Phishing

8.1 Définition

Le phishing, est une technique utilisée par des fraudeurs afin d’obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance (banque, administration, etc.), afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale, pouvant être réalisée par courrier électronique, par des sites WEB falsifiés ou autres moyens électroniques.

8.2 Préconisations et configurations requises

Dans notre cas, le phishing a reposé sur l'adresse email de Monsieur Latu. Avant de mettre en place cette fraude, nous avons présenté à Monsieur Latu tous les détails concernant le fonctionnement, la mise en place ou

Projet Sécurité Groupe Attaque

Ses seules préconisations étaient qu’il devait également recevoir tous les mails envoyés de notre part. Après approbation de sa part, nous avons mis à exécution la fraude.

L'adresse de Monsieur Latu étant « phillipe.latu@iut-tlse3.fr », nous avons décidé de créer une adresse quasi identique : « phillipe.latu@iut-tlse.fr ». Pour cela, nous avons créé un domaine sans engagement sous l'hébergeur

« 1&1 », nous offrant alors une adresse email personnalisable sur ce domaine.

Avant de commencer la tentative de phishing, une phase de configuration a d'abord était nécessaire :

• Ajout de la même signature et du titre du propriétaire du mail :

« P h i l i p p e L a t u

<IUT 'A' Paul Sabatier>

Enseignant/Chargé de mission Système & Réseau

+33562258028 / 115 C Route de Narbonne - BP67701 - 31077 Toulouse Cedex 4

</>

<GNU/Linux>http://www.linux-france.org/~platu</> »

• Transfert automatique des messages : tout message reçu sur cette boite mail devra être automatiquement transmis à Monsieur Latu.

• Site WEB : redirection automatique du faux site WEB vers le vrai de façon complètement transparente pour l’utilisateur, en insérant dans le fichier « index.php » la ligne

« <script>windows.location("Http:///www.iut-tlse3.fr'")</script> » 8.3 Attaque réalisée

a. Email envoyé

Une fois toutes les configurations apportées, il nous était possible de commencer l'utilisation de cette fraude.

La difficulté résidait dans le fait que nous ne pouvions pas être certains que Monsieur Latu n’enverrait pas de véritables mails lors des émissions de nos propres mails. Notre première tentative fut réalisée le weekend précédent la première confrontation.

Ci-dessous le premier « faux » mail envoyé aux responsables de communication des groupes « Défense » et

« Analyse » :

« Bonjour,

La prochaine confrontation arrivant, je souhaiterai faire un bilan général de vos avancements pour chaque groupe.

Services disponibles, Services en cours de préparation....

Bonne soirée

- P h i l i p p e L a t u

<IUT 'A' Paul Sabatier>

Enseignant/Chargé de mission Système & Réseau

+33562258028 / 115 C Route de Narbonne - BP67701 - 31077 Toulouse Cedex 4

</>

><GNU/Linux>http://www.linux-france.org/~platu</> »

Projet Sécurité Groupe Attaque

b. Réponses obtenues

Les deux groupes sont tombés totalement dans le panneau. Voici les réponses :

• Réponse de l’équipe « Défense »

« Bonjour,

Pour cette confrontation, le serveur mail sera éclater en deux parties, le routeur ne fera que du NAT et le filtrage se fera au niveau du firewall qui est en cours d'implémentation, un accès wifi sera mis en place et un service de mail également.

En ce qui concerne Nagios il devrait être fonctionnel pour cette confrontation.

Cordialement,

Au niveau des évolutions physiques :

• Fusion du server Syslog et du NetFlow pour libérer une machine

• Ajout d'une sonde au niveau du Vlan métier de la défense

Au niveau de l'analyse des trames récupérées par les sondes nous avons bien avancé et nous avons identifié les attaques. Cette analyse n'est pas finie mais nous auront terminé jeudi. Un bulletin de sécurité sera donc donné à la défense avec toutes les attaques trouvées ainsi qu'une recommandation sur les améliorations à apporter pour que ces attaques n'aboutissent pas.

Le server Syslog va récupérer plus de logs qu'à la 1ere confrontation. En effet a la 1ere il ne récupérait que ceux du routeur alors que pour la 2ème il va récupérer les logs des machines ci dessous :

Source Description Etat TODO

Pour la confrontation tout fonctionnera!!

Le NetFlow avait été activé sur le routeur a la 1ère confrontation mais nous n'avions pas récupéré les

Projet Sécurité Groupe Attaque

En ce moment le pole NetFlow recherche un bon outil d'affichage graphique des statistiques NetFlow qui pour l'instant apparaissent sous forme de tableau en mode " console".

Je pense que j'ai fait le tour. Si nous décidons de mettre en place autre chose je vous tiendrai au courant.

Si vous avez des questions n'hésitez pas !!

Bonne soirée

Cordialement Nicolas MADELAINE »

8.4 Bilan

Les informations récupérées suite à notre première fraude n’étaient pas très importantes. Cependant, cela nous a ouvert une voie et nous a montré que le phishing était facilement réalisable. Nous aurions certainement pu obtenir davantage d’informations en utilisant cette technique avec discernement. La vieille de la dernière confrontation, nous avons tenté en vain d’obtenir des identifiants et mots de passe des défenseurs et analystes.

Cependant, notre usurpation d’identité était tellement bonne que l'on a reçu des demandes d'assistance de la défense pour configurer le firewall !