‫انذاخهٍت‬ ‫وانشبكت‬ ًٍ‫ج‬ ‫عهى‬ ‫انهاكزس‬ ‫هجًاث‬ ٍ‫ي‬ ‫نهكثٍز‬ ‫يعزض‬‫انًحاور‬ ‫ع‬:،‫انالسهكٍت‬ ‫و‬ ‫انسهكٍت‬ ‫انشبكت‬UPnP،‫االَخزَج‬ ‫عبز‬ ‫انهاحف‬ ‫خذيت‬ ، ‫نخحكى‬ ‫انًسخخذو‬ ‫واجهاث‬.‫فاعهٍخها‬ ٍ‫ي‬ ‫نهخأكذ‬ ‫انًُشنٍت‬ ‫انعباراث‬ ٍ‫ي‬ ‫يجًىعت‬ ‫عهى‬ ‫حجزبخها‬ ‫سٍخى‬ ‫اإلخخباراث‬. ‫المفاتيح‬:‫ثغزة‬ ،‫هجًت‬ ،‫انهاكزس‬ ،‫انًُشنٍت‬ ‫انعباراث‬ ،‫انًعهىياحٍت‬ ‫انساليت‬ Mise en place d’une solution de tests de sécurité pour les passerelles résidentielles Résumé: Le présent travail, effectué au sein de l’entreprise "SagemCom", entre dans le cadre du projet de fin d’études pour l’obtention du diplôme national d’ingénieur en Réseau Informatique et Télécommunication. L’objectif de ce projet est la mise en place d’une solution de tests de sécurité pour les terminaux résidentiels. Ces terminaux sont le cœur même de tout réseau particulier ou professionnel. Conscient du fait que les passerelles sont hautement exposées aux risques liés à la sécurité informatique, ce plan va couvrir des scénarios envisageables et toucher à toutes les fonctionnalités de la passerelle (accès réseau, Wifi, UPnP, VoIP, IHM). Ces tests seront finalement lancés sur une panoplie de produits SagemCom (différents types des TRs) permettant de valider la pertinence de l’environnement de test proposé. Mots-clés : terminaux résidentiels, sécurité, pentesting, exploits, failles Set up of a security test plan for residential gateways Abstract: This work, done within the company "Sagemcom" is part of the project for obtaining Computer and Network Engineer Telecommunication National Graduation. The objective of this project is the establishment of a security testing solution for residential terminals. These terminals are the heart of any particular or professional network. Aware that the bridges are highly exposed to risks related to computer security, a test plan will cover possible scenarios and touch all functionality of the gateway (network access, WiFi, UPnP, VoIP, IHM). These tests will eventually be launched on a wide range of Sagemcom products to validate the proposed test environment. Key Word: Gateway, Security, hacking, pentesting, vulnerability Intitule et adresse complète de l’entreprise : Entreprise : SagemCom Adresse : 34, avenue de Paris, 2033 Megrine, Ben Arous, Tunisie Tél. : +216 71 297 100 Fax : Email : stages-sst@sagemcom.com
  3. 3. Remerciements u terme de ce projet de fin d’études, mes vifs remerciements sont dédiés à tous ceux qui ont contribué, directement ou indirectement à l’élaboration de ce projet. En premier lieu, j’exprime ma gratitude au Docteur Kamel KAROUI pour sa confiance, ses directives, ses conseils et pour m’avoir accordé son temps. Je voudrais également exprimer ma reconnaissance envers M. Raouf BEN SAÏD et Mlle. Dorra BEN AMARA qui m’ ont encadré pendant ce projet avec beaucoup de disponibilité. Je voudrais témoigner par la suite ma reconnaissance à toutes les personnes qui m’ont également fait bénéficier de leurs conseils et de leurs expériences en particulier M. Zied TLILI, ingénieur validation chez SagemCom. Toutefois, il faut souligner que ce travail n’aurait pu voir le jour sans le savoir faire acquis dans mon honorable institut l’Institut National des Sciences Appliquées et de Technologie. C’est donc avec une immense fierté que j’adresse mes remerciements les plus distingués à tous mes enseignants. A
  4. 4. Table des Matières Page i ...................................................................................................................1 ......................................................................................................4 1.PRESENTATION DE L’ORGANISME D’ACCUEIL ............................................................4 1.1.SagemCom Tunisie ..........................................................................................................................5 1.2.Sagemcom Software & Technologies .............................................................................................5 2.PRESENTATION DU PROJET.............................................................................................6 2.1.Contexte du projet............................................................................................................................6 2.2.Objectifs du projet ...........................................................................................................................7 2.3.Planification du déroulement du projet ........................................................................................7 CONCLUSION............................................................................................................................8 .............................................................................................................9 1.LES TERMINAUX RESIDENTIELS .....................................................................................9 1.1.Présentation des Terminaux Résidentiels:....................................................................................9 1.2.Les TRs SagemCom ........................................................................................................................ 10 1.2.1.Accès internet haut débit...................................................................................................... 10 1.2.2.Téléphonie ............................................................................................................................. 10 1.2.3.TV sur IP ................................................................................................................................. 11 1.2.4.Connectivité ........................................................................................................................... 11 1.2.5.Autres utilitaires et services ................................................................................................ 12 2.TESTS DE PENETRATION (PENTESTING) ...................................................................14 2.1.Présentation du pentesting .......................................................................................................... 14 2.2.Types du « Pentesting »................................................................................................................. 14 2.3.Pentesting : Méthodologie et standard........................................................................................ 15 2.3.1.OSSTMM.................................................................................................................................. 15 2.3.2.OWASP.................................................................................................................................... 16 2.3.3.Autres standards et méthodologies: ................................................................................... 17 CONCLUSION..........................................................................................................................17 ..............19 1.MODULE RESEAU...............................................................................................................20 1.1.Ports, services et OS....................................................................................................................... 20 1.1.1.Scan des ports........................................................................................................................ 21 1.1.2.Scan des services ................................................................................................................... 25 1.1.3.Détection d’OS....................................................................................................................... 26
  5. 5. Table des Matières Page ii 1.1.4.Outils de scan des ports........................................................................................................ 26 1.2.Scan des vulnérabilités ................................................................................................................. 27 1.2.1.Types de scan des vulnérabilités......................................................................................... 28 1.2.2.Outils de scan des vulnérabilités......................................................................................... 29 1.3.Exploits et autres types d’attaques .............................................................................................. 33 1.3.1.Exploits................................................................................................................................... 33 1.3.2.Autres types d’attaques ........................................................................................................ 33 2.MODULE UPNP...................................................................................................................34 2.1.Présentation................................................................................................................................... 34 2.2.Risques et vulnérabilités............................................................................................................... 35 2.3.Outils de tests................................................................................................................................. 37 3.MODULE WIFI.....................................................................................................................38 3.1.Présentation................................................................................................................................... 38 3.2.Risques et vulnérabilités............................................................................................................... 39 3.3.Outils de tests................................................................................................................................. 40 4.MODULE VOIP ....................................................................................................................41 4.1.Présentation................................................................................................................................... 41 4.2.Protocole VoIP................................................................................................................................ 41 4.3.Risques et vulnérabilités............................................................................................................... 43 4.4.Outils de tests................................................................................................................................. 44 CONCLUSION..........................................................................................................................45 .........................................................................................46 1.ENVIRONNEMENT DE TEST............................................................................................47 1.1.Environnement matériel............................................................................................................... 47 1.2.Environnement logiciel ................................................................................................................. 47 1.2.1.Les systèmes d’exploitation dédiés sécurité ...................................................................... 47 1.2.2.Choix du système d’exploitation le plus adéquat .............................................................. 48 1.3.Architecture réseau de la plateforme de tests............................................................................. 49 2.MODULE RESEAU...............................................................................................................50 2.1.Scan des ports, services et OS........................................................................................................ 50 2.1.1.Outils de tests......................................................................................................................... 50 2.1.2.Tests réalisés ......................................................................................................................... 51 2.1.3.Profils de scan Zenmap......................................................................................................... 55 2.2.Scan des vulnérabilités ................................................................................................................. 56 2.2.1.Scanneurs des vulnérabilités automatiques ...................................................................... 57 2.2.2.Scanneurs des vulnérabilités Web ...................................................................................... 60
  6. 6. Table des Matières Page iii 2.3.Attaques et exploits ....................................................................................................................... 62 2.3.1.Outils de tests........................................................................................................................ 63 2.3.2.Tests réalisés ......................................................................................................................... 63 2.3.3.Anciennes attaques ............................................................................................................... 71 3.MODULE UPNP...................................................................................................................73 3.1.Présentation des tests ................................................................................................................... 73 3.2.Tests realisés.................................................................................................................................. 73 4.MODULE WIFI.....................................................................................................................75 4.1.Présentation des tests ................................................................................................................... 75 4.2.Tests réalisés.................................................................................................................................. 76 4.MODULE VOIP ....................................................................................................................78 4.1.Présentation des tests ................................................................................................................... 78 4.2.Tests réalisés.................................................................................................................................. 78 4.2.1.Déni de service....................................................................................................................... 78 4.2.2.Vol de session......................................................................................................................... 79 CONCLUSION..........................................................................................................................80 ...............................................................................81 ...................................................................................................................82 ..............................................................................................................................85 ............................................................................................... 88 ............................................................................. 89 ....................................................................... 89 ............................................ 91 ................................................................ 92
  7. 7. Liste des Figures Page iv Figure 1 : Logo SagemCom ................................................................................................................4 Figure 2 : Organigramme de SagemCom.............................................................................................5 Figure 3 : Produits SagemCom............................................................................................................6 Figure 4 : Diagramme de Gantt représentant les principales étapes du projet .......................................8 Figure 5 : Connectivité et services des TRs SagemCom.....................................................................11 Figure 6 : TCP Scan (sur un port ouvert)...........................................................................................22 Figure 7 : SYN Scan (sur un port ouvert) ..........................................................................................22 Figure 8 : Fin Scan (sur un port ouvert).............................................................................................23 Figure 9 : XMAS Scan (sur un port ouvert).......................................................................................23 Figure 10 : TCP Null Scan (sur un port ouvert) .................................................................................23 Figure 11 : Utiliser un port source autorisé pendant le scan ...............................................................24 Figure 12 : Scan ACK.......................................................................................................................24 Figure 13 : Evaluation des resultats...................................................................................................32 Figure 14 : Temps d'exécutions du scan ............................................................................................32 Figure 15 : Principaux profils UPnP et actions ..................................................................................35 Figure 16 : Redirection vers une autre adresse locale.........................................................................36 Figure 17 : Redirection vers l'adresse locale du TR ...........................................................................36 Figure 18 : Redirection vers une autre adresse WAN.........................................................................37 Figure 19 : Exemple d'appel..............................................................................................................43 Figure 20 : Logo BackTrack .............................................................................................................48 Figure 21 : Menu BackTrack.............................................................................................................49 Figure 22 : Architecture réseau de la plateforme de test.....................................................................49 Figure 23 : Profil Zenmap .................................................................................................................51
  8. 8. Liste des Figures Page v Figure 24 : Résultat d’un simple scan des ports et services ................................................................54 Figure 25 : Exemple détection d'OS ..................................................................................................55 Figure 26 : Page de connexion ..........................................................................................................58 Figure 27 : Créer profile....................................................................................................................58 Figure 28 : Configuration des plugins................................................................................................59 Figure 29 : Exemple du résultat.........................................................................................................60 Figure 30 : Exemple Fuzzing ............................................................................................................61 Figure 31 : Architecture réseau de l'attaque .......................................................................................64 Figure 32 : Fenetre XCHAT (Administrateur)...................................................................................64 Figure 33 : Interface LOIC................................................................................................................65 Figure 34 : Lancement de l'attaque....................................................................................................66 Figure 35 : Capture de trafic lors de l'attaque.....................................................................................71 Figure 36 : Attaque à base de l’IP Spoofing.......................................................................................72 Figure 37 : Détection des équipements UPnP sur le réseau ................................................................74 Figure 38 : Action AddPortMapping .................................................................................................74 Figure 39 : Actions GetSpecificPortMapping et GetGenricPortMapping............................................75 Figure 40 : Capture de messages de signalisation (SIP) .....................................................................79
  9. 9. Liste des Tables Page vi Tableau 1 : Règles du pare-feu..........................................................................................................12 Tableau 2 : Classification OSSTMM.................................................................................................16 Tableau 3 : Etat du port par type du scan et réponse ..........................................................................25 Tableau 4 : Tableau comparatif des outils de scan .............................................................................27 Tableau 5 : Tableau comparatif des scanneurs des vulnérabilités automatiques..................................31 Tableau 6 : Liste des outils et leurs critères. ......................................................................................31 Tableau 7 : Requêtes SIP ..................................................................................................................42 Tableau 8 : Codes de réponses SIP....................................................................................................42 Tableau 10 : Tests owasp réalisés......................................................................................................61 Tableau 11 : Liste des tests ...............................................................................................................88
  10. 10. Introduction Page 1 ’est en pleine guerre froide que l’internet est née, est ce pour maintenir les télécommunications opérationnelles et parées à toute épreuve en cas d’une apocalypse des suites de l’exécution des menaces Américano-Russe sur le monde: La grande phobie, était à l’époque, une attaque nucléaire... Heureusement pour le monde, rien ne fût… En 1969, le réseau internet comptait alors, uniquement quatre machines et était restreint, limité, et bien sur fermé sur le monde extérieur. Avec l’amélioration des équipements et des technologies de communication, l’internet était de moins en moins une innovation réservée à une élite de militaires et de scientifiques et s’ouvrait peu à peu au grand public et ce avec la naissance du premier réseau international à aiguillage de paquets en 1978, l’adoption d’un protocole unique de transport -TCP/IP- en 1983 et du web en 1989 [1] et de la montée de l’intérêt commercial qu’offrait une pareille technologie. C’est ainsi qu’en 1989 que le premier fournisseur d’accès internet via le réseau téléphonique vit le jour : la compagnie Américaine The World avait alors ouvert la voie à une véritable explosion de fournisseurs de services internet partout dans le monde [2] qui proposaient à leurs clients des débits de plus en plus élevés, et ce en jouant sur les technologies d’accès internet, ainsi que des services de plus en plus diversifiés. En effet, l’évolution des technologies de transmission de données telles que l’image et le son ainsi que la multitude d’innovations et d’inventions qui ont vu le jour à l’égard des passerelles résidentielles, des téléphones sur IP, des décodeurs IP, des téléphones intelligents et autres tablettes… tous capable de se connecter au réseaux de données mondial à totalement bouleversé l’expérience des utilisateurs de l’Internet. Ainsi de nos jours, les fournisseurs d’accès internet (FAI) offrent plusieurs services autres que le simple accès à internet dont le fameux Triple Play, qui n’est rien de plus qu’une offre commerciale et dont le succès n’est plus à prouver : plus de vingt millions d’abonnés, rien qu’en France [3]. Cette offre inclut l’accès à internet, la téléphonie sur IP et la télévision numérique sur IP, indépendamment de la technologie de transport utilisée par l’opérateur pour connecter son client au réseau Internet. Pour parvenir à leurs fins, les FAI commercialisent très souvent leurs offres avec une passerelle résidentielle adaptée aux services qu’ils désirent proposer ainsi qu’aux types de technologies qu’ils possèdent pour le bon acheminement et fonctionnement de ces derniers. La C
  11. 11. Introduction Page 2 passerelle en question, sera alors, le véritable cœur de tout le réseau local et la borne de tous les services utilisés par le client final. En fait, la passerelle résidentielle permet de partager la connexion à Internet entre tous les ordinateurs du réseau avec ou sans câbles. Elle permet également de connecter des téléphones et terminaux analogiques pour accéder à des services de téléphonie sur IP (VoIP) et ce via la ligne d’accès (XDSL, FTTH, Câble, etc). De plus, des équipements comme les décodeurs peuvent être connectés à ces terminaux pour offrir des services supplémentaires comme la Télévision et la Vidéo à la Demande (ou ultérieurement la visiophonie). Cette multitude de services proposés et connectés en permanence au réseau Internet pose de plus en plus le problème de la sécurité informatique vu la diversification des services tournant sur la passerelle et sur les différents éléments du réseau local du client ainsi que suite aux constats suivants : - la protection des systèmes informatiques, vis-à-vis des menaces planant sur ces derniers suite à leur ouverture sur le monde numérique, est loin d’être parfaite. - le nombre d'incidents et de vulnérabilités ne cesse de croître [4]. Cette augmentation n’a malheureusement pas été accompagnée par des contre-mesures adéquates au niveau des particuliers et des entreprises puisque, d’une part, ils n'appliquent pas une politique de sécurité efficace pour protéger leurs systèmes informatiques faute de sensibilisation aux risques encourus et d’autre part, ils sont incapables de suivre le rythme d’apparition des vulnérabilités vu que les mécanismes de sécurité traditionnels sont aujourd’hui, de plus en plus, contournés. Dans un pareil contexte la passerelle résidentielle doit être le premier rempart contre les risques sécuritaires provenant de l’internet. Par conséquent, et dans le souci de construire des équipements dont la sécurité n’est non seulement infaillible mais aussi le plus à jour possible et de les proposer à ces principaux clients, Sagemcom, constructeur de passerelles résidentielles de renommée mondiale et un des principaux fournisseurs des FAI tel que Orange (France, Tunisie) , Bouygues Telecom (France), Deutsch Telekom (Allemagne), TDC ( Danemark) , Bell Canada ( Canada ), etc, se propose de mettre en place une solution de test de sécurité et de pénétrations pour ses terminaux afin de garantir leur bon fonctionnement et leur haute disponibilité face à des attaques connues lors des phases de développement et de validation des produits. Et c’est dans ce cadre, que se situe notre projet de fin d’études, effectué au sein de la société SagemCom qui a pour objectif d’établir l’étude, le benchmarking et la mise en place de plusieurs
  12. 12. Introduction Page 3 outils d’audit de sécurité ainsi que l’élaboration d’un plan de tests couvrant les principales failles et risques connus. Le présent rapport organisé en quatre chapitres, présente les différentes étapes du déroulement du projet. Dans un premier temps une présentation du contexte du projet illustre notre travail. Le deuxième chapitre est consacré à la présentation des terminaux résidentiels ainsi que les tests de sécurité ou le pentesting. Le troisième chapitre sera réservé à la description des différents modules présents sur les passerelles résidentielles, les risques qui se posent et le benchmarking des outils possibles pour réaliser des tests de pénétration sur celles ci. Finalement, le quatrième chapitre, est consacré à la mise en place de notre solution de tests de sécurité des passerelles résidentielles.
  13. 13. Chapitre 1 Contexte du projet Page 4 Ce premier chapitre est consacré à la présentation du contexte général du projet. Le travail ayant été réalisé au sein de la société SagemCom, nous commencerons donc, par une présentation générale de l‘organisme d‘accueil. Ensuite, nous entamerons une description de notre projet afin d’expliciter son contexte, son objectif ainsi que les différentes étapes identifiées afin de parfaire notre ce stage. 1. Présentation de l’organisme d’accueil Figure 1 Logo SagemCom Groupe français de haute technologie à dimension internationale, Sagemcom opère sur les marchés du haut-débit (maison numérique, décodeurs, box Internet, téléphonie et terminaux
  14. 14. Chapitre 1 Contexte du projet Page 5 multimédia), des télécoms, de l’énergie (M2M1 , infrastructures télécoms, compteurs communicants et management de l’énergie) et de la gestion de documents (terminaux d’impression, logiciels et solutions, dématérialisation). Le groupe Sagemcom est composé d'une soixantaine d'entités, présentes dans plus de 40 pays. En Afrique, la seule entité est implémentée en Tunisie, SagemCom Tunisie et SagemCom Software & Technologies. Ci-dessous l’organigramme de SagemCom : Figure 2 Organigramme de SagemCom 1.1. SagemCom Tunisie SagemCom est une nouvelle unité industrielle offshore, spécialisée dans l’électronique et les équipements de télécommunications. Elle a été officiellement inaugurée le 10 juin 2003 à « Ben Arous ». Cette unité produit essentiellement des récepteurs à télécommande centralisée, des câbles en fibres optiques et des cartes magnétiques (5 millions de cartes par an) et 1,5 million de produits finis. L’unité emploie plus de 1600 personnes dont plus de 270 ingénieurs et techniciens supérieurs. SagemCom est aussi un acteur majeur dans les domaines de la communication mobile et de la communication haut débit, ayant acquis des positions mondiales grâce à un fort potentiel d’innovation. 1.2. Sagemcom Software & Technologies Sagem Software et Technologies (SS&T) est un centre de recherche et de développement qui a été créé le 18 juillet 2005. Elle opère dans le domaine des télécommunications, du traitement et de la transmission numérique de l’information et des développements axés sur les technologies émergentes. Cette cellule internationale emploie plus de 350 ingénieurs spécialisés dans : 1 M2M : Le concept de machine to machine, utilise les télécommunications et l'informatique pour permettre des communications entre machines, et ceci sans intervention humaine.
  15. 15. Chapitre 1 Contexte du projet Page 6  La conception et le développement de logiciels pour les décodeurs TV numériques sous Linux embarqué.  Le développement des Drivers Windows et des logiciels d’installation des équipements Sagemcom à l’égard des terminaux d’impression.  Le test, l’intégration et la validation d’équipements et de systèmes de télécommunications dont les passerelles résidentielles. Figure 3 Produits SagemCom 2. Présentation du projet Au cours de cette section, nous présentons le contexte de notre projet et ses objectifs. Le planning du travail est détaillé par la suite. 2.1. Contexte du projet Les terminaux résidentiels Sagemcom offrent des solutions à haute connectivité moyennant diverses technologies d’accès et une multitude de services. Ces terminaux sont le cœur même de tout réseau particulier ou professionnel. Conscient du fait que les passerelles sont hautement exposées aux risques liés à la sécurité informatique (le piratage, l’intrusion et l’ingénierie inverse, etc) et afin de proposer des produits hautement sécurisés à ses clients particuliers et professionnels, Sagemcom propose d’élaborer, au sein d’un projet de fin d’études, le benchmarking, l’étude et la mise en place de plusieurs outils de tests de sécurité. Ce projet sera concrétisé par la mise en place d’un plan de test couvrant les principales failles et risques connus se basant sur l’état de l’art actuel. Ainsi que la mise en place des outils choisis, dans une position de test. Un plan de test sera finalement lancé sur une panoplie de produits Sagemcom permettant de valider la pertinence de l’environnement de test proposé. Suite aux résultats obtenus, une analyse objective devra être établie en vue de dégager les points forts et faibles de la solution choisie, ainsi que la pertinence des résultats des tests effectués.
  16. 16. Chapitre 1 Contexte du projet Page 7 2.2. Objectifs du projet Afin d’atteindre l’objectif principal du projet, qui consiste à la mise en place d’une plateforme de tests de sécurité et la définition d’un plan de tests qui couvre la quasi-totalité des failles et vulnérabilités possibles sur les Terminaux résidentiels, il faut assurer les sous-objectifs suivants :  Etablir un état de l’art en matière de piratage, intrusion, rétro ingénierie, etc touchant les principaux axes de connectivités et des services offerts par les passerelles résidentielles.  Etablir une liste d’outils libres assurant le déploiement des attaques déterminées par l’état de l’art et par la suite réaliser un comparatif des outils disponibles et se fixer des choix optimums basés sur l’efficacité, la facilité de déploiement, la personnalisation, la popularité, etc.)  Dégager un plan de test clair assurant un test complet des produits sous tests. Ce plan va couvrir jusqu’à 90% des scénarios envisageables et toucher à toutes les fonctionnalités de la passerelle (accès réseau, Wifi, UPnP, VoIP, IHM)  Déployer les outils sur une position de test et les personnaliser pour répondre aux besoins de sécurité soulevés dans les premiers chapitres et assurer une couverture optimale en adéquation avec le plan de tests défini.  Dérouler une campagne de tests, sur au moins trois produits, basé sur le plan de test défini et les outils mis en place. Une analyse des résultats va être établie et une critique objective sera portée sur la plateforme et le plan de test en vue de la raffiner et réajuster, s’il est nécessaire. 2.3. Planification du déroulement du projet Ce projet est divisé en cinq parties :  Etape 1 : Documentation sur les passerelles résidentielles (produits Sagemcom)  Etape 2 : Etude sur les différents attaques et failles possibles sur les TRs.  Etape 3 : Choix d’une liste d’outils assurant les attaques déterminées dans l’état de l’art et la mise en place d’une plateforme de tests de sécurité  Etape 4 : Définition d’un plan de test clair qui couvre les services cibles d’attaques et qui assure un audit complet des produits sous tests.  Etape 5 : Déroulement d’une campagne basée sur le plan de test défini. En vue de modéliser cette organisation, nous avons eu recours à l’outil de gestion de projet SodeaSoft Gnt Planning (Voir figure 4).
  17. 17. Chapitre 1 Contexte du projet Page 8 Figure 4 Diagramme de Gantt représentant les principales étapes du projet Conclusion Dans ce premier chapitre, nous avons présenté la société SagemCom. Ensuite Nous avons détaillé le cadre du projet, et expliciter la problématique à résoudre. Finalement, nous avons décrit les différentes étapes du projet. Le chapitre suivant sera donc consacré aux notions de base relatives à notre projet, notamment la description des terminaux résidentiels et les notions relatives aux tests de pénétrations ou en terme anglo-saxon le pentesting.
  18. 18. Chapitre 2 Concepts de base Page 9 Dans ce chapitre, nous entamerons par une description des passerelles résidentielles (ou terminaux résidentiels), de leurs caractéristiques fonctionnelles et de leur importance grandissante dans la vie quotidienne, grâce entre autres à leur rôle dans toute offre d’accès aux services Internet. Par la suite, nous présenterons les tests de pénétrations, en mettant en évidence leur intérêt, vu la haute exposition des passerelles aux risques liés à la sécurité informatique. 1. Les terminaux résidentiels 1.1. Présentation des Terminaux Résidentiels: Un Terminal résidentiel (TR) ou passerelle est un point du réseau qui agit comme une entrée vers un autre réseau. Dans un réseau d’entreprise ou domestique, les passerelles offrent l’accès aux utilisateurs du réseau local vers le réseau WAN (internet). Une passerelle typique contient des fonctionnalités basiques pour une utilisation simple, ainsi elle offre au moins un ensemble des services suivants:  Accès internet via fibre optique (FTTH) ou ligne xDSL.  Réseau local câblé et point d’accès WIFI pour assurer la connectivité entre plusieurs équipements (ordinateur portable, Tablet PC, Smart phone, etc).
  19. 19. Chapitre 2 Concepts de base Page 10  DHCP (Dynamic Host Configuration Protocol) pour offrir une configuration de réseau TCP/IP fiable et simple, empêchant les conflits d'adresses et permettant le contrôle de l'utilisation des adresses IP de façon centralisée.  NAT (Network Address Translation) pour déployer ou héberger des applications et des services au sein d’un réseau local afin de les rendre accessibles de l’extérieur.  Firewall pour sécuriser le réseau local des attaques provenant de l’internet. En plus de ces fonctionnalités basiques, les TRs offrent aussi les services suivants, selon les exigences du fournisseur d’accès internet et de ses abonnés :  Voix sur IP (VoIP).  Service TV sur IP.  DNS dynamique pour permettre l’accès à distance à un quelconque service hébergé en local par l’utilisateur.  UPnP pour interconnecter d’autres équipements tels que les périphériques de stockage, console de jeux, téléphone UPnP, etc. 1.2. Les TRs SagemCom Comme étant un leader mondial sur le marché des terminaux, SagemCom conçoit, produit et met à disposition des opérateurs et des fournisseurs de services internet une gamme complète de home Gateway permettant de mettre en œuvre de services d’accès haut débit et de solutions pour le réseau numérique local [5]. Dans ce qui suit, nous allons introduire et décrire les différents modules et fonctionnalités principalement offertes par ces TRs (Voir figure 5). 1.2.1. Accès internet haut débit Doté d’une interface WAN universel (ADSL / ADSL2 / ADSL2+/VDSL2 et FTTH), les TRs SagemCom permettent à son utilisateur de bénéficier d’un accès internet haut débit atteignant les 100 Mo/s pour exploiter les nouvelles technologies telles que la télévision et la téléphonie via internet etc. 1.2.2. Téléphonie Les TRs SagemCom implémentent diverses technologies de téléphonie telles que la téléphonie classique, fax compris, et la Voix sur IP. Pour exploiter ces technologies les TRs SagemCom offrent aux utilisateurs la possibilité de connecter plusieurs types d’appareils téléphoniques (IP Phone, DECT, téléphone, Fax).
  20. 20. Chapitre 2 Concepts de base Page 11 Figure 5 Connectivité et services des TRs SagemCom 1.2.3. TV sur IP Les TRs SagemCom offrent la possibilité de s’abonner à des flux IP TV. Via une SetTopBox connectée au TR l’utilisateur peut visualiser des flux vidéo soit en multicast soit à la demande (VOD). 1.2.4. Connectivité Réseau local câblé Les TRs SagemCom offre une solution complète pour l’interconnexion entre les différents équipements via les interfaces Ethernet disponibles.
  21. 21. Chapitre 2 Concepts de base Page 12 Réseau sans fil (WIFI) Les TRs SagemCom offrent la possibilité d’interconnecter les périphériques sans fils via le WIFI. Ces TRs utilisent les trois normes connues du WIFI 802.11 b/g/n avec un débit qui peut atteindre les 300MO/sec. USB Afin d’assurer la connectivité des différents équipements multimédia (imprimante, disque dur, console de jeux, etc), les TR SagemCom utilise le protocole UPnP ainsi qu’un serveur DLNA pour le partage de contenus multimédias. 1.2.5. Autres utilitaires et services DHCP Le TR SagemCom est à la fois un client DHCP et un serveur DHCP. A la mise sous tension, le TR, comme étant un client DHCP, récupère les paramètres de connexion de son fournisseur d’accès internet tels que l’adresse IP publique, la passerelle par défaut, le serveur DNS, le serveur NTP, etc. Comme étant un serveur DHCP, le TR fournit aux équipements connectés à travers le réseau local (sans fil et câblé) des paramètres de connexion tels que la plage d’adresse à utiliser, la passerelle par défaut, etc. Firewall Afin d’assurer la sécurité du réseau local et le protéger des attaques provenant de l’extérieur, les TRs SagemCom implémentent un pare-feu logiciel assurant trois niveaux de sécurité: Niveau de sécurité Trafic entrant trafic sortant remarque Elevé rejeter rejeter pour le trafic sortant, sauf pour les services suivants HTTP, HTTPS, Telnet, FTP, DNS, IMAP, POP3, SMTP. Moyen rejeter accepter - Bas accepter accepter - Tableau 1 Règles du pare-feu DMZ La DMZ ou une zone démilitarisée est un sous-réseau séparé du réseau local et isolé de celui- ci et d'Internet par un pare-feu. Ce sous-réseau contient les machines étant susceptibles d'être accédées depuis Internet. Les TRs SagemCom offrent ce service d’une façon limitée, où on ne peut configurer qu’un seul PC comme DMZ (une seule adresse IP et non pas un sous réseau).
  22. 22. Chapitre 2 Concepts de base Page 13 Port Forwarding Le Port Forwarding ou redirection de port consiste à rediriger les paquets reçus d’un ordinateur sur un port bien défini vers un autre ordinateur sur un autre port donné. Le Port Forwarding est la combinaison de trois techniques :  La translation d’adresse ou/et du port dans les paquets reçues vers une autre destination.  L’acceptation des quelques paquets en se basant sur les règles du pare-feu.  Le routage des paquets suivant le table de routage. DNS dynamique Le DNS dynamique est une méthode qui permet à un utilisateur d’attacher un nom de domaine à une adresse IP WAN (reçue de la part du FAI) sans se préoccuper du changement de cette adresse. Ainsi, on peut héberger un serveur web, ftp ou n’importe quelle autre application internet dans le réseau local et y accéder à travers ce nom de domaine. Cette fonctionnalité est configurable d’une façon très simple, il suffit de choisir le fournisseur de service (no-ip, DynDns.org,…) et de donner le login, le mot de passe et le nom de domaine personnel. Configuration et approvisionnement automatique de services La gamme des services offerts par les TRs devient de plus en plus complexe et par conséquent elle impacte la simplicité de la configuration à distance. L’intégration des technologies TR-069 facilite l’installation et l’approvisionnement automatique des services. La configuration et la mise à jour du TR se fait à distance et d’une façon automatique selon le contrat entre l’abonné et son FAI. Cette fonctionnalité est très importante pour les deux parties du contrat pour plusieurs raisons, parmi lesquelles on cite :  La facilité de la tâche de configuration pour l’abonné.  L’activation ou la désactivation des services selon le contrat. Interface d’administration  Interface WEB ou GUI : les TRs SagemCom offre un site web en local pour la configuration. L’accès se fait par un navigateur (Firefox, chrome, etc) en introduisant un login et un mot de passe.  Telnet : Via un PC connecté en local, un utilisateur (avancé) peut accéder au TR à travers Telnet pour l’administrer et le configurer.  SSH : un utilisateur peut accéder d’une façon sécurisée avec SSH pour administrer et configurer le TR.
  23. 23. Chapitre 2 Concepts de base Page 14 2. Tests de pénétration (Pentesting) Vu que les TRs SagemCom offrent des solutions à haute connectivité à travers ses services, ils sont hautement exposés aux risques liés à la sécurité informatique. Il est indispensable de vérifier leur immunité face à ces risques réels et consistants. Pour cela, on a recours à des normes et des standards dans le domaine de la sécurité informatique afin de remplir cette tâche. 2.1. Présentation du pentesting Les tests de pénétration ou « Pentesting » est un ensemble de tests traduisant une méthode d'évaluation de la sécurité d'un système informatique ou réseau en simulant une attaque malicieuse de l’extérieur et les employés malveillants de l’intérieur. Le processus implique une analyse active du système pour toutes les vulnérabilités potentielles qui pourraient résulter de la faiblesse de la configuration du système et des défaillances liées aux défauts connus du hardware ou du software utilisés. Cette analyse est effectuée en simulant un attaquant potentiel et peut dégager des exploitations et des vulnérabilités au sein du système. Les problèmes liés à la sécurité du système révélés à travers les tests de pénétration sont présentés au propriétaire. Afin de réaliser des tests efficaces, le « Pentester » doit fournir des évaluations précises et concrètes des impacts potentiels à l'organisation et définir la gamme des contre- mesures techniques et procédurales pour réduire les risques. Les tests de pénétration sont importants pour plusieurs raisons:  Déterminer la faisabilité d'un ensemble d'attaques.  Identifier les vulnérabilités à haut risque qui résultent d'une combinaison de quelques vulnérabilités, de faible et de moyen risque, exploitables dans un ordre particulier.  Identifier les vulnérabilités qui peuvent être difficiles ou impossibles à détecter avec des outils d’auto-évaluation des vulnérabilités.  Évaluer l'ampleur de l'activité opérationnelle et les impacts potentiels d’une ou plusieurs attaques réussies.  Tester la robustesse du mécanisme de la sécurité mise en place au sein du système. 2.2. Types du « Pentesting » Les tests de pénétrations peuvent être réalisés de plusieurs façons. Généralement, ils se différent en fonction du taux d’informations disponibles avant le démarrage des tests. Dans ce cas, on peut parler des notions de « boite noire » ou « boite blanche » connue sous le nom de Black box testing et White box testing:
  24. 24. Chapitre 2 Concepts de base Page 15  Black box testing : c’est une méthode permettant de réaliser des tests fonctionnels ou non fonctionnel s ne faisant pas référence aux structures internes du système en question. On suppose que le système est une sorte de boite noire sur laquelle on va essayer de dégager le maximum possible d’informations en se basant sur les résultats fournis des tests dans la phase de collecte d’informations. Ces tests simulent une attaque réalisée à partir de l’extérieur de l’entreprise.  White box testing: Contrairement au « Black box testing», le « White box testing» est une méthode de pentesting permettant de faire des tests sur un système dont on connait le fonctionnement interne, l’architecture réseaux, l’emplacement des serveurs, les systèmes d’exploitation utilisés, les langages de programmations des applications, les versions des logiciels, etc. Les tests réalisés simulent des attaques à partir de l’intérieur en se basant sur des informations récupérées par le vol de documents, etc. Les deux méthodes de pentesting « Black & White » sont complémentaires et essentielles au cours des testes de pénétrations. Les tests des boites blanches sont nécessaires pour déterminer des failles et des vulnérabilités que les scanneurs des vulnérabilités automatiques ne peuvent pas déterminer. L’inconvénient du « White Box testing » est que cette méthode est coûteuse en temps car l'analyse manuelle est lente. De plus, si une erreur existe, il n’est pas aussi facile de déterminer son exploitation [6]. 2.3. Pentesting : Méthodologie et standard Quand il s'agit de tests de pénétration, il n'y a pas une approche bien précise à suivre. Chaque réseau diffère des autres, chaque système a ses propres spécifications et chaque entreprise a ses propres objectifs de sécurité. Dans ce qui suit, nous allons présenter quelques standards et méthodologies connus dans le monde de la sécurité informatique. 2.3.1. OSSTMM La méthodologie « Open Source Security Testing Methodology Manual» (OSSTMM), développée par « OpSec », décrit les démarches à suivre afin de réaliser un audit de sécurité complet d’un système. [7] L'OSSTMM est constituée de 5 sections distinctes: l'information et le contrôle de données, la sensibilisation du personnel à la sécurité, le contrôle de fraudes et de l'ingénierie sociale, les réseaux d'ordinateurs et les réseaux de télécommunications. L'OSSTMM se focalise sur le choix des composantes à tester, sur les actions à effectuer avant, pendant et après un test de sécurité et sur la manière de mesurer les résultats. De nouveaux tests
  25. 25. Chapitre 2 Concepts de base Page 16 relatifs aux meilleures pratiques internationales, aux lois et à la régularisation sont régulièrement ajoutés et actualisés. L’OSSTMM fournit une classification des périmètres à étudier comme suit Classe sous classe Description Sécurité physique (PHYSSEC) Humain Des tests qui couvrent l'aspect humain de point de vue physique et psychologique. Physique Des tests qui nécessitent un effort physique et un contact direct avec la cible (accès à la salle des serveurs par exemple). Sécurité du spectre (SPECSEC) Sans fil Des tests liés à l'aspect sans fil du système qui couvrent aussi les communications électroniques (ELSEC), signaux (SIGSEC) et les communications non câblés (EMSEC). Sécurité de la communication (COMSEC) Télécommunication Des tests qui couvrent les aspects liés à toute communication câblée. Réseaux Des tests qui couvrent les communications établies intra-système via le réseau câblé. Tableau 2 Classification OSSTMM 2.3.2. OWASP La méthodologie « Open Web Application Security Project » (OWASP) est une démarche à suivre ainsi qu’un ensemble de tests et de recommandations pour analyser la sécurité des applications web. Les tests d’OWASP sont catégorisés comme suit : [8]  Collecter les informations : Phase de collecte d’informations sur l’application à tester.  Tester les gestionnaires de configurations : cette phase couvre les gestionnaires de configurations des bases de données, du site web, l’accès à distance (Telnet, SSH, etc)  Tester les modules d’authentification: tester l’authentification et la vérification d’identité lors de l’accès à l’application web.  Tester les gestionnaires des sessions: tests sur les variables des sessions et cookies.  Tester les autorisations : Ces tests couvrent les droits d’accès sur les données pour les différents acteurs de l’application.  Tester le logique métier: tester la démarche à suivre afin d’effectuer une tâche bien précise.  Tester la validation des données reçues: ces tests couvrent le contrôle sur les données reçues de la part des clients avant de les utiliser.  Tester les attaques de type déni de service (DoS): tester la robustesse de l’application face à des attaques de type DoS.  Tester les web services: tester les web services utilisés par l’application afin d’étudier les risques possibles à partir d’eux.  Tester ajax: tester les fonctionnalités d’AJAX et les attaques qui peuvent les menacer.
  26. 26. Chapitre 2 Concepts de base Page 17 2.3.3. Autres standards et méthodologies: « Penetration Testing Execution Standard » (PTES) fournit un ensemble de règles et de recommandations afin d’établir des tests de pénétrations fiables et efficaces. PTES est structurée en sept sections principales [9]:  Pré-engagement : Cette phase présente principalement les discussions entre le testeur et le client afin d’éclaircir les buts des tests à effectuer et de lui donner une idée sur les grandes lignes des tests de pénétrations.  Collecte d’information : Cette phase consiste à collecter les informations sur le système. Ces informations incluent le comportement de système, les services, l’emplacement des machines, le système de sécurité, etc.  Modélisation des menaces : Dans cette étape on utilise les informations collectées afin de déterminer les risques et les vulnérabilités qui menacent le système. On détermine aussi les méthodes d’attaque les plus efficaces et les informations qu’on peut les récupérer suite à ces attaques. Il faut toujours déterminer des méthodes plus récentes et les failles « zero day2 ». Pour récapituler, il faut penser comme un hacker.  Analyse des Vulnérabilités : Il faut déterminer la façon avec laquelle on peut accéder à la cible. Afin de mieux remplir cette tâche, il faut combiner les informations acquises et les attaques possibles.  Exploitation : C’est la phase la plus critique car il s’agit de l’exploitation des failles et les vulnérabilités du système. Tous d’abord, il fait que le contrat signé entre le pentester et l’entreprise gère les cas où un ou plusieurs tests provoque la mise hors service le système, total ou partielle, pour éviter tous risque de poursuite judiciaire. Aussi, le pentester doit éviter les exploits qui provoquent l’arrêt total ou quasi-total du système.  Post Exploitation : Cette étape consiste à revérifier les systèmes des communications avec d’autres systèmes ou infrastructures.  Rapports : Le rapport des tests comporte : o Qu’est ce qu’on a fait dans les tests. o Comment on a fait ces tests. o Comment on peut corriger les erreurs. Conclusion Au cours de ce chapitre, nous avons abordé les deux grands axes médiateurs de notre projet: les terminaux résidentiels et les tests de pénétrations. Ainsi nous avons commencé par la présentation 2 Faille « Zero Day » :c’est une faille non reconnus des applications ou des services sur un système bien défini.
  27. 27. Chapitre 2 Concepts de base Page 18 des TRs, en particulier les TRs SagemCom, leurs fonctionnalités et les services qu’ils offrent. Ensuite nous avons introduit le « Pentesting » et son importance dans le monde des TR. Le troisième chapitre va joindre les deux axes et essayer de répondre à la question qui consiste à mettre en œuvre le pentesting dans le cas d’une passerelle résidentielle. Ainsi nous allons détailler chaque module offert par la passerelle : son fonctionnement et les différentes failles, vulnérabilités et attaques possibles.
  28. 28. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 19 Les TRs SagemCom offrent plusieurs services et fonctionnalités qui peuvent être classifiés en modules que nous allons aborder dans ce chapitre, en mettant l’accent sur les vulnérabilités, les failles et les attaques possibles ainsi que les outils nécessaires pour le déroulement d’un plan de test de sécurité. Nous pouvons d’ores et déjà classifier ces services ou modules comme suit :  Module réseau : cette section couvrira les risques liés aux services réseaux offerts par les TRs, notamment dus au : o Scan de ports, services et détections des OS. o Scan des vulnérabilités réseaux et GUI. o Attaques possibles sur les interfaces d’administration à distance et exploitation.  Module WIFI : dans cette section nous dégageons les différentes attaques et failles liées à la connectivité sans fils et qui présentent un risque potentiel pour les TRs.  Module UPnP : dans cette section, nous introduisons le fonctionnement et l’implémentation de l’UPnP dans les TRs SagemCom et les risques que présente cette technologie.
  29. 29. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 20  Module VoIP : cette section sera consacrée aux risques et aux vulnérabilités liées à l’implémentation de la téléphonie sur IP. Tous les modules décrits ci-dessus seront accompagnés par une étude sur les différents outils nécessaires pour tester leur sécurité. Ce chapitre sera finalement conclu par une étude comparative des outils testés. 1. Module réseau Cette partie va prendre la plus grande part de notre étude car elle comporte plusieurs axes à traiter et elle représente le point d’entrée pour les autres modules. D’abord, nous abordons la phase de collecte d’information, en mettant l’accent sur la partie du scan des ports, détections des services tournant sur le TR ainsi que son OS. En second lieu, nous entamons le scan des vulnérabilités. Cette partie va être devisée en deux sous parties : une consacrée aux scans automatiques des failles et des vulnérabilités et l’autre consacrée aux scans manuels, soit avec des outils spécifiques ou avec des exploits. Les recherches et les études réalisées dans cette partie se basent essentiellement sur les résultats dégagés de la première partie, collecte d’information. Finalement, nous exposons les différentes possibilités d’exploitations de ces failles et les outils correspondants. 1.1. Ports, services et OS La première phase à aborder dans les tests de pénétration est la collecte d’informations. Cette étape est très large dans le cas standard où les tests d’intrusion vont être appliqués sur un système informatique complet (une architecture réseau, des serveurs, des routeurs, des commutateurs, des zones DMZ, etc.). La collecte d’informations dans ce cas peut couvrir plusieurs vecteurs, allant de la collecte d’informations publiques sur internet ou par des simples commandes comme « whois », passant par le « Google hack » jusqu'à le scan des ports et des services. Dans notre cas les tests de pénétration vont être réalisés sur un seul dispositif, le terminal résidentiel, donc plusieurs étapes et méthodes ne sont pas applicables. Le « Google hack » et la commande « whois » ne fournissent aucune information utile puisque le TR est dédié à l’utilisation domestique. La partie la plus importante est alors le scan des ports et des services. L’importance de cette partie se concrétise dans le fait que les informations récupérées présentent une base solide qu’un attaquant peut utiliser pour orienter ces attaques et éviter les tests inutiles.
  30. 30. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 21 1.1.1. Scan des ports Le scan de port est une étape indispensable dans le pentesting. Son apport se présente dans le fait qu’il fournit une description détaillée sur l’état des ports de la machine cible. Ce pseudo-rapport nous donne une idée sur l’utilisation du port, affecté à un service bien défini ou une configuration personnalisée par le système. Le scan de port est utilisé souvent par les pirates informatiques pour tenter de trouver des vulnérabilités et des failles possibles sur la machine en question. On peut le considérer comme tentative d’intrusion car il sert souvent à préparer des attaques possibles. Ce scan nécessite des privilèges élevés pour pouvoir manipuler et créer des paquets de tests puisqu’il y a plusieurs techniques possibles qui requièrent des modifications précises sur les différents champs des paquets. 1.1.1.1. Types de scans des ports Actuellement il existe plusieurs types de scan qui permettent de découvrir les ports et services tournant sur ou derrière un équipement connecté au réseau internet. Etant donné que, dans la pile TCP/IP, les deux protocoles les plus sollicités sont le TCP et l’UDP, nous allons donc nous intéresser à ces deux familles de scan [10]. UDP Scan Malgré que la plupart des services utilisent le protocole TCP dans leurs communications, l’UDP est utilisé par plusieurs services importants comme le DNS, le SNMP ou le DHCP. Ce type de scan consiste à envoyer un paquet UDP sans données (en-tête seulement) et l’état du port se base sur le type du paquet reçu par la cible. Le scan UDP est généralement plus lent que le scan TCP. TCP Scan Connu aussi sous le nom de « TCP Connect », ce type est le plus simple des scans, il consiste à établir une connexion avec la cible sur le port en question et à la fermer immédiatement. L’avantage de ce type de scan est qu’il ne nécessite pas de privilèges spéciaux pour l’effectuer et utilise des fonctions système (connect( ) sous Unix). En contre partie, l’inconvénient majeur de ce scan qui le rend pratiquement inutilisable au moins depuis quelques années, c’est qu’il est bruyant et peut facilement être détecté et l’adresse IP de l’attaquant va être logué par les systèmes de détections d’intrusion.
  31. 31. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 22 Figure 6 TCP Scan (sur un port ouvert) SYN Scan Ce type de scan est connu aussi sous le nom de « half-open scanning » car il n’établit jamais une connexion TCP complète. C’est un autre type du TCP Scan où le scanneur de port dans ce cas génère des paquets IP avec le fanion SYN activé. Si le port cible est ouvert alors il va répondre par un paquet SYN-ACK et le scanneur à son tour envoie un paquet RST pour fermer la connexion avant que le « handshake » soit achevé. Il peut être exécuté rapidement et scanner des milliers de ports par seconde sur un réseau rapide et il est relativement discret et furtif. Figure 7 SYN Scan (sur un port ouvert) ACK Scan Le but de ce scan n’est pas la détection de l’état du port (ouvert ou fermé) mais plutôt s’il est filtré ou pas. Ceci est efficace pour tester l’existence d’un firewall ou de règles de sécurité. Le Le but de ce scan n’est pas la détection de l’état du port (ouvert ou fermé) mais plutôt s’il est filtré ou pas. Ceci est efficace pour tester l’existence d’un firewall ou de règles de sécurité. Le scanneur de port dans ce cas envoie des paquets TCP avec le fanion ACK à 1. Autres types de scan Il y a des types de scan qui peuvent furtivement traverser certains pare-feux ou routeurs (State- less). La plupart des IDS de nos jours sont configurés pour détecter ce type de scan. Ci-dessous, on décrit le Fin Scan, TCP NULL Scan et X-mas Scan.
  32. 32. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 23  Fin Scan n’active que le drapeau FIN utilisé si le scan SYN est détecté par le firewall. Figure 8 Fin Scan (sur un port ouvert)  X-mas Scan active les trois drapeaux FIN, PSH et URG . La technique X-mas a été nommé en souvenir de l’attaque de Kevin Mitnick sur le serveur de Tsutomu Shimomura le jour du noël 1994.3 Figure 9 XMAS Scan (sur un port ouvert)  TCP NULL Scan n’active aucun drapeau de l’entête (entête TCP vaut 0). Figure 10 TCP Null Scan (sur un port ouvert) 1.1.1.2. Technique d’évasion Les systèmes de sécurité actuels sont très sophistiqués et intelligents. Ils peuvent détecter même le scan de port car ils le considèrent comme attaque [11].  FTP bounce : Cette technique consiste à utiliser un serveur FTP pour scanner un hôte distant par rebond. 3 Le jour de noël 1994, Mitnick s'attaque à un expert en sécurité informatique et ancien hacker : le japonais Tsutomu Shimomura.
  33. 33. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 24  TCP decoy : Cette technique consiste à leurrer l'hôte scanné, en dissimulant le scan parmi des scans fictifs d'hôtes.  Idle scan : Dans l'établissement standard d'une connexion (SYN – SYN/ACK – ACK), les paquets transmis sont accompagnés d'un numéro d'identification appelé IPID. Ce dernier est incrémenté régulièrement sur certains systèmes (en particulier Windows). La technique consiste à exploiter cette faille afin de déterminer, en fonction de l'incrémentation de l'IPID, l'état d'un port. La spécificité de cette attaque réside dans le fait que l'attaquant utilise un hôte zombie afin de ne pas apparaître dans les fichiers journaux de l'hôte scanné.  Utilisation de ports source autorisés : afin d'augmenter les chances de légitimer le trafic généré par les scans, il est possible de forger les paquets en spécifiant des ports source légitimes pour le firewall (20/tcp, 21/tcp pour FTP, 80/tcp pour HTTP, etc.). Ainsi, le firewall est susceptible de laisser passer le trafic dans la mesure où il pourra le considérer comme un retour de connexion légitime. De la même manière, pour les scans UDP, un trafic en provenance du port 53/udp pourra être interprété par le firewall comme une réponse DNS. Figure 11 Utiliser un port source autorisé pendant le scan  Fréquence d'envoi des paquets : il est possible de rendre un scan plus furtif en espaçant l'envoi des paquets à destination de la machine scannée.  Fragmentation des paquets : Les détecteurs d'intrusions modernes comme Snort sont capables, par réassemblage des paquets, de détecter le scan. Il existe par ailleurs des outils spécifiques (tels que FragRouter) permettant de fragmenter tout ce qui sort d'un réseau.  Scan ACK : certains firewalls interdisent les paquets qui n'ont pas le flag ACK actif afin de limiter les tentatives d'intrusion. Figure 12 Scan ACK
  34. 34. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 25 1.1.1.3. Analyse des résultats Chaque type de scan utilise des types bien spécifiques de paquets et par conséquence les réponses diffèrent aussi. Le scanneur de ports analyse les réponses et détermine l’état des ports en fonction des types de paquets reçus. Ci-dessous un tableau explicatif qui décrit chaque résultat en fonction des paquets envoyés. Type de scan Réponse reçue Etat du port SYN Scan paquet SYN/ACK ouvert paquet RST fermé ICMP (type3 code 1, 2, 3, 9,10 ou 13) filtré aucune réponse TCP Scan "3 handshake" établi ouvert "3 handshake" non établi fermé UDP Scan ICMP (type3 code 1, 2, 9,10 ou 13) filtré ICMP (type 3, code 3) fermé Paquet UDP ouvert ACK Scan ICMP (type3 code 1, 2, 3, 9,10 ou 13) filtré paquet RST non filtré X- MAS/FIN/TCP NULL Scan paquet RST fermé ICMP (type3 code 1, 2, 3, 9,10 ou 13) filtré aucune réponse ouvert/filtré Tableau 3 Etat du port par type du scan et réponse Le problème qui se pose maintenant, est que tous les systèmes ne respectent pas la RFC 7934 à la lettre. Plusieurs systèmes renvoient des RST en réponse aux paquets reçus et ce quelque soit l'état du port de destination, qu'il soit ouvert ou pas [12]. 1.1.2. Scan des services Le scan de services suit le scan de port et son importance se présente dans le fait qu’il sert à détecter en premier lieu les noms des services tournant sur la machine cible et au-delà, il aide à dégager beaucoup d’informations comme la version et le nom d’application (ISC Bind, Appache httpd, Solaris telnetd, OpenRG telnetd, …). Ces informations seront très utiles pour le pentester, ainsi que le hacker, pour déterminer si le système testé implémente des services vulnérables ou des versions connues par leurs vulnérabilités et failles exploitables [13]. Le scan de services est basé sur le résultat de scan de port. Selon le numéro du port ouvert détecté le scanneur traite et analyse les résultats.  Si le port détecté ouvert est un port standard, comme les ports 25/tcp, 80/tcp et 53/udp, le scanneur n’aura pas besoin de lancer d’autre requête sur le même port pour déterminer le nom 4 RFC 793 : Spécification du protocole TCP, mise en place par DARP (Defense Advanced Research Projects Agency)
  35. 35. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 26 des services, il utilise une base de données pour faire la correspondance. La plupart des scanneurs ne se limitent pas à cette étape mais ils essayent de déterminer le type de service (ex : jboss, tomcat, …). Cela est possibles en analysant les réponses reçues (ex : si le port 80 est ouvert donc il s’agit d’un serveur web (HTTP), ensuite le scanneur envoie une requête « GET / » pour collecter plus d’information).  Dans l’autre cas, où le port n’est pas standard (ex : 9003), le scanneur lance une série de test pour déterminer les types de protocoles utilisés (ex.: ftp, ssh, telnet, http). Une fois le protocole est fixé, le scanneur lance d’autres requêtes afin de connaître le nom de l'application (ex: ISC Bind, Appache httpd, Solaris telnetd), le numéro de version, etc. 1.1.3. Détection d’OS L’utilité de la détection d’OS, ou « OS fingerprinting », est assez évidente, car il existe plusieurs failles de sécurité qui dépendent principalement du type de l’OS et sa version. Chaque faille peut être exploités différemment d’un OS à un autre et généralement les exploits visent quelques fichiers système et manipulent des comportements particuliers pour chaque OS. [14] Parmi les techniques connues dans la détection de l’OS, nous citons la technique « TCP/IP Fingerprinting ». Cette méthode consiste à envoyer jusqu'à 16 paquets TCP, UDP et ICMP aux ports ouverts de la cible. Chaque paquet est envoyé au moins une fois si le port est fermé. Le scanneur manipule tous les champs du paquet et les envoie dans un ordre spécial. Les résultats reçus contiennent plusieurs attributs qui seront soigneusement analysés et traités, et en combinant plusieurs résultats des différents types de paquets, le scanneur génère le fingerprint de ‘lOS. Il arrive parfois que le scanneur ne parvient pas à collecter les informations nécessaires pour déterminer l’OS de la cible à cause du manque de ports ouverts ou la mauvaise mise en place du standard du protocole RFCs. Dans ce cas, certain scanneur génèrent une liste des OS possibles avec un pourcentage d’approximation. 1.1.4. Outils de scan des ports Il existe plusieurs outils de scan sur le marché. Il existe le libre, le gratuit, le payant, etc. Chacun d’eux a ces propres spécifications et fonctionnalités. Dans notre cas, qui est un peu spécial, les scans seront effectués sur un TR qui va surement provoquer des erreurs et des faux positifs pendant le scan. Critère de choix Dans notre étude de comparaison entre les différentes solutions de scan, nous jouons sur les critères de choix suivants:
  36. 36. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 27  Réalisation des tous les types des scans listés ci-dessus.  Réalisation des scans de services.  Réalisation de la détection de l’OS.  License  Utilisations Outils proposés  Nmap : C’est l’outil le plus connu comme scanneur de ports muni d’une base de données énorme contenant plus que de 2700 signature d’OS et 7300 versions de services. Il présente un outil très efficace pour le scan des ports. Il offre la possibilité d’utiliser et de créer des scripts personnalisés.  Unicornscan : C’est un scanneur de port connu. Iil assure aussi le scan des services mais il se limite au nom du protocole sans donner des informations supplémentaires sur les services détectés.  Scanrand : C’est un scanneur du port simple sans détection d’OS ou des services.  Hping3 : C’est un forgeur de paquet conçu principalement pour les tests de sécurité des firewalls et des systèmes. Il peut être utilisé comme un scanneur de port car il offre la possibilité de manipuler les champs d’un paquet à envoyer (TCP/UDP/IP/ICMP). Son utilisation est dédiée pour les utilisateurs avancés. Type des scans type de License utilisation plateforme SYN Scan TCP Scan UDP Scan ACK Scan XMAS/FIN / TCP NULL Scan Scan des services Détectio n de l'OS NMAP X X X X X X X gratuit Simple Linux/Windows Unicornscan X X X X X X gratuit Simple Linux Scanrand X X X X X gratuit Moyen Linux hping3 X X X X X gratuit Difficile Linux/Windows Tableau 4 Tableau comparatif des outils de scan 1.2. Scan des vulnérabilités Le scan de vulnérabilité est une étape indispensable dans les tests de pénétration. En se basant sur les résultats des scans réalisés dans l’étape précédente, ports ouverts, nom du service, version, type de l’OS et sa version, etc, le pentester doit dégager les risques et les failles qui peuvent présenter un danger pour le système testé. Des bases de données énormes des vulnérabilités sont mises à disposition des testeurs où chaque faille est décrite en détail avec la date de publication, la description détaillé, la plateforme utilisée, la solution envisageable, l’exploit s’il existe et les références de la faille sur les autres sites de vulnérabilités. Parmi ces sites nous trouvons :
  37. 37. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 28  OSVDB : Open Source Vulnerability Data Base est une base de données de vulnérabilités developpée et mise en place par et pour la communité. Son but est la mise en place d’une plateforme solide, riche en information et extensible pour toute information liée à la sécurité informatique (vulnérabilité et faille).  NVD de NIST : National Vulnerability Database, elle est mise en place et maintenue par la National Institue of Standards and Technology.  CVE : Common Vulnerability and Exposures, elle est mise en place et maintenue par MITRE organisation sans but lucratif qui s’intéresse au intérêt publique.  US-CERT Vulnerability Notes Database : c’est une base de données d’informations liées aux vulnérabilités créé par le US-CERT (United State - Community Emergency Response Teams) 1.2.1. Types de scan des vulnérabilités Si le testeur ne veut pas utiliser les sites cités auparavant ou il n’arrive pas à trouver des vulnérabilités connues sur le système testé comme pour notre cas terminal résidentiel avec un système bien spécifique alors il existe plusieurs autres techniques et méthodes à utiliser qu’on peut classifier sous deux procédures génériques:  Evaluation manuelle des vulnérabilités : Dans ce cas le pentester a recourt à développer ses propres cas de test et exploitations. Le cas le plus courant est celui des applications web car chaque application web est personnalisée selon les besoins des utilisateurs et la technologie utilisée.  Evaluation automatique des vulnérabilités : Dans ce cas le pentester utilise des scanneurs de vulnérabilités automatiques. Cette méthode est très avantageuse par rapport à la première méthode notamment car elle nous fait gagner énormément de temps. Les scanneurs automatiques de vulnérabilités couvrent toutes les failles connues (selon la version de scanneur, la mise à jour, etc.). Dans notre cas, les technologies utilisées dans la conception et la mise en place des services et des applications implémentées dans le TR sont, plus ou moins, spécifiques aux besoins des TRs SagemCom. Il est clair que nous allons rencontrer certains problèmes avec les scanneurs des vulnérabilités car ils sont principalement dédiés pour des systèmes qui utilisent des technologies largement utilisés et déployés. Les scans manuels sont donc une étape à ne pas négliger, comme il est indique ci-dessus les outils de scan peuvent générer des faux positifs ou carrément ne pas trouver de failles, et ceci car le système testé est un peu particulier ou utilise des technologies non connues, voir propriétaires.
  38. 38. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 29 1.2.2. Outils de scan des vulnérabilités Dans cette section, on va présenter les différents types des scanneurs de vulnérabilités ainsi que leur fonctionnement. Généralement ces outils peuvent être classés sous deux catégories.  Scanneur de vulnérabilités générales qui couvre plusieurs axes : vulnérabilité réseaux, vulnérabilité liés au système d’exploitation, vulnérabilité liés aux services, etc.  Scanneurs de vulnérabilité pour un type bien spécifique de services ou d’applications. Sous cette catégorie on trouve principalement les scanneurs des vulnérabilités des applications WEB et en second lieu ceux des bases de données. Dans le cas des TRs SagemCom, on a besoins que des scanneurs de vulnérabilités générales et ceux des applications WEB. 1.2.2.1. Scanneur de vulnérabilités automatique Il existe plusieurs solutions système sous cette catégorie, on va s’intéresser à Nessus, Nexpose, OpenVAS, GFI Lan GUARD et QualysGuard :  Nessus : Scanneur de vulnérabilités proposé par « Teenable », conçu pour être utilisé sur plusieurs plateforme, il peut être installé sur un serveur à part et y accéder à partir de n’importe quelle machine sur le réseau. Il existe deux versions version payante et communautaire, la différence se concrétise dans les fonctionnalités et les services du support technique. Il se base sur les « Policies ». Ces derniers se composent de plusieurs options de configurations relatives au type de scan à réaliser tel que le type de scan de ports, les plugins à utiliser, les paramètres d’authentification pour les bases de données, site web, etc. Par défaut, Nessus offre quatre « Policies » : o External Network Scan : Scan sur des machines à l’extérieur du LAN qui présentent généralement moins de services pour les réseaux. o Internal Network Scan : Scan sur des machines du LAN, ce scan est plus large que le premier car il couvre plus de services. o Web App Tests : Scan sur les failles et vulnérabilités Web. o Prepare for DCI PSS audits : aide à se préparer pour un audit PCI DSS.5  Nexpose : outil proposé par « Rapid7 », qui, comme « Nessus », offre deux versions, payantes et communautaire, cette dernière est très limitée de point de vue fonctionnalités. Nexpose nécessite un PC performant avec une configuration minimale présentant les caractéristiques suivantes : o 2 GHz processeur. 5 The Payment Card Industry Data Security Standard (PCI DSS) est une norme de protection des données pour les organismes qui traitent la sécurité des informations de titulaire de carte pour le débit, le crédit, payé d'avance, l'e-bourse, etc [33].
  39. 39. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 30 o 2 GB (32 bits), 4 GB RAM (64 bits). o 10 GB + d’espace vide sur le disque. o 100 Mbps pour la carte réseau.  OpenVas : OpenVAS « Open Vulnerability Assesement System » représente un système d'évaluation de vulnérabilité open source et rassemble une gamme d’outils complète pour scanner la sécurité du réseau. Le noyau « OpenVAS » est un composant de serveur qui assure un ensemble de vulnérabilités « Network Vulnerability Tests » (NVTs) pour détecter les problèmes de sécurité dans les systèmes distants et les applications.  GFI Lan GUARD : outil payant de « GFI », pour les systèmes Windows, il est connu pour sa simplicité d’utilisation.  Qualys Guard: solution payante de « Qualys », sa particularité est quelle offre ses services scan via le « Cloud Computing 6 » sous forme de « SaaS 7 ». L’avantage majeur de cette solution est quelle ne nécessite aucune installation et par conséquence l’administrateur ou le responsable de la sécurité se concentre seulement sur les tests des pénétrations sans prendre en compte la configuration et la mise en place dans le réseau local. Tous les traitements se font chez les serveurs du fournisseur de services. Ci dessous un tableau comparatif entre les outils décrits auparavant, en se basant sur les critères de choix suivants:  Temps d’exécution.  License.  Plateforme.  Extensibilité.  Utilisation. 6 Cloud Computing : un concept qui consiste à déporter sur des serveurs distants des traitements informatiques traditionnellement localisés sur des serveurs locaux ou sur le poste client de l'utilisateur. 7 SaaS : Software as a Service, le client utilise des applications offertes par le fournisseur du système Cloud, certaine application peuvent être personnalisée par le client, on trouve par exemple Gmail, Google Documents, Google Maps…
  40. 40. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 31 Temps d'exécution type de License plateforme Extensibilité* Utilisation** Nessus proportionnellement aux tests *** payant/communité Windows/linux Oui difficile Nexpose 5 minutes **** payant/communité Windows/linux Non moyen OpenVas proportionnellement aux tests *** gratuit linux Oui difficile GFI LanGUARD proportionnellement aux tests*** payant Windows Non facile QualysGuard plus ou moins long (scan à distance) payant tous (SaaS) Non difficile * : quelques outils listés peuvent être extensibles par l’intégration d’autre outils ou l’utilisation de plugins. ** : l’utilisation est jugée de point de vue configuration et mise en place. *** : les temps de scan peuvent varier de quelques minutes jusqu’à quelque heures selon la configuration utilisée. **** : les scans proposés par la version communautaire du « Nexpose » ne dépassent pas les 5 minutes, ceci est dû à la limitation des fonctionnalités et des types de tests. Tableau 5 Tableau comparatif des scanneurs des vulnérabilités automatiques 1.2.2.2. Scanneur de vulnérabilités WEB Vu que la plupart des services et applications convergent vers la technologie web, pour les avantages qu’elle offre en termes de cout et de performance. Cette migration, malgré ses avantages, portes aussi des inconvénients qui ont fait que le nombre de failles et de vulnérabilités à fortement augmenté. Pour y remédier et du moins les détecter, il existe une gamme d’outils spécialisés dans les scans des vulnérabilités web. Dans le cas des TRs SagemCom, les utilisateurs peuvent l’administrer à travers son interface web (ou GUI). Les TRs vu leurs limitations de point vu ressources (RAM, CPU, espace,…) ne peuvent pas implémenter des technologies web connue pour les grands serveurs, ou à la limite les utiliser dans quelques fonctionnalités. La plus part des outils disponibles sur le marché, sont dédiés pour des applications web utilisant des technologies connue (PHP, ASP, JSP,…) ou des CMS (JOOMLA, DRUPAL, WordPress,…), ceci est explicable car ils sont souvent utilisés. [15] Les critères de choix d’un scanneur de vulnérabilités sont nombreux, une étude comparatif à été effectué par l’université de Californie sur des différents scanneurs afin de dégager les meilleurs. Tableau 6 Liste des outils et leur type de licence
  41. 41. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 32 Ci-dessous un graphe qui présente le pourcentage des faux négatifs par rapport au résultat corrects selon le type de configuration; certains outils sont paramétrables et d’autre non. Figure 13 Evaluation des resultats Le temps d’exécution de scan est un critère très important de comparaison. Certains outils contiennent beaucoup plus que des fonctionnalités et des tests qui vont influencer par suite la durée d’exécutions. Figure 14 Temps d'exécutions du scan Les tests réalisés sur les TRs SagemCom, pour le scan des vulnérabilités web, ont prouvé que pour un système bien particulier, comme dans notre cas, on ne peut pas se limiter à l’utilisation d’un seul outil car chacun d’eux peut dégager des informations utiles que les autres ne trouvent forcément pas. Une autre remarque est que quelques outils classés parmi les meilleurs n’arrivent même pas à générer des résultats logiques et raisonnables sans parler de liens inexistant. Ces trois outils sont les plus appropriés pour notre cas, Nikto, SkipFish et un proxy web (ZAP de OWASP). ZAP est un proxy web qui sert à intercepter les requêtes http et peut faire des modifications sur leurs paramètres. Dans le cas d’authentification dans un site web, il est indispensable d’utiliser un proxy pour tester tous le contenu du site.
  42. 42. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 33 1.3. Exploits et autres types d’attaques 1.3.1. Exploits C’est la dernière étape de la partie réseaux. Après toutes les étapes réalisées : scan des ports et services, détection de l’OS et scan des vulnérabilités, il faut bien les mettre en valeur et les utiliser afin de vérifier qu’ils s’agissent de vraie failles et défaillances ou juste des alertes de type faux négatifs. Il existe plusieurs méthodes possibles pour vérifier ce point et rédiger un rapport solide et complet qui contient une description réelle des vulnérabilités. Le testeur dans cette étape a le choix entre utiliser des exploits publics disponibles sur les sites des exploits ou rédiger ces propres exploits ou encore utiliser un outil de pénétrations comme le fameux « MetaSploit ». Les sites des exploits :  Security Focus : Chaque vulnérabilité et accompagnée par les différents exploits possibles.  Exploit database : archive des exploits des applications et des systèmes. Ces derniers sont classés sous plusieurs catégories. La distribution « BackTrack 5 » offre un outil de recherche dans la base de données d’exploits. Un petit script développer permet de faire la mise à jour des exploits. (Voir annexe 2) Metasploit était un projet open-source sur la sécurité informatique qui fournit des informations sur des vulnérabilités, aide à la pénétration de systèmes informatisés et au développement de signatures pour les IDS. Le plus connu des sous-projets est le Metasploit Framework, un outil pour le développement et l'exécution d'exploits contre une machine distante. Les autres sous-projets importants sont la base de données d'Opcode8 , l'archive de shellcode, et la recherche dans la sécurité. 1.3.2. Autres types d’attaques Craquage des mots de passe : Les attaques dont on va parler dans cette section, sont liées aux consoles d’administration à distance offert par le TR. Toujours, en se basant sur les résultats des autres scans on peut déterminer les types de ces consoles (Telnet, SSH). L’attaque la plus connu est l’attaque brute force ou attaque par dictionnaire pour tenter plusieurs combinaisons de mots de passe. Plusieurs outils disponibles sont dédies à ces types d’attaque. Parmi eux, on peut citer les plus connus dans le monde du libre ; Cain & Abel, John the Ripper, Ophcrack et Hydra. 8 Opcode : numéro qui précède chaque instruction afin de déterminer sa nature. (Ex : pour l’architecture x86, l’Opcode 0x6A correspond à l’instruction PUSH.
  43. 43. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 34 Attaque DDOS: Ce sont les attaques qui provoquent l’arrêt total ou partiel d’un service ou d’un système pendant un certain temps. Le hacker envoi plusieurs paquets TCP sans prendre en considération les réponses reçues du serveur. Ce dernier, pour chaque requête reçue, il alloue quelques ressources (Mémoire, Temps processeur, …). Après certain temps, le serveur sera hors service due à la surcharge des ressources. [35] 2. Module UPnP 2.1. Présentation Le terme UPnP (Universal Plug and Play) dérivé de Plug and Play ou «on branche et ça marche» désigne une technologie pour attacher dynamiquement les périphériques à l'ordinateur. De ce fait, UPnP reprend les concepts de PnP pour les étendre à tout le réseau, facilitant la recherche, la découverte et la communication entre différents équipements connectés au réseau local. En effet, cette technologie a été promulguée en 1999 par l’UPnP Consortium, démarré par Microsoft. Le Forum UPnP comporte au mois de décembre 2009 plus de 894 fournisseurs y compris des leaders de l‘industrie spécialisés dans le domaine informatique, réseau, systèmes électroniques, domotique, technologies mobiles, etc. UPnP est un protocole qui vise à simplifier le déploiement des différents équipements à savoir les ordinateurs, les équipements électroniques et les équipements mobiles sur le réseau domestique et assurer leur interopérabilité. Pour ce faire, UPnP utilise TCP/IP et d'autres protocoles IP afin de gérer des éléments de proximité et exécuter des commandes à distance, etc. Fonctionnement Le protocole UPnP comporte six phases fondamentales citées ci-dessous. Ces phases permettent à un périphérique de s‘intégrer dans le réseau et de communiquer avec les autres périphériques. En effet, un périphérique UPnP doit passer tout d‘abord par les phases d‘adressage, de découverte et de description. Une fois la phase de description achevée, le périphérique UPnP entre dans les phases de contrôle, de notification et de présentation. Ces trois dernières phases qui sont indépendantes chronologiquement permettent aux différents équipements UPnP d‘exploiter les services offerts par les périphériques. Profile UPnP Un profil est un ensemble de paramètres et d’actions qui peuvent former un modèle de fonctionnement cohérent. Les profiles les plus connues sont :
  44. 44. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 35  Internet Gateway Device (IGD).  Audio/Video (A/V), basis for DLNA. Plusieurs profils UPnP contiennent des sous profils. Chaque sous profil inclut des actions et attribues. Ci-dessous un graphe qui présente l’hiérarchie des profils les plus utilisés ainsi que les principales actions dédiées à chacun d’eux. [16] Figure 15 Principaux profils UPnP et actions 2.2. Risques et vulnérabilités Les attaques UPnP visent la vulnérabilité du protocole qui n’exige aucune authentification avant l’exécution de quelques actions. Si l’UPnP est activé, un utilisateur malveillant connecté sur le réseau peut lancer des commandes malveillantes en utilisant quelques outils simples et à la portée de tout le monde. (exemple : action « ForceTermination() » du profile « WANIPConnection » coupe la connexion vers le réseau WAN). La défaillance majeure est dans l’action « AddPortMapping », plusieurs attaques peuvent être réalisées en se basant sur cette action, exactement sur l’attribut « NewInternelClient ». AddPortMapping permet au client UPnP d’ajouter des règles dans le TR afin d’acheminer le trafic désiré vers une destination qui est souvent l’adresse IP du client. Un utilisateur malveillant peut l’utiliser afin de réaliser ces attaques :  Redirection du trafic vers une autre machine sur le réseau : cette approche consiste à rediriger un trafic indésirable arrivant s ur un port X vers une autre adresse bien spécifique.
  45. 45. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 36 Figure 16 Redirection vers une autre adresse locale  Redirection du trafic vers l’adresse local du TR : une telle opération permet à un attaquant de réaliser des attaques sur les services offert en local par le TR (ex : interface web). Figure 17 Redirection vers l'adresse locale du TR
  46. 46. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 37  Redirection du trafic vers une adresse IP routable (WAN) : cette opération permet de réaliser des attaques à travers le TR. Figure 18 Redirection vers une autre adresse WAN  Une autre attaque possible est l’exécution d’un code Shell sur les TRs basés sur Linux. Au lieu d’une vraie adresse IP, l’attaquant peut insérer un bout de code dans l’attribue «AddPortMapping » qui va être exécuté au sein du TR. Cette injection du code est très limitée et elle ne doit pas dépasser la taille d’une adresse IP (15 caractères). On peut redémarrer le TR par une action «AddPortMapping» dont l’attribue « NewInternalClient = "‘/sbin/reboot‘" ». 2.3. Outils Pour tester les services UPnP, il nous faut quelques outils de tests dont on cite :  Sniffeur UPnP : pour capturer le trafic UPnP sur le réseau.  Point de contrôle UPnP : pour détecter les périphériques UPnP et utiliser les actions qu’ils fournissent. « Intel Tools for UPnP Technologie » est un ensemble complet d’outils dédié pour les systèmes d’exploitation Windows permettant de tester l’UPnP. Il inclut les outils suivants :  Intel Device Spy.  Intel AV Media Controller.  Intel Device Sniffer.
  47. 47. Chapitre 3 Etude de vulnérabilités des Terminaux Résidentiels Page 38 Dans le monde du libre, on trouve un outil similaire à « Intel Tools ». « GUPnP » et « UPnP Inspector ». Ces outils offrent une interface graphique et assure la découverte des périphériques UPnP et le test les différentes actions possibles. 3. Module WIFI 3.1. Présentation Comme il est indiqué dans le premier chapitre, Les TRs SagemCom offrent la possibilité d’interconnecter les périphériques sans fil via le WIFI. L’émission des ondes radio ne peut pas être limitée dans un périmètre restreint pour éviter l’interception indésirable des données par un tiers. Plusieurs techniques et approches sont mises en place pour assurer la protection des communications entre les différents équipements d’un même réseau :  Chiffrement des données : les deux techniques connues sont WEP et WPA. o Le WEP, Wired Equivalent Privacy est un protocole permettant de sécuriser les réseaux sans fil de type Wifi. Ces réseaux diffusant les messages échangés par ondes radioélectriques, sont particulièrement sensibles aux écoutes clandestines. Le WEP tient son nom du fait qu'il devait fournir aux réseaux sans fil une confidentialité comparable à celle d'un réseau local filaire classique. Cependant, plusieurs vulnérabilités ont été identifiées dans ce protocole, qui lui rend pratiquement inutilisable aujourd’hui. o Le WPA, Wi-Fi Protected Access est un mécanisme permettant aussi de sécuriser les réseaux sans fil de type Wifi. Il a été créé en réponse aux nombreuses et sévères faiblesses que des chercheurs ont trouvées dans le mécanisme précédent, le WEP. Il présente deux modes à savoir :  WPA personnel (WPA-Personal) : connu également sous le nom de mode à secret partagé ou WPA-PSK (Pre-shared key). Chaque équipement du réseau sans fil s'authentifie auprès du point d'accès en utilisant la même clé sur 256 bits.  WPA entreprise (WPA-Enterprise) : connu également sous le nom de mode WPA-802.1X ou WPA-EAP, WPA entreprise est conçu pour les réseaux d'entreprise et demande à ce que l'on utilise un serveur d'authentification RADIUS.  Filtrage MAC : cette méthode peut être combinée avec le chiffrement des données transmises afin d’ajouter un niveau de sécurité définissant la liste des équipements autorisés par adresse MAC.

×