Il y a quelques jours, une infection touchée les Mac par un malware nommé iWorm. Rapporté par Doctor Web, iWorm a infecté plusieurs milliers de Mac afin de les faire participer à un botnet.

D’après l’éditeur Dr Web, il y aurait eu jusqu’à 18 500 Mac infectés. Depuis, Apple a réagi et une mise à jour est désormais disponible concernant le fichier XProtect.plist, directement en lien avec le système de protection XProtect que l’on trouve dans OS X. Trois définitions différentes de iWorm ont été ajoutées.

De son côté, la société russe Doctor Web précise :

“Il est à noter que dans le but d’acquérir une liste d’adresses de serveur de contrôle, le bot utilise le service de recherche “reddit.com”, et – comme requête pour la recherche – spécifie des valeurs hexadécimales correspondantes aux 8 premiers octets du hachage MD5 de la date du jour. Le site reddit.com retourne alors une page web contenant une liste de serveurs C&C (Command and Control) et des ports publiés par les criminels dans commentaire du sujet “minecraftserverlists”, en utilisant le compte vtnhiaovyd“.

Développé en C++ et Lua, ce malware a pour objectif d’envoyer des spams, de flooder les sites internet ou de miner des bitcoins. Par ailleurs, les États-Unis, le Canada et la Grande-Bretagne sont les pays les plus touchés.

Source

I. Présentation : Qu’est ce qu’un modèle ?

Il est courant aujourd’hui dans les documentations et les descriptions de protocoles d’entendre parler de modèles OSI ou modèles TCP/IP ainsi que de protocoles de couche 2, 3 ou 4. Nous allons ici voir ce que sont ces modèles et ces couches qui font partie du langage courant en informatique.

Généralement, un modèle dans le sens de “norme” est une façon d’ordonner ou de classifier un ensemble d’élément. Dans notre cas, les modèles OSI et TCP/IP permettent de classifier et d’ordonner les protocoles et les standards de communication entre les machines. On parle parfois également de modèle en couche où chaque couche possède sa place et sa relation propre avec les couches adjacentes. Pour les débutants, cela peut paraitre un peu obscure pour l’instant. Nous verrons cela plus en détail un peu plus bas

Ce qu’il faut savoir, c’est que dans le monde des télécommunications, il existe deux modèles principaux :

• Le modèle OSI (Open System Interconnexion) a été créé en 1977 afin d’éviter que chaque fournisseur de solution IT (réseaux et systèmes) ne fournisse sa propre implémentation du protocole lié à un service. L’ISO (International Standards Organisation) a donc décrit le modèle OSI pour qu’il corresponde à un grand panel d’implémentation sans favoriser un constructeur particulier. Il s’est donc volontairement voulu vague par rapport aux réalités techniques et est sorti plus suite à un besoin de normalisation qu’à une réalité technique.

• Le modèle TCP/IP est nommé ainsi car les protocoles de communications TCP et IP y sont les éléments dominants. Il faut noter que les protocoles TCP et IP ont été inventés bien avant le modèle qui porte leur nom et également bien avant le modèle OSI. Le modèle TCP/IP a été construit suite aux travaux du département de la défense américaine (Dod) sur le réseau ARPANET, l’ancêtre d’internet, et sur le mode de communication numérique via des datagrammes. C’est suite à cette réalité technique qu’est venu se greffer la normalisation du modèle TCP/IP qui dans le principe et sur certaines couches s’inspire du modèle OSI.

La différence majeure entre ces deux modèles dès le départ est donc leur contexte de création ainsi que le nombre de couche qu’ils contiennent comme nous le verrons par la suite.

II. Modèles en couche

Il faut voir les couches dans un modèle comme des catégories dans lesquelles on va ranger ou assigner des protocoles en fonction de leur priorité de traitement et de leur rôle dans le traitement des échanges. En assignant un protocole à une couche, on comprend plus rapidement les contextes dans lesquels il intervient, son rôle et son interaction avec les autres protocoles.

Les modèles cohabitent mais le modèle OSI tend de plus en plus, depuis l’essor d’internet dans les années 90, à se faire devancer par le modèles TCP/IP à cause de certaines spécifications trop éloignées de la réalité technique de l’implémentation des protocoles de télécommunication. Voici maintenant un tableau qui va vous permettre de visionner chaque couche des deux modèles et leurs rôles (cliquez sur l’image pour agrandir) :

Comme on peut le voir, le modèle OSI à donc 7 couches, les 3 supérieures sont dites couches hautes et les 4 restantes couches basses car plus liées à la transmission des données d’une machine à une autre.

Dans le modèle TCP/IP, les couches 1 et 2 du modèle OSI sont regroupées et forment la couche d’accès au réseau qui permet aux paquets de transiter d’une machine à une autre tant au niveau physique qu’au niveau des trames.

De plus, les couches 5, 6 et 7 du modèle OSI sont également regroupées en une seule couche dite “Application” qui comporte tous les protocoles de “haut niveau” comme le SSH, l’HTTP, le SMTP…

Les principaux protocoles de la couche 3 du modèle TCP/IP sont les protocoles TCP (Transmission Control Protocol) et UDP (User Datagram Protocol) qui ont chacun un mode de fonctionnement distinct mais dont le rôle est bien de proposer une méthode pour transporter une information d’une machine à une autre (couche Transport).

Note : Lorsque l’on parle de switch de niveau 3, on fait alors référence à la couche 3 du modèle OSI. Les switchs habituels font en effet transiter des paquets en lisant leur couche 2 (adresse MAC), alors qu’un switch de niveau 3 va avoir des fonctionnalités avancées qui concernent des protocoles de niveaux 3 comme le routage inter-Vlan.

Nous allons maintenant étudier un paquet pris lors d’un sniff réseau et essayer d’y trouver nos différentes couches, prenons par un exemple un paquet HTTPS (Affichage Wireshark) :

Nous allons ici étudier ce paquet entier capturé lors de l’analyse d’un trafic HTTPS et y faire correspondre chaque couche du modèle TCP/IP  et du modèle OSI :

• La première ligne (en partant du haut) nous informe donc sur le nombre de bits (bits) et d’octets (bytes) qui composent le paquet en question, nous sommes là sur les notions physiques et donc au niveau de la couche 1 du modèle OSI (Physique) et dans la couche 1 du modèle TCP/IP (Accès au réseau).

• La seconde ligne (qui commence par “Ethernet”) nous informe quant à elle sur les adresses MAC sources et destinations, nous sommes donc ici en présence de ce que l’on appellera une trame, ce qui correspond au niveau 2 du modèle OSI (Liaison de données). En effet, les switchs “normaux”, dits de niveau 2, orientent les paquets en allant lire leur contenu jusqu’à leur deuxième couche et utilise le protocole ARP et leur table ARP pour orienter les paquets vers un port donné. Si l’on regarde cette deuxième ligne du point de vue du modèle TCP/IP, nous sommes toujours à la couche 1 (Accès au réseau). On considère alors que cette partie du paquet est toujours utilisée pour faire transiter les informations d’un hôte vers un autre hôte, comme lorsqu’elle traverse un switch.

• La troisième ligne correspond ici au protocole IP (Internet Protocol) et à la couche 3 du modèle OSI (Réseaux) et 2 du modèle TCP/IP (Réseaux). Nous parlons ici de paquet (“paquet IP” dans notre cas). Il faut savoir qu’IP est le protocole le plus présent et le plus utilisé de la couche réseaux mais il en existe bien d’autres comme le BOOTP (utilisé par DHCP), l’OSPF qui est un protocole de routage ou encore l’ICMP.

• La quatrième ligne correspond à la couche 4 du modèle OSI (Transport) et à la couche 3 du modèle TCP/IP (Transport), on voit ici que c’est le protocole TCP qui se charge du transport des données de couche supérieure.

• La cinquième ligne correspondant à la couche 7 du modèle OSI (Application) et à la couche 4 du modèle TCP/IP (Application), il s’agit de la dernière couche de notre paquet qui fourni au final le service du protocole SSL (HTTPS – HTTP over SSL plus précisément).

III. Modèle Hybride

Bien que ce soit le modèle TCP/IP qui soit le plus utilisé aujourd’hui en tant que référence, on reproche souvent à la couche 1 de ce modèle (Accès au réseau) d’être un peu trop vague. C’est pourquoi on croise parfois sur la toile des modèles que l’on nommera hybride et qui se composent de 5 couches :

On voit donc que cette implémentation des modèles TCP/IP et OSI inclut une différenciation des couches physiques (bits et signaux électriques qui transitent au travers les câblés) et de la liaison des données (Ethernet, ATM, Wifi,etc).

L’apprentissage des modèles peut sembler assez théorique, ce qui est vrai mais il est un passage obligatoire dans l’apprentissage des réseaux. Bien que cela paraisse un peu abstrait aux néophytes, il est souvent pratique de se raccrocher aux modèles OSI ou TCP/IP lorsque l’on aborde des notions plus complexes dans les réseaux. On trouve également un tas de références au modèle OSI dans les documentations en ligne, les forums ou même les nomenclatures communes, ainsi un “switch layer 3” (switch de niveau 3) est une référence direct au modèle OSI.

En 2006, j’ai mis en place un CMS (Système de gestion de contenu) basé sur Joomla afin d’y accueillir toute la documentation technique nécessaire au bon fonctionnement de notre système d’informations.

A l’époque, Joomla me paraissait être le bon cheval, tant sur sa modularité que sur sa facilité de mise en œuvre et de plus, avec peu d’effort on arrivait à faire un “site” joli, agréable à consulter, agréable à utiliser.

L’objectif consistait alors à réunir toute la documentation technique du service (Plan d’adressage IP, Fiche “serveur”, tutoriels d’installation des applications « métier », etc…). Côté développement (on en fait beaucoup…) la documentation est restée sur Redmine qui est beaucoup adapté à cette activité.

Après 8 années de bons et loyaux services et plus de 500 articles rédigés, je viens de décider d’abandonner Joomla et ce, pour diverses raisons :

• les migrations de version, afin de rester “ up-to-date ” sont de plus en plus contraignantes, surtout à cause des problèmes de compatibilité des plugins et pourtant j’en utilise peu,

• le back-office, permettant de créer de nouveaux articles reste “compliqué” à manier – on peut le faire aussi via le front-office mais ce n’est pas très “pratique” -

• le moteur de recherche présente des résultats moyens et plus il y a d’articles et plus les résultats sont mauvais.

Pour toutes ces raisons et, au fil du temps, mes collaborateurs ont rechigné à l’écriture de nouveaux articles et la mise à jour des articles existants devenus obsolètes. J’étais devenu quasiment le principal contributeur…

Et pourtant, la documentation interne est un point important de notre métier et il en va de la qualité du service rendu aux utilisateurs si celle-ci n’est pas correctement maintenue ! J’ai beau le crier sur tous les toits mais toutes les excuses sont bonnes (pour mes collaborateurs…) quant il s’agit de ne pas mettre à jour une documentation ou d’en créer une nouvelle… J’en conclus donc que l’outil ne plaît plus et qu’il n’est plus adapté…

Mais comment faire plus simple – puisque c’est principalement là que le bât blesse – tout en conservant une dynamique de rédaction et de mise à jour ainsi qu’une appropriation par tous les métiers du service (Techniciens, SysAdmin, Chefs de projet…etc) ?

La solution que j’ai retenue : DokuWiki ! Pourquoi ?

• Parce que je connais l’outil depuis de longues années pour l’avoir utilisé sur d’autres types de projets, et qu’un Wiki représente certainement l’outil le plus adapté à ce genre de documentation,

• Parce que ce projet, en open-source, existe depuis de longues et, est très bien maintenu,

• Parce que la prise en main de l’outil et son installation demeurent très rapides, même pas besoin de base de données, le contenu est organisé sous la forme de fichiers “texte”,

• Parce que le projet DokuWiki a très bien évolué dans le sens où il est devenu plus “user-friendly” tout en conservant sa simplicité,

• Parce que la mise à jour ou la création d’un contenu se font directement en front-office, pas besoin de se connecter au back-office qui ne contient que des paramètres essentiellement liés à l’installation ou à l’après-installation,

• Parce que les quelques thèmes disponibles sont largement suffisants (et ils sont stables…) pour héberger une documentation technique agréable à consulter,

• Parce que les plugins proposés (beaucoup moins nombreux que ceux proposés par d’autres CMS) sont largement suffisants pour ce que l’on a faire dans ce genre de projet,

• Parce que le moteur de recherche donne de très bons résultats…

Pour ma part, voilà quelques détails sur la configuration que j’ai retenue et sur la base de la dernière version stable de DokuWiki…

Le thème : CodoWiki (très épuré avec un look très “pro”) et disposant d’une “sidebar” c’est à dire d’un menu sous la forme d’une colonne que l’on place à droite ou à gauche de l’écran.

les plugins que j’ai ajouté, en plus des plugins installés de base :

• Dw2Pdf qui permet d’obtenir votre article dans un “joli” PDF, bien présenté, bien complet avec, cerise sur le gâteau, un QR code correspondant à l’URL de la page,

• DokuWiki Upgrade qui prend en charge automatiquement les upgrades de version de DokuWiki (à noter que les plugins se mettent automatiquement à jour via le gestionnaire de plugins intégré de base),

• Edittable qui rend la création et l’édition de tableaux très facile (c’était un des points faibles de DokuWiki auparavant).

Autres plugins intéressants mais que je n’utiliserai pas au final car je n’en ai pas besoin :

• Numbered headings qui permet d’ajouter une numérotation hiérarchique dans vos titres et sous-titres en fonction des niveau (ex : 1, 1.1, 1.1.1 …),

• Publishing qui permet de mettre en place une notion de validation des articles par des administrateurs avant publication,

• Bookcreator qui permet de créer un PDF en compilant plusieurs articles de votre choix et afin d’obtenir un « livre ».

Je joins à cet article deux copies d’écrans de la maquette que j’ai effectuée avant de me lancer…

Alors si vous n’avez pas encore créé votre documentation technique en ligne et que celle-ci se trouve encore disséminée dans des dizaines (voire des centaines !) de documents Word et Excel (Ooohh non…), difficilement accessibles…car jamais rangés au bon endroit…il est donc grand temps de passer à la vitesse supérieure, en toute simplicité et efficacité ! Côté hébergement, ne vous cassez pas la tête, utilisez un de vos serveurs web existant ou bien installez une petite machine Linux avec un apache ou un Nginx et c’est tout ! En un après-midi, vous aurez installé la bête et vous l’aurez prise en main et concocté votre première maquette, alors … désormais vous n’avez plus d’excuses pour ne pas y aller !

Quelques liens :

http://www.joomla.fr/

https://www.dokuwiki.org/fr:dokuwiki

http://fr.wikipedia.org/wiki/Wiki

http://fr.wikipedia.org/wiki/Syst%C3%A8me_de_gestion_de_contenu

Cet été lors de la conférence Black Hat, des chercheurs allemands avaient présenté une vulnérabilité dans l’ensemble des périphériques USB, et, qui permettrait à un attaquant d’exécuter du code sur une machine. Comment ? Seulement en modifiant le firmware d’une banale clé USB de stockage.

Ces mêmes chercheurs ont déclarés que cette vulnérabilité est “impatchable”, car pour la corriger il faudrait repenser la conception des périphériques USB…

BadUSB Proof of Concept

La seule Proof of Concept de cette attaque était uniquement une version qui affectait les terminaux Android. Ça c’était avant. Désormais deux chercheurs américains : Adam Caudill et Brandon Wilson en ont décidés autrement.

En effet, lors de la dernière DerbyCon qui a eu lieue la semaine dernière au Kentucky, ils ont présentés leurs travaux sur cette faille de l’USB. Avec eux c’est différent, notamment car le code source de leur attaque est disponible sur GitHub (GitHub BadUSB). Cela permet entre autre d’obtenir des détails sur outils développés pour parvenir à exploiter la faille.

Ces informations sont disponibles pour le grand public, ce qui poussera certainement les constructeurs à trouver une solution pour la corriger. Adam Caudill précise de son côté que l’objectif est de médiatiser le problème afin de pousser les utilisateurs à être prudent, et par la même occasion les constructeurs à réagir. Il n’est pas question de distribuer un malware ou un code nuisible.

La bonne et la mauvaise nouvelle

La bonne nouvelle c’est que cette vulnérabilité est présente uniquement chez le fabricant de contrôleurs Phison Electronics, une entreprise d’électronique Taïwanaise. La mauvaise nouvelle, c’est que les contrôleurs de chez Phison sont présents au sein de nombreux périphériques USB présent sur le marché.

L’impact d’une attaque avec BadUSB

Une fois compromis, un périphérique USB peut :

– Saisir au clavier
– Modifier des fichiers
– Affecter l’activité sur Internet
– Infecter d’autres systèmes voir même d’autres périphériques USB
– Modifier le DNS de la machine pour rediriger le trafic
– Émuler un clavier
– Exécuter des commandes avec les droits de l’utilisateur

Source

Il y a quelques jours, on annonçait Windows 10 ainsi que la sortie de la version Technical Preview du prochain OS de Microsoft. Aujourd’hui, on revient vers vous pour vous avertir concernant cette Technical Preview de Windows 10 : Microsoft “espionne” les utilisateurs.

Au sein des conditions relatives à l’utilisation des données personnelles, Microsoft précise qu’à des fins de développement des données seront recensées. Ainsi, des informations sont collectées soit en local, soit vers leur serveur, comme par exemple votre nom, l’adresse e-mail, vos préférences et intérêts, la configuration de l’appareil, recherches, listes des fichiers, usage des applications, etc.

Par ailleurs, lorsque vous ouvrez un fichier, le système analyse quel programme l’a ouvert et combien de temps prend l’opération d’ouverture. Un listing des programmes installés sur votre machine est également récupéré, pour des soucis de compatibilité. En effet, pour améliorer la compatibilité Microsoft pourra même partager certaines données avec ses partenaires.

Ce n’est pas tout puisqu’un keylogger est présent au sein de l’OS. D’après Microsoft, l’objectif est d’enregistrer l’ensemble des mots saisis afin d’améliorer le correcteur orthographique ainsi que l’auto-complétion des mots.

Bien entendu, pour pouvoir améliorer le système de reconnaissance vocale, Microsoft se donne la possibilité d’enregistrer ce que vous dîtes à votre machine.

Finalement, il ne vaut mieux pas utiliser Windows 10 Technical Preview tous les jours, mais plutôt le garder à des fins de tests.

Ce sera tout pour aujourd’hui.