Chaire d’enseignement et de recherche Cisco/CESI : Industrie et Services de demain

Téléphonie et Sécurité par Dean Bousba en RISR2016

 

La téléphonie sur IP en entreprise est de plus en plus répandue. De plus en plus de risques sont associés à la téléphonie. Les enjeuxAfficher l'image d'origine que représentent ces risques sont aussi importants que sur les systèmes d’informations, bien que la téléphonie soit parfois vue comme une activité « annexe » au SI…. Pourtant, le monde de la téléphonie et de l’IP ne sont plus deux mondes séparés ! Aujourd’hui la téléphonie n’est qu’un applicatif parmi tant d’applications qui utilisent internet et les réseaux informatiques. Les problèmes de sécurité de la téléphonie sont donc ceux du monde informatique, et les cybers attaquants peuvent s’introduire dans un réseau téléphonique.

D’ailleurs un RFC a été rédigé par l’Internet Engineering Task Force (IETF), il s’agit de la RFC 7375. Ce document énumère et analyse les menaces connue dans les systèmes de téléphonie, examine les capacités disponibles et utilisées par les attaquants et décrit dans quel contexte ces attaques sont lancées. Vous trouverez ici le lien de la RFC.

Faisons un rapide tour des deux principaux protocoles utilisée dans le monde de la téléphonie, puis étudions les différentes attaques auxquelles ils peuvent être confrontés. Nous étudierons également les préconisations en matière de sécurité.

I. H.323 et SIP

H.323 a été créé en 1996. H.323 a été un protocole pionnier de la téléphonie sur IP, émanant des instances du monde des télécommunications (UIT ou ITU). L’ITU a achevé ses travaux sur H.323 version 7 en novembre 2009.

Il est plus qu’un protocole, englobant un ensemble de norme utilisé pour l’envoi de données audio et vidéo. On pourrait regrouper ces normes en trois catégories :

· Signalisation : H.323 s’appuie sur RAS (Registration Admission Status), utilisé pour signaler l’ouverture d’une session et pour être mis en relation avec une autre personne. Cette signalisation peut également nous informer que la ligne du correspondant est occupée ou que le téléphone est en train de sonner….

· Négociation  du codec : H.323 s’appuie sur H.245 pour choisir le codec utilisé entre les téléphones et les systèmes en fonction par exemple de la codification qui serait la moins gourmande en bande passante ou celui qui offrira la meilleur qualité de communication. Les messages sont codés en ASN.1 et se basent sur TCP.

· Transport : H.323 s’appuie sur RTP (Real-time Transport Protocol), protocole de niveau 4, définit par la RFC 3550, RTP n’est pas spécifique à la téléphonie, il peut servir à d’autre applications multimédia.

On notera que RTP fonctionne sur UDP, RTP vient ajouter un en tête sur le paquet UDP pour trois raisons principales : – Spécifier le type de codec utilisé, – Numéroter les paquets afin de gérer les pertes et les dé-séquencements, – Fournir une indication d’horloge pour gérer les latences ou Packet Delay Variation.

SIP est un protocole défini en Mars 1999 par la RFC 2543 puis redéfini à travers la RFC 3261 rendant obsolète la version antérieur. Contrairement à H.323, SIP provient clairement du monde de l’internet (IETF) -d’où la rédaction de « request for comment »- et non des télécommunications. SIP ne transporte pas les données, il se charge uniquement d’ouvrir, modifier et terminer les sessions multimédia. En effet SIP peut être utilisé pour différents applicatifs (visiophonie, jeux en ligne, VR, chat…). Comme H.323, le transport des données sur des sessions SIP, est assuré par RTP.

SIP utilise le port 5060 voyons rapidement comment SIP établit une session :

Le client envoie des requêtes au serveur, qui lui renvoie une réponse :

· INVITE permet à un client de demander une nouvelle session,

· ACK confirme l’établissement de la session,

· CANCEL annule un INVITE en suspens,

· BYE termine une session en cours,

· OPTIONS permet de récupérer les capacités de gestion des usagers, sans ouvrir de session,

· REGISTER permet de s’enregistrer auprès d’un serveur d’enregistrement.

Les codes de réponse sont similaires à HTTP :

· 100 Trying,

· 200 OK,

· 404 Not Found.

Les codes supérieurs ou égaux à x80 sont spécifiques à SIP :

· 180 Ringing,

· 486 Busy.

 

II. Les attaques et les risques liée à la téléphonie.

a. Les attaques TDoS

Tout le monde connait les DDoS,( Distributed Denial of Service attack) peu de personnes ont cependant conscience qu’il existe des attaques de déni de service  pour la téléphonie. Afficher l'image d'origine

L’attaque repose sur l’usurpation d’un numéro ou d’une identité, afin de compliquer l’investigation du suspect qui est à l’origine de l’attaque. Une exception à l’usurpation du numéro est le cas de l’attaque par réflexion, où l’attaquant veut faire croire à la culpabilité d’un tiers, et usurpe donc le numéro de ce tiers ce qui peut être d’autant plus préjudiciable.

En émettant un nombre inimaginable d’appels par minutes ou par secondes, sur un numéro cible, l’attaquant rend le numéro de sa victime hors service.

Ces attaques peuvent cibler des entreprises, des individus ou encore des services publics comme un numéro d’urgence. Le cybercriminel peut avoir comme intention d’extorquer la cible en demandant une rançon afin d’arrêter la TDoS. Pour certaines entités rester joignable par téléphone est une priorité, une attaque TDoS pour par exemple, une plateforme téléphonique de vente en ligne, peut stratégiquement devenir très couteuse.

Ces appels en masse peuvent être faits par des robocaller mais aussi par du code, par exemple un malware JavaScript, chargé automatiquement par le navigateur Web, et qui ferait des appels via WebRTC. Il peut donc être prudent d’empêcher ce genre de code non sécurisé d’appeler les services d’urgences…

Voyons concrètement au travers d’un témoignage recueilli ici comment ces attaques se traduisent :

Les attaques TDoS sont souvent utilisées par des cybercriminels qui ont réussi à accéder aux comptes bancaires de leur victime. Dans le circuit de surveillance des transactions frauduleuses, les banques contactent leurs clients pour demander si une transaction inhabituelle est légitime ou tout simplement pour avertir les clients à ce sujet.

Mais, si l’appel téléphonique de la banque ne peut pas se produire parce que le téléphone mobile du client ou le téléphone fixe sont bombardés d’appels bidons et de SMS : des heures, voire plusieurs jours peuvent passer jusqu’à ce que la banque parvienne à communiquer avec le client et, dans cet intervalle de temps, les escrocs disparaissent avec l’argent transféré.

Les cyber-escrocs n’ont pas les capacités à réaliser des attaques TDoS de grande ampleur, mais heureusement, des spécialistes peuvent fournir le service. C’est ainsi que Curt Wilson, Analyste chez Arbor Networks, a trouvé des offres de service de DDoS incluant l’attaque des services téléphoniques disponible à partir de 20$ par jour. Un autre fournisseur de service annonçait dans sa pub fournir une attaque DDoS pour 5$/heure avec un tarif dégressif avec une formule à 20$ pour 10 heures !

b. Le phreaking

Le phreaking est né aux États-Unis dans les années 1960. Un des mythes fondateur du phreaking est l’histoire de John Draper, a.k.a. Captain Crunch. Ce phreaker de renommée internationale avait utilisé un sifflet trouvé dans une boîte de céréales Captain Crunch pour accéder à des fonctions spéciales de la centrale téléphonique. En effet, le son émis par ce sifflet avait une fréquence de 2 600 Hz, la même fréquence que le signal utilisé pour piloter le central téléphonique.

Actuellement, avec l’arrivée du numérique dans les systèmes téléphoniques (VoIP, DECT), les procédés utilisés sont beaucoup moins rocambolesques, mais demandent de sérieuses compétences en informatique.

Le phreaker va utiliser le réseau téléphonique d’une manière non prévue par l’opérateur afin d’accéder à des fonctions spéciales, principalement afin de ne pas payer la communication tout en restant anonymes.

Dernier cas en date, recensé dans notre pays, où la Mairie de Saint Malo a pu découvrir les joies du phreaking en recevant une facture s’élevant à 80 000€.

Une personne malveillante a trouvé le moyen de s’introduire sur le PABX de la commune, et de passer des appels sur le compte de la petite commune bretonne. Le phreaker a ensuite permis à des « téléboutiques » ou « taxiphone » d’appeler en Afrique ou en Amérique du Sud d’où la facture extraordinairement élevé de la commune. Le piratage a eu lieu en mai 2016 et ceci durant seulement quatre jours.

Raison officiel de cette faille, la Mairie a tout simplement omis de changer le mot de passe usine du Pabx, ou ne connaissait pas le mode d’emploi de son matériel…

Vous trouverez ici le lien de l’article relatant la mésaventure de la Mairie de Saint-Malo

c. Le Vishing :

Le hameçonnage par téléphone ou vishing (combinaison de voice et phising) est une attaque qui consiste à communiquer avec des gens par téléphone dans le but de les frauder. L’hameçonnage par téléphone est habituellement utilisé pour s’accaparer des numéros de carte de crédit ou d’informations personnelles, soit pour les revendre ou alors pour usurper l’identité des victimes.

Les forces policières peuvent difficilement repérer et contrer les tentatives d’hameçonnage par téléphone. Les gens qui reçoivent des appels automatisés leur demandant d’appeler à un certain numéro devraient ignorer ces appels ou, s’ils appellent, ils devraient se garder de fournir leur numéro de carte de crédit ou des informations personnelles.

Voici le déroulement typique d’un hameçonnage par téléphone :

1) Le fraudeur programme un moteur de numérotation ou composeur.

2) Lorsqu’une personne répond à l’appel du composeur, un enregistrement, souvent produit par un SVI (Serveur Vocal Interactif), lui mentionne un problème quelconque relié à sa carte de crédit ou son compte de banque et lui demande d’appeler immédiatement un numéro de téléphone.

3) Lorsque la personne appelle le numéro fourni, un système automatisé (SVI typiquement) lui demande son numéro de carte de crédit ou son numéro de compte bancaire, avec potentiellement d’autres informations personnelles comme la date d’expiration, des visuels, des dates de naissance, etc.

4) Le fraudeur peut par la suite utiliser ces informations pour faire des achats

Il existe de nombreuses variantes au scénario précédent. Par exemple, un composeur peut être utilisé à l’étape 2 pour identifier les personnes naïves et un humain peut intervenir à l’étape 3 pour convaincre la personne de fournir l’information demandée.

Un e-mail peut aussi être utilisé à l’étape 2 pour informer la personne d’un problème avec sa carte de crédit ou son compte bancaire et lui demander d’appeler à un numéro de téléphone.

Dans d’autres cas, plutôt que de mentionner un problème avec une carte de crédit ou un compte bancaire, on mentionne à la personne que son ordinateur émet des messages indiquant qu’il est sévèrement infecté par un virus et on tente de lui vendre un logiciel pour le nettoyer (Typiquement les attaquant se font passé pour Microsoft, ou des éditeurs d’antivirus)

III. Solutions existantes et best practices pour sécuriser son infrastructure téléphonique.

Fort heureusement, des solutions sont connues et mis en pratiques afin de renforcer la sécurité et de limiter les attaques potentielles sur le réseau téléphonique.

a. La sécurité physique

La sécurité physique est essentielle dans tout environnement contenant des donnéesAfficher l'image d'origine sensibles. Elle doit permettre la limitation des accès aux bâtiments et équipements, évitant ainsi les intrusions, le vandalisme, et les dommages accidentels (problème électrique, température trop élevée, fuite d’eau…)

De plus, si le trafic voix n’est pas chiffré sur le réseau (typiquement pas de SIP/TLS), toute personne ayant accès au réseau d’une société peut potentiellement intercepter les communications. Les lignes téléphoniques classiques (PSTN) peuvent aussi subir le même type d’attaque. Une politique de contrôle d’accès pour limiter l’accès aux composants du réseau de TOIP via des badgeuses, serrures, service de sécurité etc…, permettra d’établir un premier périmètre de sécurité.

b. L’authentification :

Avoir une politique de mot de passe fort, peut comme nous l’avons vu précédemment avec le cas de phreaking sur le Pabx de la Mairie de Saint Malo, limite clairement les risques d’attaques.

Un mot de passe usine ne doit jamais resté un mot de passe usine, il doit systématiquement être personnalisé et ceci lors de la première utilisation. Il est en de même pour les mots de passes d’accès à la boite vocale, qui parfois est le même que le n° de l’extension ou de la station téléphonique utilisée.

c. Les Vlans :

La séparation logique des flux voix et data à l’aide de VLAN est une mesure fortement recommandée.

Elle doit permettre d’éviter que les incidents rencontrés sur l’un des flux ne puissent perturber l’autre. On parle alors de QoS (Quality Of Service)

Les VLAN ou réseaux locaux virtuels, peuvent être représentés comme une séparation logique d’un même réseau physique. Cette opération se fait au niveau 2 du modèle OSI. On notera cependant qu’un VLAN est souvent configuré pour correspondre directement à un sous réseau IP bien identifié. Comme le port étiquette le Vlan de 0 à 4096, le port peut être paramétré de façon à autoriser le trafic correspondant au Vlan que l’on souhaite faire passer, ou autoriser certaines adresses MAC. Afficher l'image d'origine

Dans un environnement commuté complet, les VLANs vont créer une séparation logique des domaines de broadcast et de collisions – des problèmes dus à ces deux éléments sont souvent rencontrés dans des LAN mal segmenté ou lorsqu’on utilise encore des hubs (les paquets sont envoyé de façon archaïques sur tous les périphériques connectés aux hubs).

De plus, la réduction des domaines de broadcast permet de réduire le trafic sur le réseau, libérant ainsi plus de bande passante pour les applications utiles et réduisant les temps de traitement sur les périphériques réseau. Par exemple, chez Cisco, un Vlan Voice et par défaut configuré lorsqu’un réseau téléphonique est mis en place.

d. Pare-feu Afficher l'image d'origine

Il n’existe pas de pare-feu spécialement conçu pour le trafic TOIP-VOIP. Le pare-feu doit contenir des règles filtrant le trafic par protocole (TCP/UDP), par n° de ports et par adresse IP. Les firewalls supporteront à la fois les protocoles SIP et H.323. Le trafic en destination du réseau interne, doit être systématiquement analysé par le firewall.

Il est essentiel que le pare-feu soit placé en amont des Pabx, et des serveurs liés à la téléphonie, pour anticiper par exemple les attaques TDoS, et limiter ainsi le trafic avant qu’il n’arrive sur le réseau local.

Sources :

http://www.frameip.com/toip/

http://www.bortzmeyer.org/

https://fr.wikipedia.org

https://www.root-me.org/

https://wapiti.telecom-lille.fr/commun/ens/peda/options/st/rio/pub/exposes/exposesser2010-ttnfa2011/barisaux-gourong/H323vsSIP.html

Article Rédigé le 02/12/2016 par Dean BOUSBA RISR-2016

CESI Alternance présent au FIC2017 à Lille

Le CESI Alternance est présent au salon de la CyberSécurité de Lille !!!

De nombreuses conférences sur des thèmes d’actualité comme la sécurité du BIGDATA, le Ranconware et les problématiques d’hébergement des données personnelles sont au programme. La plénière d’ouverture du salon a été assurée par le Ministre de l’Intérieur ce mardi. Les stands de nombreux éditeurs de solutions en sécurité (Cisco, Fortinet, Kaspersky, etc…) et d’ESN expertes (STRATON-IT, NELITE, GFI ….) tombent à point nommé pour les projets WOOD des RISR2015 !

WP_20170124_09_15_17_ProWP_20170124_10_01_59_ProWP_20170124_10_21_31_ProWP_20170124_10_50_04_Pro (2)

Disque SSD NVME par LAVIE Geoffrey (RISR2015)

 

clip_image001La firme sud-coréenne SAMSUNG a présenté au mois de juin 2016 un disque dur SSD(1) NVMe(2) d’une capacité de 512 Go, la particularité de ce disque dur est qu’il est à peine plus grand qu’un timbre-poste (20 x 16 x 1,5mm).

Ce type de disque dur devrait trouver sa place dans les équipements ultra fin.

Samsung poursuit ces efforts dans la recherche sur la mémoire flash VNAND(3). Ce qui lui permet aujourd’hui de pouvoir lancé la production de masse des puces SSD NVMe d’une capacité de 512Go.

clip_image003Samsung a réussi l’exploit de mettre une telle quantité de mémoire flash dans un boitier de type BGA(4), pour lequel les entrés sorties sont des petites billes disposées sous le boitier. Le volume de ce boitier représente environs un centième de celui d’un disque dur SSD ou d’un HDD de 2,5 pouces et Sa surface ne dépasse pas un cinquième de celui d’un SSD du M.2.

Un tel SSD réduit à un seul boîtier de puce intégrable sur une carte devrait permettre aux fabricants d’ordinateurs et aux OEM(5) de proposer des machines dites « ultra-slim ».

Le BGA contient en tout 16 puces de mémoire flash VNAND de 256 Gbits chacune (mémoire « verticale » sur 48 couches) une puce de DRAM(6) LPDDR4(7) de 4 Gbit gravé sur 20nm et un contrôleur haute performance signé SAMSUNG.

Avec son SSD intégrer dans un seul boitier SAMSUNG parvient à s’affranchir de la limite du SATA à 6Gbits/s. De ce fait les lectures et écritures séquentielles atteignent respectivement 1500Mo/s et 900Mo/s quand la technologie « turbowrite » est utilisée.

Le nombre IOPS est également été boosté en lecture et en écriture à respectivement 190 000 et 150 000. A titre de comparaison un HDD classique ne dépassera pas les 120 IOPS en lecture aléatoire, soit approximativement 1600 fois moins que le nouveau SSD de SAMSUNG.

clip_image005A compter du mois de juin 2016 le PM971-NVMe sera disponible dans le monde entier, il sera décliné en plusieurs capacités : 126, 254 et 512 Go, avec une intégration simpliste et des performances boostées. SAMSUNG se montre disruptif sur le marché du SSD.

(1) SSD (Solid-State Drive) : stockage de données sur mémoire flash plus rapide et fiable que des disques durs mécaniques.

(2) NVMe (Non-Volatile Memory Express) : c’est une spécification qui permet à un périphérique de stockage flash de faire un usage optimal des capacités du bus PCI.

(3) VNAND : Type de mémoire flash

(4) BGA (Ball Grid Array) : Type de boitier de circuit intégré, utilisant des microbilles pour faire la connexion.

(5) OEM (Original Equipment Manufacturer) : Produit entrant dans l’assemblage d’un ordinateur qui n’est pas fabriqué par l’assembleur.

(6) DRAM (Dynamic Random Access Memory) : Type de mémoire vive compacte

(7) LPDDR4 (Lower Power Double Data Rate 4) : Format de mémoire pour périphérique basse consommation

Bienvenue aux RISR 2016 !

La nouvelle promotion RISR2016 vient de débuter au CESI avec une vingtaine d’étudiants. Bon courage à tous pour cette nouvelle aventure et triple objectif pour tous:

DIPLOME ! DOUBLE CQP ! CERTIFICATIONS !

 

WP_20161024_16_17_11_Pro

Déjà au travail le premier jour en pédagogie active autours des règlements et chartes CESI.

WP_20161024_14_11_18_Pro

Ouverture des GMSIA2016 sur Arras !!!

Bienvenue aux nouveaux étudiants en formation GMSIA2016.

(Gestionnaire en Maintenance et Support Informatique). C’est parti pour une alternance de 2 ans avec les entreprises de la région. Bonne formation à tous, profitez bien des ressources et des experts mis à votre disposition pour progresser rapidement ! Objectif emploi !

 

P_20161005_133147

100% de diplômés en RARE2014

Je suis heureux de vous annoncer qu’à la suite du jury national des études qui s’est réuni ce jour à Paris, tout les étudiants de la promotion RARE2014 sont diplômés !!!

Bravo à eux et à tous ceux qui ont participé à leur réussite de près comme de loin ( Entreprises et tuteurs, équipes pédagogiques et administratives, intervenants, familles)

Bon vent à tous dans vos nouveaux jobs et  à très bientôt pour ceux qui entament une 5ème année !

 

WP_20141015_020

Bravo aux RIL et RARE 2014 !!!

Après deux ans de formation et 4 jours de soutenances sur leurs projets de fin d’étude, les RIL2014 et les RARE2014 arrivent à la fin de leur cursus !

Bravo aux étudiants qui ont su défendre leurs compétences lors des soutenances !

Nous remercions au passage les entreprises d’accueil, les tuteurs, les membres du jury et toutes les équipes pédagogiques et administratives ayant participés à cette aventure !

Bon vent à ceux qui nous quittent et à très bientôt pour ceux qui enchainent en Bac+5.

Rendez-vous le 17 Mars prochain pour la cérémonie de Remise des Diplômes !

20160922_155421

WP_20141015_021

Article Windows 7 Remote Control par Romain Livet en RISR2014

 

clip_image002

Dans cet article je vais aborder le fait qu’un simple fichier à la base anodin pour se révéler dangereux pour votre ordinateur. Ce sujet est destiné aux personnes qui ne disposent pas d’un antivirus sur leur ordinateur personnel. De nombreuses personnes sont amenées à travailler sur leur ordinateur, sans pour autant se soucier d’avoir un antivirus installé. (Windows Defender ne compte pas à mes yeux vous verrez pourquoi dans l’article)

De nos jours nous sommes tous amenés à acheter un ordinateur personnel pour effectuer différentes opérations telles que : naviguer sur le net, consulter ses comptes bancaires, se connecter aux réseaux sociaux et parfois même stocker des informations qui sont liées à notre entreprise.

Oui mais côté sécurité le sujet n’est jamais abordé car la plupart des personnes pensent que

les arnaques ne leurs arriveront jamais. (Pourquoi un pirate s’en prendrait à moi … o_O)

Il faut savoir que pour les pirates vous êtes une mine d’informations susceptibles de leur faire gagner de l’argent selon différentes manières.

C’est parti, je vous explique tout

En un premier temps j’ai créé un fichier exécutable (.exe) banal aux yeux de tous. Nous le nommerons « Windows.exe ».

Ensuite j’ai placé le fichier dans un répertoire où tout le monde détient les droits à savoir le

« C:\windows\temp\ » (la méthode d’envoi de l’exécutable peut se faire de plusieurs manières)

Puis j’ai directement lancé une analyse « anti-virale » avec Windows Defender qui est installé par défaut sur les environnements Windows.

clip_image004

Comme nous le voyons aucune détection de celui-ci avec le scan Rapide (le mode que tout le monde utilise par rapidité et facilité)

Par la suite j’ai lancé manuellement le fichier et aucune alerte n’est apparue, comme s’il ne s’était rien passé.

clip_image006

Ensuite pour me donner bonne conscience, je suis allé jeter un œil dans le gestionnaire des tâches Windows dans le but de trouver un processus anormal.

clip_image008

A première vue, rien n’est alarmant et pourtant l’exécutable se nomme « Windows.exe *32 ». Une information pourrait éventuellement nous mettre sur la piste au niveau de la description du processus. « Remote Service Application » et encore, nous pouvons croire que c’est un processus Microsoft sans gravité.

Mais pour être sûr, je ne souhaite en pas rester là et je lance un logiciel crée par la société

Sysinternals qui se nomme « ProcessExplorer » qui est ni plus ni moins le gestionnaire de tâches Windows mais en version « largement » plus avancé quand même

clip_image010

Nous retrouvons notre fameux « Windows.exe », nous remarquons sur la dernière colonne le nom de la société « Microsoft Corp. » Cette description pourrait nous faire arrêter nos recherches… Mais nous sommes sur le sujet, alors il ne faut pas abdiquer.

Je pousse le vice en allant dans les propriétés de l’exécutable dans le but récupérer le

maximum d’informations et d’avoir bonne conscience.

clip_image012

OK ! Pour l’instant je retrouve les informations suivantes. Le fichier se situe dans le dossier

« C:\Windows\temp\ », il est en cours d’utilisation sur la session de « Labo\user » Maintenant je me rends dans l’onglet « TCP/IP » qui pour moi est indispensable. (Vous comprendrez pourquoi juste après… Patience )

clip_image014

Et c’est là que je me rends compte que ma persévérance a payé !!!

Le fichier communique vers l’extérieur en ouvrant une brèche sur mon ordinateur grâce au port « 49303″ pour ensuite être réceptionné sur l’ordinateur distant possédant l’adresse

IP « 172.20.10.14 » sur le port « 10000«. Et pour clore le tout, la connexion est en ce moment

même active.

clip_image016clip_image018

C’est à ce moment-là que l’utilisateur se remémore toutes les opérations qu’il a effectué sur

son ordinateur depuis son achat (banque, données, mot de passe …)

Le premier réflexe à avoir dans ce type de situation est de réaliser un clic droit sur

l’exécutable en question et lancer un « Scan VirusTotal »

Pour cet exemple voici le résultat du scan :

clip_image020

clip_image021Le résultat est bien là … Sur un total de 57 antivirus, l’exécutable a été détecté par 53 antivirus comme potentiel danger.

Conseil

Télécharger un Anti-virus

Télécharger le logiciel MalwareBytes

Télécharger CCleaner

Maintenant je vais vous montrer le « Control Panel » que j’avais de mon côté.

clip_image023

Nous remarquons que je détiens toutes les informations concernant l’ordinateur distant.

clip_image024Vous remarquerez également que sur la partie gauche de l’image, nous retrouvons toutes les actions qu’un attaquant peut être amené à réaliser sur la machine de la victime.

Dans cet article, nous avons réalisé une analyse « Basique »

Je m’explique, dans cet article l’exécutable a été lancé par l’utilisateur et si l’utilisateur mets fin au processus dans le gestionnaire de tâche il ne se relancera plus (même après un redémarrage de l’ordinateur.)

J’aurai très bien pu créer un processus de la manière suivante :

· Lancer l’exécutable au bout de X minutes une fois présent sur l’ordinateur

· Relancer automatiquement après un redémarrage de l’ordinateur

· Le déployer dans la base de registre

· Le rendre persistant même après une fin de processus (relance automatique du processus)

· De désactiver l’accès pour l’utilisateur au gestionnaire de tâche/panneau de

configuration/base de registres…

· De désactiver le Firewall de Windows / les mises à jour Windows.

· De duire au minimum L’UAC du compte utilisateur voire même lui interdire

l’accès.

· De désactiver les notifications antivirus (Windows Defender dans notre cas)

· De mettre en place un « Keylogger » avec une remontée d’informations sur une

adresse mail définie

· … … …

Vous le comprendrez bien l’attaquant à la main complète sur votre ordinateur.

Un conseil, PROTEGEZ-VOUS !

Bonne rentrée Cisco Netacad à tous !!! :

Bonjour à tous,clip_image002

 

La Digitalisation est plus que jamais un sujet qui touche tous les domaines et une grande majorité des métiers auxquels le CESI prépare les étudiants. (EI, EXIA, Alternance Informatique…)

« Cisco Systems » partenaire du Groupe CESI au travers d’une chaire, mets à disposition gratuitement de nombreuses ressources en ligne sur le site ELearning « Cisco Netacad » pour mieux se préparer aux défis digitaux d’aujourd’hui et de demain…

Réseaux Informatique, Sécurité, Les Objets connectés, Linux, Langage C++ et Entreprenariat font partie des nombreux cursus disponibles pour tous !

Des instructeurs Cisco sont disponibles dans toutes les Régions pour les inscriptions sur la plate-forme.

Rejoignons la plus grande classe virtuelle du monde sur www.netacad.com  !!!

 

netacad

 

Mot de Christophe Dolinsek, Program Manager Cisco France :

« Chers étudiants du Groupe CESI,

Cette année sera sans précédent pour le programme NetAcad. En effet, depuis la signature de l’accord cadre avec le Ministère de l’Education en Novembre dernier, nous avons pour objectif commun de participer à l’accélération de la transformation numérique du pays en participant à la formation de 200 000 nouveaux étudiants en 3 ans dont les étudiants du Groupe CESI feront partie je l’espère.

De nouveaux cours à prévoir cette année

Nous avons aussi le plaisir de vous rappeler que de nouveaux cours sont disponibles en français, notamment Introduction to Internet of Things, Get Connected, Entrepreneurship, et très bientôt Introduction to CyberSecurity v2.0 !

De tout nouveau curriculum sont également à prévoir cette année, tels que : Essentials in C++ (déjà disponible), Networking Fundamentals, et les prochains modules Internet des Objets.

Des évènements toute l’année

Les classiques ne changent pas : L’instructor day, le Connected Girls, le Talent Connection (à Issy les Moulineaux, mais aussi à Toulouse, Lyon et Rennes cette année). Mais aussi de nouveaux évènements d’immersion dans le cadre de la semaine école-entreprise, la semaine de l’industrie etc… De plus, cette année, nous fêtons les 15 ans de NetAcad en France !

Je vous souhaite à tous une excellente rentrée et avons hâte de commencer une nouvelle année de collaboration avec vous ! »

%d blogueurs aiment cette page :