Audit + pentest "black box" sur le réseau pédagogique + pishing sur des promotions étudiantes + vol d'identitée + détournement d'Azure. A cette occasion, découverte de plusieurs problèmes sérieux insoupçonnés : sous-domaine vers serveurs vérolé + Azure mal configuré.

2. Chapitre 1. POURQUOI l’audit
?

3. 34hvendredi 03 juillet, 08h
→ samedi 04 juillet,
18h
Paul est étudiant en 4e année au CESI.
Il apprend courant juin 2020, faute de travaux rendus et
d'un défaut de comportement général, une série de notes
très basses qui justifient qu'il n’intègre pas l'année
suivante, mettant en péril son année en cours. Sa colère
vis-à-vis de l'organisme de formation est importante : il
veut se venger.
Son mobile est de démontrer à la fois la faillite de
l'excellente voulue par le CESI, comme de son niveau
informatique. Il veut que son attaque "marque" les esprits.
Cependant son motif est également pécunier et en cela
plus discret : il souhaite récupérer des fonds provenant du
vol et de l'extorsion d'autres étudiants et des personnels
du CESI.
L'encadrement de Paul n'a pas mesuré sa motivation à
nuire autant que Paul reste discret sur ses projets : il a
donc le temps de préparer pendant plusieurs semaines
son attaque (questions diverses et anodines aux membres,
visite libre de locaux, manipulation des matériels, etc.).
Cette mission initiale de renseignement est facilitée par le
peu de suivi des personnes au sein du bâtiment et du
laxisme sur les règles minimales de prudence.
L'attaque démarre le vendredi 03 juillet 2020 à 08h, en
pleine période estivale alors que beaucoup ont déjà la tête
dans les congés. Le lendemain, l'agenda est
exceptionnellement chargé : une épreuve TOIEC se
double des journées portes ouvertes... Le piège se
renferme !
Ceci est Paul.

4. 2.
OPPORTUNITÉ
1. MOTIVATION

5. 0 Risque = Menace x Vulnérabilité x Actif
Capital image
→ étudiants, tuteurs
Capital financier
→ actionnariat, financeurs
Capital confiance
→salariés, encadrement
Vulnérabilités
humaines
Vulnérabilités
techniques
Vulnérabilités
organisationnelles
Menace
sinternes
Menaces
externe
s
Menaces
accidentelles

6. 1 « Comment a-t-il eu un mot de passe
d’administrateur de domaine ? »

7. 2 « Pourquoi nos défenses numériques et
l’équipe du CESI, n’ont pas réagi ? »

8. Chapitre 2. COMMENT l’audit
?
(l’organisation
)

9. aujourd’hui17 mai
Réalisation de
l’attaque sociale
Fin octobre 2019
Réalisation de la
pénétration système
Fin octobre 2019
Prise d’information
système (LAN)
10.116.0.0/17 (sauf 10.116.0.10)
Mai à juin 2019
Finalisation de
l’audit et soutenance
Novembre 2019

10. Composants
/ Phases
Pénétration de système Ingénierie sociale Gestion de projet
1
Prise
d’information
Mise en
œuvre
Initialisation du
projet
2
Exploitation
des
vulnérabilités
Exploitation de
l’envoi
Suivi et
ajustements
3
Rédaction du
rapport
Rédaction du
rapport
Clôture du
projet
Sous-total
Total
*** h
*** €

11. Chapitre 2. COMMENT l’audit
?
(la pénétration de
système)

12. K
P
W10
A
W7

13. ea64316fbfb328fa3d135
c9bc49b40a639386cdc7c
5832b41d45fa67b7f302d
05b14e0c333151dd9b1a9
a24ba38624b316e197fed8
f925039fb8a14debcd579
6a5232d09f422f57dbf1ce
981f3b828cd4bd0067bff7
8259ff5800862a6bcef2f
6f03bf98a8ee21928720d
495f940c16bc10b7720dcf
939e363c8476cc60546e
3

14. Chapitre 2. COMMENT l’audit
?
(l’attaque de
phishing)

19. !

21. Famille Schéma Exemple Commentaire
« HTTP Auth »
(via une connexion
TPC+SSL,
WebSocket+SSL ou
UDP avec
chiffrement
symétrique)
« Basic »
(RFC 7617)
ou « Digest »
(RFC 7616)
Authorization: Basic
QWxhZGRpbjpvcGVuIHNlc2FtZ
Q=
=
La méthode « historique » pour la
gestion des sessions authentifiées.
Utilisée désormais surtout pour les
API REST.
« ID session »
(RFC 2965)
(via cookies)
La méthode couramment utilisée par
le langage PHP et fournit par défaut.
La méthode identifie une session lors
d’une requête, depuis un pool central
(dossier de fichiers ou BDD).
Session salée ou « Bearer »
(RFC 5849, 6749, 6950)
{ "access_token":"mF_9.B5f-
4.1JqM",
"token_type":"Bearer",
"expires_in":3600,
"refresh_token":"tGzv3JOkF0X
G5Qx2TlKWIA" }
Le contenu « serveur » de la session
est envoyé en JSON au client, avec
un jeton salé (hash du contenu + clé
secrète du serveur d’identité).
Cette méthode permet de distribuer
une session sans point central. La
durée de vie du jeton est importante
(notion de révocation plus délicate).
Session obsfuscée
Session salée avec l’application
d’un chiffrement symétrique
La clé de chiffrement symétrique est
partagée par tous les serveurs d’un
domaine ou d’un secteur.
A noter : une session n’a pas nécessairement authentifiée (secret partagé entre client et serveur). La session salée « bearer » est la base de la
distribution de l’identité entre un fournisseur d’identité et un ou plusieurs fournisseurs de contenus, sans qu’un client puisse forger un jeton avec des
informations modifiées. Le secret entre fournisseur d’identité et un fournisseur de contenu peut varier dans le temps. Le client doit pouvoir être

22. Utilisateur
Client
Application
Fournisseur
d’identités
Fournisseur
decontenus
temps
vie de la
session
Identification
normale
Actions
pirates
confiance
« Azure »
– Utilisateur : ici les étudiants du
CESI qui subissent l’attaque de
phishing
– Client : le navigateur de
l’utilisateur
– Application : application dite
« monopage » qui est renvoyé par
le serveur hébergeant l’application
et qui est exécutée par le client
– Fournisseur d’identités :
Microsoft Azure pour Office365, en
lien avec l’AD du CESI
– Fournisseur de contenus :
Microsoft Graph

23. Chapitre 3. QUEL résultat ?
(et comment se protéger)

24. 20 étudiants ciblés
3 victimes
1 dénonciateur
suffisant pour mener
l’attaque de Paul

25. Chapitre 4. COMBIEN ça va coûter ?

26. 3 Capital d’image : des étudiants
et des visiteurs victimes
- Bornes Wifi du CESI détournées
- Bornes Wifi « libres » et pirates
(grâce aux matériels du faux-plafonds)
→ récupération des identifiants CESI,
des comptes divers et injection de scripts
proxy pour le minage de
cryptomonnaie
BONUS ! l’ajout d’une application
dédiée pour récupérer des données
personnelles et mener des opérations

27. 1. Imposer l’ajout d’une injonction d’un certificat
d’autorité dans le magasin du navigateur
Avantage. Les canaux TSL semblent valides
Inconvénient. Complexe !
Modalités d’attaque
( « man in the middle » )
2. La borne agit comme proxy, grâce à un portail
portail captif (une exception sur la signature reste
nécessaire)
Avantage. Simple et très rapide à mettre en place.
Inconvénient. Agit surtout dans un contexte
navigateur, qui peut alerter

28. 4 Capital financier : les financeurs
mécontents, des coûts pour le CESI
Modalités d’attaque
( minage pirate de la monnaie
)
1. Utiliser les postes informatiques du CESI
(dont W-o-LAN + PXE dans les labos)
Avantage. Le calcul distribué est adapté
Inconvénients. Nécessite des applicatifs
spécifiques pour la distribution des
calculs
2. Les bornes Wifi diffusent à un grand nombre
d’ordinateurs les scripts de minages et de
contournementAvantage. Simple et très rapide à mettre en place.
Inconvénient. Agit surtout dans un contexte navigateur, qui
peut
alerter
$4,600 en 34h
50 machines I5 8600K 6 cœurs
+ UHD Graphics 630 à 90 %
= 24 678.5 x 0.9
= 22 210,65 Gflops
Soit 282,075255 GHash/s quand
1mHash/s vaut 12,700 mFlop/s

29. 4 Capital confiance : les salariés et
les collaborateurs indirects du CESI
Modalités d’attaque
( vol de données, d’identités et
escroqueries diverses
)

36. (TP de présentation : récupération des données bancaires via portail captif au sein du campus)

37. Chapitre 5. QUAND...
?
(conclusion)