Le pwn plug est un dispositif compact permettant à un attaquant de prendre le contrôle à distance d'un réseau à l'aide d'outils de sécurité utilisés par des professionnels et des pirates. Il se connecte à Internet via un réseau cellulaire ou ethernet et peut lancer des attaques de manière discrète, exploitant des vulnérabilités des systèmes tout en restant indétectable. Cet appareil illustre les menaces potentielles auxquelles les entreprises doivent faire face, soulignant l'importance de réaliser des tests de sécurité réguliers.

1. PRODUIT
Pwn plug :
arme fatale
PAR MICHEL CUSIN, architecte de sécurité – Bell
Imaginez qu’un seul petit dispositif permet à un attaquant de prendre
le contrôle de votre parc informatique à distance par un réseau cellu-
laire. Cet exemple semble sortir d’un film de science-fiction. Pourtant,
il est bel et bien réel. Bienvenue dans le monde du pwn plug !
PWN PLUG Le fait que son système d’exploitation soit
Dans le monde des pirates infor- Ubuntu, une distribution de Linux très populaire,
matiques et des professionnels en offre une grande souplesse quant aux « outils » pou-
sécurité, le terme pwn ou pown est un vant y être installés. En effet, le pwn plug arrive avec
dérivé du mot anglais own qui signifie une multitude d’outils déjà installés. Ces derniers
« posséder ». Un pwn plug est un dis- sont fréquemment utilisés par les pirates, ce qui
positif qui se branche dans une prise offre une valeur ajoutée par rapport au réalisme des
Michel Cusin œuvre dans d’alimentation (plug) et qui sert à atta- attaques pouvant être perpétrées lors de l’utilisation
le domaine de la sécurité quer, à infiltrer et à posséder des sys- d’un pwn plug pendant un test d’intrusion effectué
depuis plus d’une décennie. Il tèmes et des réseaux informatiques. Il par un professionnel de la sécurité. Voici de brèves
est actuellement architecte en permet en quelque sorte d’attaquer en descriptions de ces outils :
sécurité de l’information chez
étant derrière les lignes ennemies à ■ Metasploit et Fasttrack sont des plateformes
Bell. Dans le passé, il a été
instructeur et consultant en l’aide d’une tactique qui rappelle celle d’attaque permettant notamment de prendre le
sécurité (secteurs privés et du cheval de Troie. contrôle d’un système en exploitant des failles
publics). Il détient des certifi- Concrètement, cette boîte blan- sur ce dernier.
cations telles que CISSP GCIH,
,
CEH, OPST, ITIL et plusieurs che de très petite taille est constituée
autres relatives à divers des composantes d’un ordinateur nor-
manufacturiers de solutions mal, c’est-à-dire d’un CPU (1,2 GHz),
de sécurité. Il collabore avec d’une mémoire vive (DDR2 400 MHz,
le SANS depuis plusieurs
années, notamment à titre
16 bit-bus), d’un disque dur flash
de mentor et d’instructeur. Il (512 Mb NAND flash), d’une prise
participe également à divers réseau Ethernet et d’un port USB 2.0. L’ap-
événements de sécurité pareil se branche dans une prise élec-
comme conférencier et trique normale (100-240 VAC/50-60 Hz).
organisateur.
Le pwn plug est basé sur le kit de
développement SheevaPlug de la com-
pagnie GlobalScale Technologies1. Dave Porcello de
Rapid Focus Security s’en est inspiré pour créer le pwn
plug2. Le modèle sans fil vient avec une carte externe
ALFA awus036h (500 mW) tandis que le modèle 3G
vient avec un modem fonctionnant sur les réseaux
HSDPA, GSM, UMTS, EDGE et GPRS pouvant fonctionner
dans plus de 160 pays. La carte sans fil et le modem
se branchent dans le port USB du pwn plug.
Suite en page 16
Mai l Juin 2011 SÉCUS | 15 |

2. Suite de la page 15
■ SET (Social Engineer Toolkit) est un outil pouvant être monde et qui offre de « faux » services de DHCP, POP,
utilisé lors d’attaques qui tireront avantage de la fai- DNS, FTP. Le but est que la victime s’y branche afin de
blesse que les humains représentent en matière de sécu- lui voler de l’information.
rité. Ce type d’attaques est mieux connu sous le nom ■ Karmetasploit est une version de Karma adapté et inté-
d’ingénierie sociale. Il peut par exemple créer un courriel gré à Metasploit et qui permet notamment de prendre
qui semble légitime avec un fichier joint contenant une le contrôle total d’un poste en lui injectant du code
porte dérobée (backdoor) et l’envoyer à une victime malicieux lorsqu’il se branche par le réseau sans fil, et
« à l’interne ». Il s’intègre également à Metasploit. ce, à l’insu de la victime.
■ SSLstrip est un outil permettant de faire des attaques ■ Kismet est un outil qui agit comme détecteur de
de type Man in the Middle sur des connexions sécu- réseau sans fil, analyseur (sniffer) et système de
risées en HTTPS (protocole SSL). L’outil permet à l’at- détection d’intrusion sans fil.
taquant d’intercepter un trafic qui devrait normalement ■ La suite Aircrack-NG comprend une multitude d’outils
être chiffré bout en bout et de le lire ou de le manipuler. sans fil. Elle permet notamment de craquer des clés
■ Nmap, qui n’a plus besoin de présentation, est un WEP, WPA et WPA2.
(pour ne pas dire le) balayeur (scanneur) de ports par ■ WEPbuster est un outil servant à craquer des clés WEP.
excellence. Cet outil, qui offre maintenant le Nmap Il n’est pas nécessaire d’être un super pirate ou quel-
Scripting Engine3, a évolué et est également devenu qu’un de très « technique » pour comprendre la puissance
un scanneur de vulnérabilité. d’un pwn plug. Cet arsenal peut visiblement causer des dom-
■ Dsniff est une suite d’outils permettant notamment mages importants. Pour être en mesure d’utiliser cet attirail
d’intercepter du trafic réseau. Il opère au niveau 2 du de guerre, il faut d’abord s’y connecter. Cependant, comme le
modèle OSI. pwn plug ne répond pas aux requêtes Ping et qu’il n’écoute
■ Netcat est considéré comme le « couteau suisse » des sur aucun port (TCP et UDP) lorsqu’il est « indétectable »
outils. Il sert à une multitude de choses comme se bran- (stealth), il est alors impossible de s’y brancher. C’est donc le
cher à un système (par exemple une session Telnet), pwn plug qui se connecte par une connexion renversée
créer des portes dérobées, faire des relais pour passer (reverse shell). Cela veut dire qu’il est donc possible de le
d’un système à l’autre, transférer des fichiers par le déployer physiquement dans les locaux de la victime et de le
réseau, etc. laisser se connecter en utilisant Internet ou un réseau cellu-
■ Nikto est un scanneur de vulnérabilité d’application Web laire. Même si l’option de la connexion cellulaire est plus coû-
qui tente de découvrir certains types de failles connues. teuse que l’accès Internet, elle offre l’avantage de contourn-
■ Nbtscan est un scanneur tentant de détecter des sys- er tous les mécanismes de défense en place sur le réseau.
tèmes avec la fonctionnalité de serveur NetBIOS dans De plus, le pwn plug tente de se brancher automatique-
le but trouver des partages réseau. ment par le réseau cellulaire toutes les soixante secondes. Il
■ Inguma est une plateforme d’attaque et de recherche envoie un message SMS à l’attaquant une fois qu’un tunnel
de vulnérabilité principalement orientée vers les bases SSH (secure shell) est établi à partir du pwn plug vers l’infra-
de données Oracle, mais pouvant également être uti- structure d’où seront lancées les attaques.
lisée pour d’autres types de systèmes. Par contre, dans l’éventualité où une connexion cellu-
■ Scapy est un programme de manipulation permettant laire n’est pas possible, comment le pwn plug peut-il se con-
de forger des paquets IP. Il pourrait par exemple, être necter en sortie s’il est déployé derrière un coupe-feu qui filtre
utilisé pour usurper (spoofing) l’adresse IP source d’un de façon très restrictive le trafic en sortie ? La solution à ce
paquet afin de cacher sa provenance. problème est de camoufler le trafic en sortie à l’intérieur d’un
■ Ettercap est un programme multiusage permettant autre type de trafic qui est normalement permis en sortie.
d’analyser (sniffing), d’intercepter et d’enregistrer Typiquement, la plupart des environnements permet-
(logging) du trafic sur un réseau commuté. tent le trafic comme HTTP (TCP 80), HTTPS (TCP 443), DNS
■ JTR (John The Ripper) est un programme presque (UDP 53 ou TCP 53) ou ICMP (PING) en sortie. Le pwn plug tire
légendaire servant à craquer des mots de passe à par- donc avantage de cette situation pour se connecter en sortie
tir des hash (empreinte numérique). en établissant des sessions chiffrées en SSH, ce qui offre
■ Medusa sert à faire des attaques qui tentent de deviner donc les possibilités suivantes :
les mots de passe (password guessing) en essayant ■ Connexion SSH en sortie par les ports 443 et 53;
toutes les combinaisons possibles une après l’autre, ■ Connexion SSH en sortie par des requêtes HTTP (capa-
contrairement à JTR. cité de passer par un serveur mandataire « Proxy ») ;
■ Karma est un programme simulant un point d’accès ■ Connexion SSH par ICMP (toutes les soixante secondes).
sans fil qui prétend être tous les points d’accès du
EXEMPLE Suite en page 17
Mai l Juin 2011 SÉCUS | 16 |

3. Suite de la page 16
Le pwn plug offre donc une multitude de possibilités.
Voici un des nombreux scénarios possibles. L’entreprise fic-
tive ACME doit faire un test d’intrusion et engage un spécia-
liste, Michel, pour l’effectuer. Ce dernier se rend donc dans les
locaux d’ACME. Afin de mieux se fondre dans le décor, il
apporte un petit coffre à outils et porte une chemise à l’effigie
de la compagnie qui s’occupe de la maintenance des impri-
mantes et photocopieurs. Il débranche discrètement une s’offrent à lui : utiliser un outil comme JTR pour craquer les
imprimante du réseau, branche le fil réseau dans un petit mots de passe à partir du hash ou faire une attaque appelée
concentrateur ou commutateur (répéteur multiport [hub] ou « Pass The Hash » (PTH). Michel décide donc de faire les
commutateur [switch]) et branche le pwn plug ainsi que l’im- deux. Comme le craquage de mots de passe requiert beau-
primante dans le répéteur multiport. Le pwn plug fait une coup d’utilisation processeur (CPU), il télécharge les hashes
requête au serveur DHCP qui lui octroie une adresse IP. sur un autre poste afin d’économiser les ressources de son
Environ une minute plus tard, Michel reçoit un message SMS pwn plug. Il entreprend ensuite l’attaque PTH qui consiste à
sur son téléphone cellulaire lui indiquant que le pwn plug a utiliser le hash ayant été récupéré afin de s’en servir pour
réussi à établir une session SSH avec son serveur d’attaque s’authentifier sur un système en usurpant l’identité d’un
par le réseau cellulaire 3G. Michel a maintenant un accès à autre utilisateur.
distance au réseau corporatif d’ACME et l’imprimante est Michel utilise Metasploit, qui lui permet de faire sont
revenue en ligne. Il esquisse un sourire en coin et part. attaque PTH afin de se connecter par le port TCP 445 (SMB)
De retour à son bureau, Michel utilise son serveur sur sa cible. Une fois qu’il est entré dans le système avec
d’attaque pour se brancher au pwn plug qui a déjà une ses- l’attaque, il utilise le module Meterpreter de Metasploit.
sion SSH d’ouverte par la connexion renversée (reverse Meterpreter est, en quelque sorte, une porte dérobée rési-
shell) établi antérieurement. Michel est donc en mesure de dente en mémoire injectée dans bibliothèque de liens
commencer son test d’intrusion. Il débute en utilisant dynamiques (DLL) du poste de la victime. Il effectue une
Nmap pour effectuer un balayage (scan) du réseau. Cela lui attaque d’escalade de privilège, ce qui lui donne les privilèges
permet de découvrir les systèmes présents sur le réseau du compte « System », donc tous les privilèges et le plein pou-
et de déterminer quels ports sont ouverts sur chacun des voir sur le poste. Il peut ensuite utiliser le système qu’il vient
systèmes. de compromettre comme relais pour attaquer d’autres sys-
De plus, comme le système d’exploitation principale- tèmes jusqu’à ce qu’il ait le plein contrôle du réseau entier, ce
ment utilisé dans l’environnement est Windows, le balayage qui ne sera qu’une question de temps. Il esquisse encore un
Nmap révèle que le port TCP 445 est ouvert sur la majorité sourire en coin et marmonne : « Pwned! »
des postes. Ce port est normalement utilisé par les proto- Cet exemple en est un parmi tant d’autres. L’idée ici
coles SMB (server message block) et CIFS (common Internet n’est pas de tous les couvrir en détail, mais de démontrer les
file system) et il sera utilisé plus tard, lors de l’attaque, afin possibilités offertes par un pwn plug. Méfiez-vous de tout ce
d’obtenir l’accès aux systèmes. Michel utilise ensuite qui vous semble louche ou inhabituel, que ce soit un petit dis-
Ettercap pour intercepter du trafic réseau et réussit à positif non identifié ou un courriel qui semble trop beau pour
récupérer des hash de Windows. Le hachage (hashing) est être vrai. Chaque entreprise devrait effectuer des tests de
une fonction mathématique qui permet de générer une vulnérabilité et d’intrusion sur une base régulière afin de
valeur unique à partir d’une donnée en entrée. Par exem- trouver les failles avant que les « méchants » ne le fassent...
ple, le hash du mot de passe « password1 » est Une démonstration d’attaque similaire à celle pré-
« E52CAC67419A9A2238F10713B629B565 » sentée lors du Sécuris@nté 2011 sera
(LANMAN)4. Il peut se calculer dans un seul
sens, ce qui signifie que la valeur initiale ne « disponible à http ://cusin.ca. Vous pourrez
Les hash des admi- également y consulter d’autres articles et
peut être récupérée en faisant le calcul nistrateurs sont très vidéos similaires. Je vous invite également à
inverse. Cela dit, lorsque, par exemple, un prisés. Il n’est donc pas partager vos commentaires sur mon blogue
utilisateur veut se connecter à un serveur à recommandé d’utiliser ou par courriel à michel@cusin.ca !
partir de son poste de travail, Windows un compte avec les
transmet une authentification sur le réseau
qui est le hash et non le nom d’utilisateur et privilèges de l’admi- 1. www.globalscaletechnologies.com/.
le mot de passe. Une fois que Michel a réussi nistrateur si ce n’est 2. http://nmap.org/book/nse.html.
http://pwnieexpress.com/.
à mettre la main sur des hash, deux options pas requis. » 3.
4. http://en.wikipedia.org/wiki/Lanman.
Mai l Juin 2011 SÉCUS | 17 |