[ABC528]

Drive By Pharming

I. Introduction :

La Faille dite "Drive By pharming" est une attaque qui permet de contrôler les routeurs à distances,
Ce qui rend cette faille impressionnante, c'est qu'on l'exploite graçe à du html ...

II. Théorie :

Il faut savoir que cette faille est basé sur la faille CSRF, c'est à dire qu'un simple code html et parfois un peu de javascript permettent d'effectuer une action non désiré par le visiteur, par exemple :

<img src=http://sitevicitme.com/vote.php?id=5&vote=10>

Les visiteurs verront une image vide alors qu'ils auront sans s'en rendre compte, exécuté une requete GET et donc  voté avec une note de 10 sur l'id numéro 5 d'un site de vote ...

Mais alors comment arrivé à contrôlé les routeurs avec sa ?

Tout simplement il suffit d'analyser les requête envoyé par les routeurs, et de les faire rejouer à qui on veut ^^
Là vous allez me dire : "Et comment on fait si la requête n'est pas une GET mais une POST ?"

Je vous répond qu'il suffit simplement de faire envoyé un formulaire avec un peu d'ajax et des donnée POST

III. Pratique : (Vidéo)

Voilà une video entièrement réalisé par moi :

http://rapidshare.com/files/119183675/Drive_By_pharming_1_.avi

[the lsd]

J'ai pas regardé la vidéo (miam time), mais au niveau de la forme :

 - Les différentes parties doivent être plus petites que le titre principal
 - Le vidéo ne doit pas être en rouge
 - Comme d'hab, les fautes

Sur le fond :

 - Tu annonce une technique, sans expliquer réellement en quoi elle consiste
 - Tu mets une vidéo sans expliquer ce qu'elle va montrer
 - Tu parles de requêtes GET, POST, pourquoi ?
 - On ne sait pas ce qu'est le Drive By Pharming
 - C'est un peu court jeune homme...

J'attends les avis des autres

Enjoy

The lsd

[ABC528]

oui c'est mon premier ...
mais presque tout est expliqué dans la video

[the lsd]

Moi je mettrais des explications texte quand même. J'ai du aller voir sur google pour savoir ce que c'était, c'est donc que c'est pas super bien expliqué ici. C'est à améliorer.

Tu peux déjà appliquer les changements que j'ai dis (taille des titres, couleurs, fautes...)

Accesoirement, c'est pas une faille, si j'ai bien compris, mais du SE, bref, c'est autre chose

Enjoy

The lsd

Edit : ah et puis rapidshare aussi...

[ABC528]

attention en aucun cas du SE pure,

sans la faille il n'aurai rien de possible ...
et pis bon, c'est facile de dire : tien visite mon site

quand il le visitera, sa lui, ouvrira un port si il est sensible à la faille drive by pharming ...
donc c'est pas trop du SE, mais bel et bien une faille ...

EDIT : je vais changer le titre du post

[_o_]

J'ai à peine lu, je n'ai pas téléchargé la vidéo. Mon avis : c'est de la vidéo, donc c'est poubelle.

Je suis désolé, mais outre le fait qu'en règle générale, les vidéos sont toutes pourries (je ne juge pas celle ci que je n'ai pas vu), je ne comprends pas pourquoi je devrais me casser le cul à télécharger un gros fichier, que je ne pourrais de toute façon pas imprimer pour lire à tête reposée. Je suis peut-être un vieux con, mais je suis contre ce genre de chose. On n'a jamais fait mieux que le vrai papier pour expliquer quelque chose.

Et de toute façon, le fait que le fichier ne soit pas hébergé par NC est de toute façon rédhibitoire.

[ABC528]

Je suis peut-être un vieux con, mais je suis contre ce genre de chose.

Non tu ne l'est pas, chacun à le droit de dire son avis

EDIT : je vais faire un tuto texte d'une dizaine de pages (qui comprendera aussi la CSRF), j'espère vous allez être content, il sera peut être long mais au moins, il sera bien détaillé ...

[_o_]

je vais faire un tuto texte d'une dizaine de pages (qui comprendera aussi la CSRF),

Un bon tuto n'est pas forcément long. Au contraire, même.
Cela dit, typiquement, j'aurais un fichier texte sous la main, il serait déjà imprimé et je l'aurais potasser en faisant ma pause. Là, le fichier, non seulement j'ai déjà la flemme de le télécharger (en imaginant que rapidshare n'est pas bloqué au taff) et encore plus de le regarder.

[the lsd]

je l'aurais potasser

Mon dieu mais que vois-je ??? Une faute ? Tout le monde est donc touché par cette maladie alors ? Même _o_, on est tous foutus !

Enjoy

The lsd

[ABC528]

oki oki, bon je vais le faire en html alors ...

The lsd : Hé oui, cette maladie se transmet de plus en plus vite :p, mais on est pas tous foutu pour autant ...

[_o_]

Bon, j'ai regardé la vidéo, et là, ça confirme tout ce que je pense (en mal) de ce genre de tuto :
1) 10 min pour télécharger le fichier, c'est trop long.
2) 1280x1024, c'est une résolution idiote pour mon portable. Mais si je dézoome, c'est tout moche.
3) Évidemment, les trois-quarts du temps, la vidéo ne montre que le vide d'un éditeur de texte ou le papier-peint d'un bureau.
4) Si on te fait des remarques sur ton tuto, comment vas-tu faire pour les prendre en compte ? Le réenregistrer ? Faire des coupes et un montage ? (en particulier pour... les fautes d'orthographe ! )
5) Quel est l'intérêt de regarder quelqu'un taper du code ? Dans un article, le code est imprimé. Celui qui connait passe rapidement dessus, quelqu'un d'autre peut examiner plus attentivement le code.

Mais surtout, la remarque la plus importante est celle-ci : lorsqu'on rédige un papier, on est obligé de fixer ses idées avant. Définir ce que l'on veut montrer, structurer son document. Relire, faire relire, retoucher... Toutes choses qui sont extrêmement laborieuses et casse-pieds. Mais c'est le prix à payer pour faire une documentation de qualité. Et ce que j'observe sur tous les tutos vidéos, c'est que justement, ça permet de faire un tuto très vite, mais qu'il manque de toutes les qualités sus-citées (et en particulier, de structure).

Bref, tout ça pour appuyer ma grande opinion de cette forme de communication. Cela dit, pas de panique : ta démonstration tient debout, le sujet est intéressant, tu le présentes correctement, il n'y a pas de raison d'en faire des tonnes sur le papier (pas plus que tu ne l'as fait sur ta vidéo). Juste un peu travailler la structure (une introduction qui présente globalement la manip et traduit les termes techniques, une conclusion qui résume et... qui pourrait présenter des solutions aux problèmes abordés...), et revoir certaines phrases (y'a des moments, ça ne veut rien dire, mais c'est normal si c'est de l'improvisation comme je le suppose).

Tout ça pour dire que j'approuverai une version papier (mais pas sans relecture !).

NB: y'a juste un petit détail. Il me parait absolument nécessaire d'illustrer ton propos avec des captures d'écran de l'interface de la box (petites, les captures, hein !). Aux relecteurs et admins : qu'en est-il de la possibilité d'héberger ces images sur le serveur ?

[ABC528]

Voilà :

http://alperge.lescigales.org/tutofaille/index.php

Dites moi si je parle trop ouvert ou pas assez et vos critiques

[_o_]

Déjà, une petite précision, étant donné que je ne suis pas sûr que ce soit bien clair : le texte de ton tuto sera posté dans le forum, pas seulement un lien vers celui-ci (mais rien n'empêche de fournir le lien quand même). Ceci pour éviter les tutos pointant vers des liens morts.

Côté vocabulaire, je pense que le mot «routeur» n'est pas adapté. Là, il s'agit d'attaquer les box des particuliers, qui font accessoirement routeurs, mais n'en sont pas à proprement parler. Et puis, un vrai routeur (un truc avec 20, 50 ou 200 ports !) s'attaquera moins facilement (quoique... quand je vois les IHM web que Cisco a réussi à pondre ces derniers temps...).

Sur le fond :

Mais les fournisseurs d'accès à internet, ne font rien pour empêcher cela ?

Trop tôt. C'est ta conclusion, en fait.

Et comment ça fonctionne ?

Donner au moins l'explication de l'acronyme CSRF (et si possible, le décrire en une phrase simple).
L'exemple du sondage est pas mal, mais il faudrait la recadrer pour bien expliquer qu'il s'agit d'un sondage sur un site, qui n'est pas le tien, etc...

Approfondissement

Ou, plus simplement «L'attaque». C'est le coeur de ton papier, finalement.

Mon avis sur cette partie : commence par expliquer que tu ajoutes... quoi au fait ? Une translation de port ? En tout cas, ce n'est pas une simple ouverture. Bref, décrit ce que tu fais sur l'IHM, puis explique la capture par LiveHttpHeaders. Ensuite seulement, l'url d'attaque (en la décrivant précisément : tout le monde ne connait pas cette manière de spécifier le login et le mot de passe dans le cas (précis) de l'authentification HTTP).

Ce qui donne par exemple :

Là aussi, tu devrais réexpliquer que tu reviens à ta page web malicieuse, car ça ne me semble pas très clair.

III. Se sécuriser :

Ça veut dire quoi «vous avez les sources du routeur» ? Si c'est une supposition, alors il faut un «si». As-tu des exemples de fournisseurs offrant les sources ? Si oui, c'est toujours bon à préciser. Et ajouter un mécanisme de session ne bouchera pas forcément le trou.

Changer le mot de passe (et même le nom d'utilisateur, si c'est possible), reste le moyen simple et immédiat. Si tu connais des gros fournisseurs d'accès dont les box ne permettent pas la modification, précise-le : c'est important, et je ne pense pas qu'il en reste beaucoup, mais je peux me tromper.

Enfin, il me semble qu'il te manque une possibilité : je crois qu'il existe des add-ons, notamment pour Firefox (mais pourquoi pas pour un autre navigateur) qui permettent de lutter contre les CSRF. C'est à mon avis à signaler.

Et pour l'ordre dans la liste, franchement, c'est d'abord le mot de passe, ensuite l'add-on, et pour finir les sources (mais je reste très dubitatif sur ce dernier point).

Ah, au fait, je pense qu'il est prétentieux de déclarer Il existe deux méthode de se sécuriser : en es-tu sûr ?

Sur la forme :

Ta capture d'écran de l'interface de la box Alice est trop grande et illisible. Pourquoi ne pas prendre une capture limitée à l'instance d'un navigateur et pas en plein écran ? (qui plus est, ça permettra d'éviter de savoir ce qui traîne dans ta barre des tâches, tes onglets, etc...).

Et pas de smileys (ou alors pas beaucoup). C'est une documentation, pas un chat.

Pour terminer, le nerf de la guerre : il y a beaucoup trop de fautes de frappe ou d'orthographe. Vraiment beaucoup.

Bon courage !

[ABC528]

oki merci je vais corriger tout sa demain après-midi

[the lsd]

Bon je viens de lire un peu plus en détail.

Souviens toi qu'il existe une pléiade de balises à utiliser sur le forum. Ton exemple de sondage, tu peux le mettre entre balise citation ou code pour le démarquer du reste du tuto. Pareil pour tout ce qui est code html.

J'ai remarqué que tu utilises des styles pour le textes (gros italique...). Je trouve ca bien, ca met en valeur ce qui est important. Bon, point trop n'en faut, mais c'est bien.

J'attends la suite pour donner d'autres éventuelles remarques. En tout cas, je te félicite. Tu prends soin d'écouter les remarques qu'on te dis et de corriger ton texte après. Surtout qu'il y a eu une paire de grosses remarques (principalement passer de tuto vidéo à tuto écrit).Il y en a qui n'ont pas autant de tact.

Enjoy

The lsd