Embed Size (px)
Citation preview
Editions ENI
Sécurité informatique Ethical Hacking
Apprendre l’attaque pour mieux se défendre
(5e édition)
CollectionEpsilon
Extrait
Chapitre 8
Les failles web
Les failles web1. Rappels sur les technologies du Web
1.1 Préambule
Il n'est pas concevable de se former à la sécurité des sites web sans avoir une bonneconnaissance des mécanismes qui sont mis en jeu lors de la consultation de pages surInternet. Nous allons rappeler dans ce chapitre les principales technologies du Web enexpliquant les processus qu’elles mettent en place. Si vous pensez que vos connais-sances sont déjà bien avancées dans ce domaine, vous pouvez passer directement à lasection Généralités sur la sécurité des sites web de ce chapitre.
1.2 Le réseau Internet
Internet est un vaste réseau d'ordinateurs sur lequel transitent des millions d'infor-mations quotidiennement. Ces données sont de différentes natures (e-mail, pageweb, chat, flux RSS...) et plusieurs méthodes sont utilisées pour les acheminer(HTTP, SMTP, FTP...). Chaque type de données et chaque méthode d'achemine-ment peuvent présenter des failles de sécurité.
Deux très importants types de données sont principalement utilisés sur le réseauInternet : les pages web et les e-mails. Dans ce chapitre nous développerons les basesdes techniques d'attaque des sites web et expliquerons les principaux réflexes qu'ilfaut avoir pour s'en prémunir. Mais avant de commencer à développer les attaquespossibles sur un site web il faut dans un premier temps bien comprendre les méca-nismes qui sont mis en place lors de la consultation d'un site.
© E
dit
ions
EN
I -
All r
ights
rese
rved
444Ethical Hacking
Sécurité informatique
1.3 Qu’est-ce qu’un site web ?
Un site web est un ensemble de données cohérentes et ordonnées, comprenantplusieurs types de médias (texte, image, son, vidéo...). La consultation de cesinformations s'effectue par un logiciel que l'on nomme navigateur. Les données sonttransmises au navigateur, à sa demande, par un serveur. Un site web met donc en jeuune relation client/serveur. Les protocoles principalement utilisés pour l'échange desinformations entre ces deux ordinateurs sont HTTP (HyperText Transfer Protocol) etHTTPS (HyperText Transfer Protocol Secure). Le mot Secure signifie sécurisé, mais nousverrons que c'est loin de garantir une sécurité totale et que bien souvent il donne unfaux sentiment de sécurité. Les langages les plus utilisés pour la description des pagessont le HTML et le XHTML.
1.4 Consultation d'une page web, anatomie des échanges client/serveur
Lorsque nous souhaitons consulter un site web avec notre navigateur nous commen-çons par lui fournir l'adresse du site, son URL (Uniform Resource Locator) ou plus large-ment son URI (Uniform Resource Identifier). Nous emploierons ici le terme URL car ilest le plus utilisé pour désigner l'adresse d'un site web. Supposons que nous voulionsconsulter le site http://mapage.com :– Nous fournissons à notre navigateur l'adresse http://mapage.com.– Notre machine va dans un premier temps chercher à résoudre le nom du site afin
d'obtenir l'adresse IP du serveur qui l'héberge. Cette résolution de nom se fait grâceà une requête DNS (Domain Name System).
– Une fois l'IP obtenue, notre navigateur va envoyer une requête HTTP, sur le port80, en utilisant la méthode GET sur la racine du site.
– Le serveur va alors nous répondre en renvoyant les données correspondant à la paged'accueil du site. Si des médias sont présents dans la page, plusieurs requêtes serontnécessaires afin d'aller chercher chacun d'eux.
Illustrons cet échange par un exemple concret en consultant le site des Éditions ENI.Pour cela, nous utiliserons un logiciel permettant de capturer l'ensemble des échangesentre notre ordinateur et le réseau Internet : Wireshark.
445Les failles webChapitre 8
Nous obtenons le résultat présenté ci-dessous :
Nous constatons bien des requêtes DNS sur les six premiers échanges afin de résoudrel'adresse du site. Puis notre machine établit une connexion TCP avec le serveur parl'échange de trois paquets bien connus SYN, SYN/ACK et ACK. Le navigateur envoiealors la requête GET suivante : GET / HTTP/1.1Mais ce n'est pas la seule information que notre navigateur envoie. Il fournit aussibeaucoup d'informations nous concernant afin que le serveur web puisse renvoyer laréponse la plus appropriée à notre situation. C'est ce que nous appelons les informa-tions de l'en-tête HTTP, que voici dans notre cas :
GET / HTTP/1.1
Host: www.editions-eni.fr
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:24.0)
Gecko/20140722 Firefox/24.0 Iceweasel/24.7.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
Nous trouvons dans cet en-tête des informations sur notre navigateur, notre systèmed'exploitation, le langage utilisé, le codage des caractères que nous acceptons, etc. Ilest intéressant de noter que rien qu'avec cet en-tête, les serveurs web peuvent établirun bon nombre de statistiques.
© E
dit
ions
EN
I -
All r
ights
rese
rved
446Ethical Hacking
Sécurité informatique
Remarque
Pour mieux voir l'échange des données entre le client et le serveur dans Wireshark, ilfaut faire un clic droit sur le paquet TCP/SYN de la liaison client/serveur et demanderShow TCP Stream.
Après la réception de ces données, le serveur web répond en conséquence. Il renvoieaussi un grand nombre d'informations. Dans un premier temps un en-tête :
HTTP/1.1 200 OK
Connection: Keep-Alive
Transfer-Encoding: chunked
Expires: -1
Date: Tue, 09 Sep 2014 06:28:36 GMT
Content-Type: text/html; charset=iso-8859-1
Server: Microsoft-IIS/6.0
X-Generated-By: SW-IIS12
X-Powered-By: ASP.NET
X-AspNet-Version: 4.0.30319
Set-Cookie: ASP.NET_SessionId=a2pxamtv35uv4lmep5dicppa; path=/; HttpOnly
Set-Cookie: CSM=Session=981f22a6-8afa-4aba-bd79-3bbd01b78e46&BNPro=;
expires=Fri, 19-Sep-2014 06:28:36 GMT; path=/; HttpOnly
Cache-Control: no-cache
Pragma: no-cache
Content-Encoding: gzip
Vary: Accept-Encoding
Nous ne détaillerons pas toutes les informations renvoyées mais seulement les prin-cipales. La première ligne indique que la page que nous demandons est disponible.Nous avons ensuite des informations sur le type de contenu, ici du text/html, ainsi quel'encodage des caractères utilisé dans la page, ici iso-8859-1. Les données suivantessont très intéressantes, nous trouvons le type de serveur (Microsoft-IIS) et sa version(6.0). Vient ensuite le langage utilisé pour réaliser les pages, ici ASP.NET. Un dernierélément intéressant est l'envoi d'un cookie de session.Nous reviendrons sur l'utilisation possible de toutes ces données mais pour le momentconcentrons-nous sur la suite de la page. Dans la fenêtre Follow TCP Stream deWireshark la suite de la page n'est pas lisible car une compression « gzip » est activéepermettant de limiter la quantité de données transférées entre le serveur et notre na-vigateur. Pour voir le code source de la page il faut donc utiliser le navigateur. DansFirefox la combinaison des touches [Ctrl] U permet d'ouvrir une fenêtre avec ce codesource.
<!DOCTYPE html>
<html id="ctl00_html" xmlns="http://www.w3.org/1999/xhtml" lang="fr">
<head id="ctl00_Head1"><title>
Editions ENI est éditeur de livres informatique et
vidéos de formation
</title>
447Les failles webChapitre 8
<a href="https://plus.google.com/112326652557810849753"
rel="publisher"></a>
<link rel="stylesheet" type="text/css"
href="/Styles/fontface/bundle_62884021E11FF315AD657A74C0FA5C15.css" />
<script type="text/javascript" src="http://www.editions-eni.fr/scripts/
jquery-1.10.2.min.js"></script><script defer type="text/javascript" src="/
scripts/bundle_C91ADA28F43D216E5FEBF02F329BC084.js"></script><meta http-
equiv="Content-Type" content="application/xhtml+xml;charset=iso-8859-1" />
<meta http-equiv="description" content="Editions ENI est éditeur de livres
informatique, supports de cours et de formation, CD-Rom de formation,
formation en ligne accompagnée ou non par un formateur, solution e-learning
MEDIAplus. Vente en ligne." /><meta http-equiv="keywords" content="ENI,
éditions ENI, mediaplus, livres informatique, e-learning, e-learning
bureautique, supports de formation informatique, supports de cours
informatique, livres bureautiques, cd-rom de formation, guides informatique,
ouvrages informatique, autoformation, formations en ligne bureautiques,
formation logiciels microsoft, examen mos, mcas, certification microsoft" />
<meta http-equiv="lang" content="fr" /><meta http-equiv="abstract" content=
"vente en ligne des livres informatique des éditions ENI" /><meta http-
equiv=" publisher" content="Editions ENI" /><meta http-equiv="reply-to"
content="[email protected]" /><meta http-equiv="contactcity"
content="Nantes" /><meta http-equiv="contactzipcode" content="44021" />
<meta http-equiv="contactstate" content="France" /><meta http-equiv=
"identifier-url" content="http://www.editions-eni.fr" /><meta http-equiv=
"copyright" content="Editions ENI" /><meta http-equiv="category"
content="Computing/General" /><meta http-equiv="distribution" content=
"global" /><meta http-equiv="rating" content="general" /><meta http-
equiv="vs_defaultClientScript" content="JavaScript" /><meta http-equiv=
"alexaVerifyID" content="bpVtOKMRHP2TIOOyork9G3gGP-M" /><meta http-equiv=
"Robots" content="Index, Follow" /><meta http-equiv="Cache-Control" content=
"no-cache" /><link rel="shortcut icon" type="image/x-icon" href="http://
www.editions-eni.fr/favicon.ico" /><link rel="canonical" href="http://
www.editions-eni.fr/livres-et-videos/.9a306885eaae816a50aefe4d3d676107.
html" /><script type="text/javascript">
var RootPath = "http://www.editions-eni.fr/";
var IdLNG = 1;
var TypeEspace = 'Livres';
var StateEspace = 1;
var RefPartner = '';
</script><script type="text/javascript">
var plug_inpage_Url = '//www.google-analytics.com/plugins/ga/
inpage_linkid.js';
var _gaq = _gaq || [];
_gaq.push(['_require', 'inpage_linkid', plug_inpage_Url]);
_gaq.push(['_setAccount', 'UA-1499179-1'],
['_setSiteSpeedSampleRate', 100]);
_gaq.push(['_setDomainName', 'www.editions-eni.fr'],
['_setCustomVar', 1, 'Espace', 'Livres', 3],
['_setCustomVar', 2, 'AccountType', 'NotLogged', 2],
['_trackPageview']);
© E
dit
ions
EN
I -
All r
ights
rese
rved
448Ethical Hacking
Sécurité informatique
(function () {
var
ga=document.createElement('script');ga.type='text/javascript';ga.async=true;
ga.src=('https:' == document.location.protocol ? 'https://' :
'http://') +
'stats.g.doubleclick.net/dc.js';
var s=document.getElementsByTagName('script')[0];
s.parentNode.insertBefore(ga, s);
})();
</script></head>
<body class="MainBody ColorsBody" onload="">
<form method="post" action="http://www.editions-eni.fr/Livres_rayon.
aspx?idspace=d9bd8b5e-f324-473f-b1fc-b41b421c950f&idrayon=3a6222cf-b921
-41f5-886c-c989f77ba994&idlng=1&iditf=0" id="aspnetForm">
<div class="aspNetHidden">
<input type="hidden" name="__EVENTTARGET" id="__EVENTTARGET" value="" />
<input type="hidden" name="__EVENTARGUMENT" id="__EVENTARGUMENT" value="" />
<input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value=
"/wEPDwUKMTY4NjA0MjMyMmRkZfHXjM/kp5hvO5MdzzgsWKdXBuY=" />
</div>
<script type="text/javascript">
Nous nous limitons volontairement au début de la page pour ne pas remplir la totalitédu livre avec du code HTML, ce qui n'est pas l'objectif. La première ligne de la page esttrès intéressante car elle informe le navigateur sur le langage utilisé pour décrire lapage. Ici le langage de description de page utilisé est du XHTML. Nous constatonsaussi que la page contient des fonctions en JavaScript.Si nous poursuivions la lecture des échanges pour l'affichage de cette page nousconstaterions que d'autres requêtes sont nécessaires : la demande de la feuille de style,la demande des images, etc.
1.5 Comment sont réalisées les pages web ?
Comme nous l'avons déjà évoqué, un site web est un ensemble de médias rassemblésde façon cohérente. Les pages disponibles sur un serveur peuvent être statiques ou dy-namiques.Dans le cas de pages statiques, le code HTML/XHTML de la page est simplementenregistré dans un fichier que le serveur se contentera de renvoyer au navigateur à sademande. Il y a autant de fichiers que de pages consultables. Il en est de même pourles médias. Ce type de site n'est pas simple à maintenir car toute modification en-traîne une édition du code de la page. Cette technologie a pratiquement disparu de lasurface de l'Internet faisant place aux sites dynamiques. Le seul avantage est qu'unsite statique présente bien souvent moins de failles de sécurité qu'un site dynamique.
Editions ENI
CyberdéfenseLa sécurité de l’informatique industrielle
(domotique, industrie, transports)
CollectionEpsilon
Extrait
Chapitre 4
Les protocoles utiliséset leurs faiblesses
Les protocoles utilisés et leurs faiblesses1. Introduction
Dans le milieu industriel, les hommes ont toujours cherché à automatiser lestâches à réaliser. Les premiers systèmes automatisés remontent à l'Antiquité,mais ce n'est que pendant la révolution industrielle au XIXe siècle que l'auto-matisme s'imposa partout dans l'industrie. Les premiers automates ne com-muniquaient pas entre eux et étaient cantonnés à la réalisation d'une tâcheprécise sur une machine. Puis l'arrivée de la production en chaîne, principale-ment dans le milieu de l'automobile, a fait apparaître le besoin de synchroniserles tâches de production et la mise en place d'une surveillance du processus defabrication. Il fallait donc que les systèmes automatisés puissent communi-quer les uns avec les autres. Il fallait aussi que l'on puisse surveiller les étapesde fabrication, et donc avoir des tableaux de bord pour piloter la production.
À l'heure actuelle, quand on parle de communication, on entend beaucoupparler de réseau, et tout particulièrement du réseau Internet. Au bureau, à lamaison, vous disposez d'ordinateurs, d'imprimantes, de tablettes interconnec-tés en réseau. La communication s'établit pratiquement uniquement à l'aidedu réseau de type Ethernet et/ou Wi-Fi, qui n'est qu'une couche physique sup-plémentaire. De même, l'Internet est régi par des protocoles particuliers met-tant en œuvre des processus de routage comme EIGRP (Enhanced InteriorGateway Routing Protocol), OSPF (Open Shortest Path First), etc.
© E
dit
ions
EN
I -
All r
ights
rese
rved
94La sécurité de l’informatique industrielle
Cyberdéfense
La nécessité de communication entre les machines industrielles est apparuebien avant l'avènement d'Internet. D'autres réseaux de communication ontdonc été mis en place bien avant les réseaux que vous connaissez actuelle-ment. L'histoire de l'évolution de l'automatisation a laissé des traces. Si lesréseaux industriels se dirigent actuellement progressivement vers desméthodes de communication se rapprochant des techniques utilisées dans lesréseaux informatiques, il n'en demeure pas moins que des contraintes particu-lières existent dans le milieu industriel :
– milieu perturbé électriquement principalement par les ondes électromagné-tiques émises par les moteurs, les transformateurs, etc. ;
– milieu perturbé mécaniquement : vibration, poussières, etc. ;
– parfois nécessité d'une réponse en temps réel ;
– interconnexion avec des matériels de technologies différentes ;
– etc.
Vous allez voir dans ce chapitre les protocoles mis en œuvre dans le milieuindustriel, leurs évolutions et les risques qui sont apparus par la mise en réseauà grande échelle, particulièrement par l'interconnexion avec des réseaux detype Ethernet/Internet. En effet, il est très tentant de pouvoir piloter un sys-tème industriel depuis l'autre bout de la planète, par exemple dans des payssensibles, et parfois la connexion entre le réseau industriel et l'Internet estfaite sans penser à la sécurité !
95Les protocoles utilisés et leurs faiblessesChapitre 4
2. L’évolution des communications entre les matériels dans l'industrie
2.1 Problématique de l'évolution des matériels et de la sécurité
L'évolution des API (automate programmable industriel) est un enjeu majeurdans le secteur industriel. La progression des technologies est très rapide dansce domaine, ce qui, par ailleurs, n'est pas sans poser problème pour la mainte-nance des parcs d'API. En effet, les automates sont souvent très robustes. Lorsde l'installation du système de production, ceux-ci se retrouvent dans unearmoire que l'on n'ouvre plus « tant que ça marche ». Cette situation est plusrépandue pour les petites entreprises que pour les gros groupes, encore que...Mais que se passe-t-il en cas de panne ? Les pièces sont-elles toujoursdisponibles ? L'automate est-il toujours fabriqué ? Ces problématiques entraî-nent des arrêts de production qu'il faut absolument limiter dans le temps pourla survie de l'entreprise. La conséquence est que le problème est traité dansl'urgence et nécessite souvent une migration vers une technologie plusrécente. C'est là que la reprise de production prime tellement que les notionsde sécurité sont totalement omises. Attention, il faut préciser qu'il s'agit ici desécurité au sens accès au système automatisé ; la sécurité des matériels et sur-tout des personnels étant régie par la loi, elle est rarement négligée.
Dans le cas d'une entreprise qui a pris conscience qu'il était nécessaire de faireévoluer son parc d'automates, il sera de toute façon impossible de tout changeren une fois. Il faudra en outre convaincre sa hiérarchie du bien-fondé de cetteévolution. Là encore, c'est le gain de production engendré par la mise en servicede nouveaux matériels qui va primer. La migration va donc se faire progressi-vement, avec un minimum d'arrêt de production. Des technologies différentesvont alors devoir cohabiter. Cet état peut là encore conduire à des problèmesde sécurité. Si par exemple une entreprise décide de mettre en place un sys-tème d'indicateurs de production accessible depuis son réseau intranet, com-ment chaque automate va communiquer avec ce réseau ? Une fois mis enplace, il est alors intéressant de modifier ce système d'indicateurs, pour pou-voir piloter la production. Et d'un système initialement conçu pour donner desinformations, on passe à un système envoyant des ordres aux automates !
© E
dit
ions
EN
I -
All r
ights
rese
rved
96La sécurité de l’informatique industrielle
Cyberdéfense
Il faut que les entreprises pensent sécurité du système à chaque étape, mais cen'est pas dans leur culture, car les réseaux industriels étaient au départ isolésde tout, et il n'y avait donc pas de risque de prise de contrôle à distance. Lesentreprises pensent fréquemment production et fonctionnalité, pas sécurité.
Vous venez de voir que les réseaux d'automates remontent progressivementvers les réseaux informatiques, mais les automaticiens et les informaticiens neparlent pas toujours le même langage. La frontière entre les droits des uns etdes autres sur le réseau de l'entreprise devient floue. L'automaticien veut voirson automate sur l'intranet, mais il veut aussi accéder à la partie administra-tive de l'entreprise. L'informaticien lui explique qu'il faut séparer les chosespour des raisons de sécurité. Mais l'automaticien rétorque qu'il lui faut aussiun accès à Internet, car la mise à jour de son automate se fait à présent partéléchargement directement chez le constructeur et que cela peut avoir desconséquences sur la production. Ce dialogue de sourds conduit souvent à dessituations de conflit, et c'est souvent la production qui prime sur la sécurité.L'effet est que l'on finit par bouger les frontières en termes de sécurité. Parfoismême, il n'y a pas du tout de concertation. Combien d'automaticiens ou deresponsables de production n’ouvrent-ils pas une porte vers l'extérieur afind'avoir un regard sur leur système de production ? Ceci est parfois fait sans eninformer la direction du système d'information, quand il y en a une. Et l'entre-prise se retrouve dans une situation où une liaison est établie entre son réseauintranet et l'Internet !
Il arrive que le danger vienne d'un manque de connaissances ou de prise deconscience. L'automaticien remplace un automate sur la chaîne de produc-tion, et le commercial lui vante les avantages de ce nouveau petit bijou. Plusbesoin de descendre dans l'atelier avec une console pour reprogrammer l'auto-mate, tout cela peut se faire depuis un bureau à l'aide d'une interface web.Comment ne pas être séduit ? Et l'automate se retrouve sur le réseau informa-tique de l'entreprise. Bien entendu, cet accès peut être protégé par un mot depasse, mais comme cela complique les choses, c'est rarement un argument duvendeur. De plus, si vous avez 60 automates sur une chaîne de production, dif-ficile d'avoir un mot de passe par automate. C'est donc généralement toujoursle même. Là, deux situations sont possibles : soit le mot de passe est simple ettout le monde pourra le trouver facilement, soit il est compliqué et vous leretrouvez sur des post-its collés sur les écrans des ordinateurs.
97Les protocoles utilisés et leurs faiblessesChapitre 4
Dans tous les cas, une personne mal intentionnée de l'entreprise peut mettreen péril le système de production. Or, il est démontré qu'un grand nombred'attaques contre les entreprises viennent de l'intérieur.
2.2 Évolution des communications et des interfaces de programmation
L'évolution des communications avec les automates va de pair avec les méca-nismes mis en jeu pour leur programmation. Si nous prenons par exemple unbon vieux TSX17 de chez Schneider, pas grand risque de prise de contrôle àdistance. Celui-ci se programme en effet à l'aide d'une console directementconnectée à l'automate. Il faut donc un accès physique à celui-ci. De plus, lelangage de programmation est spécifique : du PLC7. Par contre, dans le casd'un S7-200 de chez Siemens, même s'il existe des protocoles propriétairescomme PROFIBUS, un module permettant une communication Ethernet estproposé.
Les industries comme Siemens, Schneider, etc. font évoluer leurs automatespour qu'ils puissent communiquer de plus en plus via le réseau Ethernet del'entreprise. En 2009, IMS Research publie une statistique sur les types deréseaux de terrain les plus utilisés dans l'industrie :
© E
dit
ions
EN
I -
All r
ights
rese
rved
98La sécurité de l’informatique industrielle
Cyberdéfense
Vous voyez ici clairement la domination du réseau Ethernet avec plusieursprotocoles présents sur celui-ci. Cette progression d'Ethernet n'a cessé d'évo-luer jusqu'à nos jours et Ethernet devient progressivement un protocole incon-tournable.
Attention néanmoins, toutes les communications dans un système automati-sé ne peuvent pas être en Ethernet, il y a des contraintes liées au milieu indus-triel qui font que beaucoup de protocoles et de modes de communicationexistent. D’autre part, un système automatisé est découpé en couches suivantle niveau de l'information, le traitement qui en est fait et le pouvoir de décisionde l'organe sur le système automatisé. Voici un exemple de représentation dela hiérarchisation d'un système automatisé. Cette organisation est appeléepyramide CIM (Computer Integrated Manufacturing) et a été développée dansles années 1980 pour appréhender la position de l'information dans les sys-tèmes automatisés.
Vous constatez que le temps de réponse du système est un élément majeur etqu'il faut mettre en place le bon réseau de terrain à chaque niveau de la pyra-mide pour répondre à cette contrainte.
Les niveaux 0, 1 et 2 sont utilisés par les systèmes automatisés.
Les niveaux 3 et 4 se trouvent au niveau du système d'information et de com-munication de l'entreprise. Le niveau 4, qui représente la gestion globale del’entreprise, n'est pas représenté ici.
