Home > Uncategorized > Les métadonnées : Une mine d’or d’informations. Mais pour qui ?

Les métadonnées : Une mine d’or d’informations. Mais pour qui ?

September 7th, 2010 Leave a comment Go to comments

Une métadonnée, aussi appelée metadata (en anglais), est en fait de l’information à propos de l’information elle-même. Prenons l’exemple d’un document produit à partir de la suite Microsoft Office ™, de la suite OpenOffice ou Adobe Acrobat ™ (PDF), pour ne nomme que ceux-ci. À première vue, l’information qu’il contient se résume à ce qui peut être lu ou vu sur le document comme le texte, les images, les graphiques, etc… Mais détromper vous, il y a plus. Il y a les métadonnées. Mais que sont-elles exactement? Que contiennent-elles?

Publiez un document et je vous dirai qui vous êtes!

Afin d’étudier la question,  J’utiliserai un logiciel qui s’appelle FOCA et qui à été créé par une compagnie basée à Madrid en Espagne qui s’appelle Informática 64. FOCA est un outil permettant notamment de trouver, de télécharger et d’analyser de façon automatisée, plusieurs types de documents tels que .doc, .ppt. .pdf, etc… et ce, à partir d’un site Web donné. Certains jugeront peut-être cette pratique douteuse, mais  je tiens toutefois à préciser qu’il n’y a rien d’illégal dans cette façon de faire. L’information qui est présente sur un site Web est, en principe, disponible pour le téléchargement. La seule différence avec FOCA, c’est que le processus est automatisé plutôt que d’être fait manuellement par un humain. Donc, s’il faut se poser une question ce serait plus le fait de récupérer de l’information que sur la mécanique utilisée.

Bref, beaucoup de gens ne réalisent pas que des documents ayant été publiés sur un site Web, volontairement ou non, fournissent des informations à propos d’eux à leur insu. En effet, les métadonnées qui s’y trouvent pourraient éventuellement s’avérer très intéressantes et utiles pour quiconque sachant s’en servir.

Parmi ces informations, ou devrais-je dire, ces métadonnées, FOCA est notamment en mesure de récupérer :

– Le nom d’utilisateur de l’auteur du document;

– Le nom de l’imprimante sur laquelle le document a été imprimé;

– Le nom et la version du logiciel avec lequel le document a été créé;

– L’adresse courriel de son auteur.

De plus, la nouvelle version de FOCA (ver. 2.5) offre une multitude de nouvelles possibilités. L’outil est maintenant en mesure de récupérer encore plus d’informations au niveau du nom de domaine (xyz.com.) Par exemple :

– D’autres sous-domaines basés sur le nom de domaine principal (ex. : sous-domaine.xyz.com);

– D’effectuer des transferts de zones (lorsque permis par le(s) serveur(s) DNS);

– De balayer les listes d’enregistrements DNS (PTR Records).

Mais attendez! Il y a plus!

FOCA est également en mesure de faire du fingerprinting (déterminer une version de serveur) au niveau HTTP et SMTP en plus de pouvoir faire des recherches via SHODAN, qui est un engin de recherche pour trouver des systèmes spécifiques sur Internet. Autrement dit, Google trouve des pages Web, SHODAN trouve des systèmes.

Le bût de cet article n’est pas de faire une description exhaustive de FOCA alors prenez le temps d’y jetez-y un œil par vous-même, afin d’apprécier  tout son potentiel.  Mon intention est plutôt de vous sensibiliser sur  le fait que les documents publiés sur Internet regorgent d’information intéressante et de vous faire prendre conscience que cette information peut-être et sera utilisée contre vous. La question n’est pas « si » mais bien « quand ».

Toutes ces informations peuvent parfois sembler anodines, mais, elles peuvent être une source précieuse d’information pour un professionnel de la sécurité effectuant un test d’intrusion ou, pour un pirate. Habituellement, lors d’une attaque, la première étape consiste à ramasser le plus d’information possible sur la cible. Cette étape est communément nommée la phase de reconnaissance. Or, un outil comme FOCA peut s’avérer très utile pour accomplir cette tâche.

Voici un scénario d’attaque possible : Un pirate mettant la main sur des métadonnées contenues dans un document téléchargé sur un site Web, pourrait par exemple réussir à obtenir le nom et l’adresse courriel de l’employé de l’organisation ayant crée le document. Il pourrait par la suite perpétrer une attaque en exploitant une faille connue dans logiciel utilisé pour créer le document et renvoyer courriel avec un contenu malicieux à l’adresse courriel ayant été découverte dans les métadonnées. La victime recevra donc un courriel avec un document attaché qui contient du code malicieux. Lorsque celle-ci ouvrira l’attachement,  son poste de travail sera alors automatiquement compromis et donnera accès au pirate via une porte dérobée « backdoor ». Une fois que le pirate aura accès au poste de la victime, il lui sera possible de « pivoter » et d’attaquer d’autre poste sur le réseau, et ce, à partir du poste de la victime et à son l’insu. Le tout pourrait même se produire sans que l’antivirus qui en passant est à jour, ne puisse faire quoi que ce soit! Mais ça c’est une autre histoire, qui peut-être, sera traitée lors d’un autre article…

Pistes de solutions

Il existe des pistes de solutions. Faites des vérifications de façon régulière afin de savoir ce que votre organisation laisse transpirer comme information à travers les documents publiés, volontairement ou non. L’utilisation régulière d’outil comme FOCA ou tout autre outil du même genre peut aider. Cet exercice pourrait par exemple faire parti des analyses de vulnérabilités et des tests d’intrusions qui doivent normalement être effectués de façon régulière au sein d’une entreprise.

De plus, les solutions de type « Data Leak Prevention » où « Data Lost Prevention » sont d’autres moyens permettant de contrôler l’information qui sort d’une organisation.

La sensibilisation et la formation du personnel concernant la sécurité de l’information sont souvent sous-estimées et négligées. Toutefois, elle s’avère un outil efficace. Que ce soit pour prévenir les pirates qui tentent d’utiliser des attaques d’ingénierie sociale ou pour s’assurer que les documents soient « aseptisés » avant d’être rendues publiques.

– Michel

Bookmark and Share
  1. September 21st, 2010 at 07:42 | #1

    beaucoup appris

  2. The Bluebird
    September 29th, 2010 at 01:01 | #2

    Bonjour, j’aimerais savoir si vous connaissez un logiciel pour trouver des métadonnées sous un système GNU/Linux. Merci !

    P.S: Bravo pour vos articles, TRÈS intéressant !

  3. michelcusin
    September 29th, 2010 at 10:23 | #3

    Salut Bluebird,

    En fait oui il existe d’autres logiciels pouvant trouver des métadonnées et qui peuvent être utilisés sur Linux. Fais une recherche sur metagoofil et sur Maltego… Hint: Ils sont tous les deux intégré dans Backtrack (http://www.backtrack-linux.org/) qui est maintenant basé sur Debian Linux.

    Cheer!

    – Michel

  4. The Bluebird
    September 29th, 2010 at 21:23 | #4

    Re-boujour Michel.

    Je connais Maltego, cependant je savais pas qu’il pouvait traiter cette tâche.

    Et je suis en permanence sous BT depuis la version 4 R1.

    Merci et cordialement !

  5. The Bluebird
    September 29th, 2010 at 22:10 | #5

    EDIT: J’ai testé MetaGoofil.

    Beau logiciel, écrit en python et Open.

    Cependant l’attaque peut être contré en modifiant robots.txt, car MetaGofil use Google pour trouver les documents. Mais quand même, une “attaque” dangereuse et pourtant plus que rependu !

  1. No trackbacks yet.

Powered by Netfirms