Publié par : PapyNet | 27/12/2010

H@ckRam J’ai la Mémoire qui flanche

Avec sa présentation baptisée "J’ai la mémoire qui flanche", Arnaud Malard a surtout fait flancher bien des certitudes à l’occasion des GS Days2010 ! Et si vous êtes vous aussi de ceux qui estiment que leur PC est protégé une fois mis en veille avec son mot de passe de session, la présentation d’Arnaud Malard va probablement vous faire également l’effet d’une douche froide. Il a notamment démontré la facilité avec laquelle il est possible, en attaquant la mémoire vive, de prendre le contrôle d’une machine en quelques minutes seulement à l’aide d’un vulgaire iPod (ou, comme le fait remarquer Arnaud Malard, avec un émulateur d’iPod sous Linux aujourd’hui).

Consultant pour Devoteam, Arnaud s’est donc penché sur la mémoire vive des systèmes Windows : comment l’exploiter, avec quels outils et pour quels résultats ? Bien entendu il n’y a rien de nouveau ici tellement les attaques contre la RAM sont connues depuis longtemps (et pas uniquement pour Windows !). Mais le travail de synthèse d’Arnaud Malard offre un tour d’horizon complet des techniques et des outils disponibles à ce jour, ainsi qu’un aperçu des dégâts qu’une telle attaque peut provoquer.

La mémoire vive voit en effet passer des données qui ne sont généralement pas stockées sur le disque dur (des mots de passe ou certains historiques, par exemple), et son altération est généralement bien plus discrète qu’une modification du système de fichiers. Explorez la mémoire, et vous aurez par exemple bien souvent accès aux mots de passe de nombreux services web (Facebook, LinkedIn, divers webmails…). Ou alors patchez en mémoire la DLL d’authentification de Windows et vous aurez immédiatement accès au système sans laisser de traces sur le disque dur. Et, comme le démontre Arnaud Malard, tout cela peut être réalisé très rapidement, notamment sur une machine laissée en veille prolongée au bureau ou dans une chambre d’hôtel.

(Lire la suite ici)

Le pdf peut être récupéré ici :

http://dl.dropbox.com/u/16411902/WP-HckRAM.pdf

Publicités

Catégories