Des trous dans votre firewall Jerome Saiz le 11 novembre 2001 à 19h57, dans la rubrique Menaces Commentaires fermés sur Des trous dans votre firewall firewalltrousvotre Un logiciel capable de contourner la plupart des firewall personnels du marché est désormais disponible. Il permet de communiquer avec l’extérieur, sous le nez du parefeu, même s’il est bien configuré. FireHole n’est qu’un outil de test, mais il fait froid dans le dos. Installé sur un PC avec Windows, il établit une connexion vers Internet avec la bénédiction du firewall personnel. Et il ne s’agit pas là d’exploiter une erreur de configuration du pare feu, mais bien de profiter d’une faille structurelle de Windows, dont toute application peut tirer profit pour transmettre n’importe quelle information vers n’importe quel point du réseau (le trafic entrant n’est en revanche pas affecté).Et s’il ne s’agit pour l’heure que d’un prototype chargé d’alerter l’opinion, la technique utilisée par FireHole peut facilement être intégrée dans de nombreux chevaux de Troie.Après Steve Gibson et son fameux LeakTest , Robin Keir, le créateur de FireHole, a voulu aller plus loin dans la démonstration des faiblesses de ces pare-feu personnels de plus en plus populaires.Cependant, ce ne sont pas ici les firewall qui sont réellement en cause, mais plutôt le fait qu’ils fonctionnent sous Windows. FireHole exploite en effet une fonction 32 bits standard du système d’exploitation (SetWindowsHookEx) afin d’intercepter toutes les actions réalisées par l’utilisateur. En plaçant l’appel à cette fonction dans une librairie chargée de détecter le lancement du navigateur et de s’y » accrocher « , Robin Keir parvient à faire fonctionner son programme d’interception dans le même espace mémoire que le navigateur, comme s’il en faisait partie intégrante. Il peut ainsi initier une connexion à Internet en toute liberté, le firewall étant généralement configuré pour laisser le navigateur accéder librement à Internet. Même les utilisateurs les plus paranoïaques, qui n’autorisent leur butineur qu’à se connecter aux ports HTTP standards (80, 443, voire 8080) sont vulnérables, puisque le programme pourra utiliser le port 80 sur le site de destination (ou l’ordinateur du pirate), afin de transmettre n’importe quelle information.Pour la plupart des spécialistes, il s’agit d’un problème lié à Windows, qui permet à n’importe quelle application d’en « écouter » une autre. Mais l’intérêt de FireHole n’est pas de démontrer les failles propres au firewall (pour cela, d’autres techniques, telles le « firewalking », sont bien plus inquiétantes). Il s’agit plutôt d’alerter les utilisateurs sur le faux sentiment de sécurité que de tels produits peuvent offrir. Beaucoup d’entre eux, en effet, exécutent n’importe quel programme inconnu sous prétexte que s’il s’agit d’un cheval de Troie, leur firewall l’empêchera de communiquer avec l’extérieur.Cela n’est désormais plus le cas, y compris avec les produits récents dont la publicité indique qu’ils sont immunes aux chevaux de Troie grâce à la prise d’empreintes MD5 des applications réseau. Plus d’information : la page personnelle de Robin Keir. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!