Aller au contenu


Analyse d'une attaque man-in-the-middle

man in the middle mitm kodi

  • Vous ne pouvez pas répondre à ce sujet
3 replies to this topic

#1 David de Bitdefender

David de Bitdefender

    Touriste Martien

  • Eminence Verte
  • PipPipPipPipPip
  • 220 Messages :
  • Gender:Male

Posté 29 juillet 2015 - 16:27

Qu’est-ce qu’une attaque man-in-the-middle ?

 

Une attaque MITM est l’interception de données qui transitent entre deux clients ou un client et un serveur.

Cela permet d’espionner des échanges et donc de récupérer des mots de passe, des identifiants bancaires, etc. voire même de modifier les données qui transitent, sans que les victimes ne s’en aperçoivent.

 

Etude de cas : Kodi

 

Note : la faille que nous présentons a été communiquée à l’équipe de développement et a été résolue.

 

Kodi, anciennement XBMC, est un logiciel open source qui transforme un appareil en station multimédia, disponible pour Windows, Mac OS X, iOS, Android et Linux.

Mis à part la lecture de plusieurs supports (vidéos, musique, images), l’intérêt de Kodi réside dans les extensions, écrites en Python, ce qui permet de regarder Youtube, différentes chaines françaises en streaming et en replay, des reportages de National Geographic, etc.

 

Le problème

 

A chaque démarrage, Kodi télécharge les dernières mises à jour des extensions.

  1. Kodi commence par demander la dernière signature MD5 de « addons.xml », qui contient des informations sur les extensions, dont les numéros de version de celles-ci.
  2. Si la signature MD5 du fichier distant ne correspond pas à la signature MD5 du fichier local, Kodi va télécharger la dernière version de « addons.xml ».
  3. Les versions des extensions dans le fichier « addons.xml » sont comparées aux versions des extensions installées.
  4. Si une nouvelle version est disponible, Kodi demande sa signature MD5 et télécharge le fichier.
  5. Une fois téléchargé, Kodi va comparer la signature MD5 du fichier à la signature MD5 demandée préalablement.
  6. Si les deux signatures correspondent, le fichier téléchargé est installé.

La mécanique est bien rodée, et la comparaison des signatures MD5 permet de vérifier que les fichiers n’ont pas été altérés pendant le téléchargement. Le problème est que tout cela se passe par HTTP, c’est-à-dire sans aucun chiffrement.

 

L’attaque

 

Puisqu’aucun chiffrement n’est utilisé, un attaquant peut intercepter et modifier les échanges afin d’installer son propre code. Pour cela, l’attaquant commence par renvoyer une signature MD5 aléatoire lors du premier échange. Pour Kodi, cela signifiera que des extensions doivent être mises à jour. L’attaquant envoie ensuite son propre fichier « addons.xml », et a une fois de plus modifié une signature MD5, celle de l’extension qu’il cible (disons Youtube, par exemple). Les échanges suivent leurs cours, et au final, la fausse extension Youtube est installée sur l’appareil de la victime.

 

Les conséquences

 

Dans la capture ci-dessous, la fausse extension Youtube, installée par Kodi, aura pour fonction de télécharger le fichier malicious.exe et le lancer au démarrage de Windows.

 

mitm-attaque-kodi.PNG

 

Sur d’autres systèmes que Windows, Kodi n’a pas autant de droits et ne permet pas de télécharger et de lancer des fichiers au démarrage. Mais cela ne veut pas dire pour autant que l’utilisateur est protégé contre cette vulnérabilité : au lieu de télécharger malicious.exe et de le lancer au démarrage, nous avons cette fois modifié l’extension Youtube afin d’afficher une boite de dialogue demandant l’identifiant et le mot de passe de l’utilisateur.

 

De ce fait, lorsque l’utilisateur lancera l’extension Youtube, celle-ci lui demandera son identifiant et mot de passe, ce qui peut paraitre légitime, sauf que les données seront envoyées vers un serveur distant, à destination de l’attaquant.

 

Nous avons également été en mesure de modifier l’extension Dropbox (Dbmc) de manière à ce que dès que l’extension synchronise des fichiers, ceux-ci sont envoyés vers un serveur FTP de notre choix.

 

Conclusion

 

Le manque de chiffrement dans l’échange des données est une faille sérieuse qui peut amener à de l’espionnage mais aussi à l’installation de malwares. Pour votre navigation, nous vous recommandons d’utiliser l’extension développée par la Electronic Frontier Foundation (EFF), HTTPS Everywhere. Cela permettra de forcer le HTTPS dès qu’un site le propose.

 

Quant aux applications, c’est aux développeurs de penser à forcer les communications en HTTPS. Malheureusement, encore beaucoup d’applications font passer le trafic en HTTP, notamment sur Android.

 

Source : Comment fonctionne une attaque man-in-the-middle ?



#2 noisette

noisette

    Webmarster

  • Admin
  • PipPipPipPipPipPipPipPipPip
  • 21 127 Messages :
  • Gender:Male

Posté 30 juillet 2015 - 08:09

Merci David.

C'est l'occasion de rappeler que certaines attaques sont insensibles aux OS, au moins dans leur version "minimale" (qui se satisfait d'une attaque à l'intérieur du navigateur, comme votre deuxième version - pour ce que je crois avoir compris).

Je suis assez surpris de voir que vous avez un labo de recherche de failles, mais c'est sans doute parce que je connais mal (en fait pas) les gros éditeurs de sécu. J'imagine que ces recherches sont financées par les retombées d'une mise en avant de l'employeur du découvreur, et que ce n'est pas monnayé.


Dans la pratique, je ne vois pas comment une telle attaque peut se produire: "un attaquant peut intercepter et modifier les échanges". Il ne faudrait peut-être pas trop relever ce genre de techniques, qui doivent malgré tout se trouver en cherchant bien, mais c'est vrai que ça me laisse perplexe (non que le crois impossible mais parce que je ne vois pas du tout comment ça se passe).

#3 David de Bitdefender

David de Bitdefender

    Touriste Martien

  • Eminence Verte
  • PipPipPipPipPip
  • 220 Messages :
  • Gender:Male

Posté 30 juillet 2015 - 14:17

L'attaque ne se fait pas forcément au sein du navigateur, dans le cas de Kodi par exemple, c'était une attaque directement au sein du système.

 

Tout ce qui est connecté à Internet et ne passe pas par une connexion sécurisée est potentiellement vulnérable aux attaques MITM ;)



#4 vigen

vigen

    Hardcore Papa

  • Tonton Flingueur
  • PipPipPipPipPipPipPipPipPip
  • 6 440 Messages :
  • Gender:Male
  • Location:Normandie

Posté 12 août 2015 - 17:06

C'est une mise en pratique ???

 

http://www.zataz.com...de-bitdefender/

 

:D :run: :run: :run: :dejadehors:





1 utilisateur(s) en train de lire ce sujet

0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)