Sami Bel Hadj
|
Sami Bel Hadj
|
|
Copie et diffusion de ce document autorisée.
L’expansion géographique continuelle des réseaux informatique que se soit des entreprises ou des universités a rendu leurs gestion une tâche de plus en plus difficile pour l’administrateur réseau à cause du fait qu’il doit être devant la ressource à administrer. C’est ce qui a poussé à développer des outils d’administration à distance capable d’effectuer cette tâche de n’importe quel endroit sur le réseau.
Ce document renferme une étude sur l’exploitation de l’un de ces outils sous Windows à savoir Back orifice ainsi que ses principales centres d’intérêts. On trouve aussi une étude sur la fiabilité en matière de sécurité de cet outil.
1.Définition de "Back Orifice" Back
Orifice est une application
client/serveur qui permet au logiciel client de surveiller,
administrer, et effectuer à distance n'importe quelle action (réseau, multimédia,
redémarrage, fichiers,…) sur la machine exécutant le serveur.
Actuellement,
le serveur ne peut s'exécuter
que sous Windows 95/98.
Par contre, l'application cliente
(en mode console ou en mode graphique) peut être lancée sous Windows
95/98 ou Windows NT,
et même sous UNIX
(interface console seulement).
2.Origine et buts de "Back Orifice" Cette
application a été développée en 1998 par un groupe de "hackers"
nommé "Cult of the Dead Cow" (cDc : http://www.cultdeadcow.com/)
et diffusée sur Internet
très rapidement, dans le but (d'après leurs auteurs) de mettre en évidence
les trous de sécurité existant dans Windows 95/98 (et donc de dévaloriser
ce système. L'intention "anti-MicroSoft" est clairement affichée,
comme en témoigne le nom même de "Back Orifice", évoquant
la suite bureautique de Microsoft Back
Office ).
Il
a été créé en 1984 et a adopté ce nom pour le moins étrange de "Culte
de la Vache morte" par référence à une expression utilisée par Li
Peng pour désigner (avec un certain mépris) le respect des Droits de
l'Homme.
Remarque importante : ce logiciel n'est pas un virus !
3.Composition de Back Orifice Il
peut être obtenu depuis différents sites Internet :
Pour l'application client et serveur Windows (exécutables - le fichier compressé
a une taille de 478 ko) :
 | http://www.l0pht.com/bo/bo120.zip |
| http://backorifice.int0rnet.net/bo120.zip |
| http://www.mut3x.com/cdc/bo120.zip |
| http://www.toxyn.org/bo.zip |
Pour
l'application cliente UNIX (source + makefile - le fichier compressé a une
taille de 27 ko) :
| http://orifice.rotten.com/cDc/bo121unix.tar.gz |
| http://www.cultdeadcow.com/tools/bo121unix.tar.gz |
Le kit Back Orifice est composé des fichiers
suivants :
|
Nom |
Taille (ko) |
Implantation |
Interface |
Rôle |
|
BO2kGUI.EXE |
284 160 |
Client |
Graphique |
Application
cliente en mode graphique, permettant d'envoyer des commandes vers la
station serveur |
|
BO2kcfg.EXE |
28 672 |
Client |
Console |
Module
de configuration de l'exécutable serveur (nom, mot de passe, n° de port
IP) |
|
BO2k.EXE |
124 928 |
Serveur |
Néant |
Application
serveur lancée en tâche de fond sur la station Windows 95/98 |
Remarque : Il existe un certain nombre de plug-ins qui ont été développés pour back orifice et qui peuvent être télécharger gratuitement sur le web ( www.forgesource.com ) un certain nombre de ces plug-ins vont être étudiés dans la section qui leurs est réservée.
En plus du fait qu’il
constitue un outil puissant d’administration de réseau, back orifice peut être
utilisé pour des fins malsaines s’il est employé par la mauvaise personne.
Pour cela il a été classé par la plupart des antivirus dans la catégorie des
trojans (cheval de troie).
Afin de palier à ce problème,
le cDc a développé plusieurs méthodes pour assurer sa sécurité et qui vont
être analyser par la suite.
4.Installation de Back Orifice Avec la version auto-extractable « bo2k_1_0_full.exe » , l’installation se fait automatiquement . Si vous choisissez les options par défaut, l’installation va se faire dans le répertoire « C:\Program Files\Cult Of The Dead Cow\Back Orifice 2000 » et vous allez avoir les fichiers suivants :
| bo2k.exe : le serveur |
| bo2kgui.exe : la partie cliente |
| bo2kcgf.exe : l’outil de configuration du serveur |
| bo_peep.dll : un plug-in client |
| 4.1.Serveur |
| 4.2 Client |
| 4.3 Principe de communication client/serveur |
| 4.4 Plates-formes des tests effectués ici |
4.1.ServeurIl
suffit d'exécuter le fichier exécutable BO2K.EXE
Cette
exécution peut être effectuée :
· Volontairement par l'utilisateur de la station Windows 95/98. En effet, malgré sa réputation "sulfureuse", Back Orifice peut être un EXCELLENT outil de télémaintenance, au même titre que des produits commerciaux comme "PCAnyWhere".
· Involontairement, à la suite de l'installation d'un autre logiciel dans lequel BO2K aura été ajouté, ou encore plus simplement en exécutant BO2K qui aura été renommé sous un nom quelconque et plus ou moins familier à l'utilisateur. Par exemple, on veut envisager le scénario suivant :
Un
serveur FTP, HTTP, Notes,… met à la disposition de tout le
monde un utilitaire de conversion de fichier (Word, PDF, ..), nommé
(par exemple) "wordconf.exe".
En réalité, cet exécutable n'est autre que "bo2ke.exe"
renommé.
Une fois ce fichier téléchargé, il est vu comme un exécutable tout à fait
inoffensif par n'importe quel antivirus. En effet, il ne possède aucune
signature de réplication, et son exécution n'altère aucun secteur disque
vital tel que le MBR (Master Boot Record, qui contient la table
de partitions) ou un secteur de démarrage. Son exécution, qui est totalement
silencieuse, ne va générer aucun message. L'utilisateur n'y prêtera pas une
attention particulière (dans le cas d'un filtre de conversion, il n'y a rien de
"visible" qui doive se produire). Lors de sa première exécution,
bo2k.exe va procéder aux 2 opérations suivantes :
| auto-renommage de "BO2K.EXE" en " .EXE". |
Le
nom du fichier se réduit à un espace, suivi de l'extension habituelle "exe"
des exécutables!) Cela lui permet de passer presque inaperçu à l'utilisateur.
En, effet, une commande DOS telle que "dir *.exe" va afficher le nom
court de ce fichier, qui est alors "exe~1" (sans extension)
| modification de la clef suivante de la base de registres : |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
La valeur par défaut de cette clef, vide en temps normal, se
voit affecter la chaîne " .exe"
Conséquences :
La
clef désignée ci-dessus contient la liste de toutes les applications lancées
au démarrage de Windows, avant même l'ouverture d'une session utilisateur. Or
l'éditeur de stratégies système "PolEdit" (fourni avec Windows) ne
trouve aucune trace de Back Orifice.
Cette anomalie s'explique simplement par le fait que Back Orifice, renommé en
" .exe", est un service sans nom puisque inscrit dans
la valeur par défaut de la clef de la BDR.
Seul un examen approfondi de la BDR à l'aide de regedit peut repérer Back
Orifice (et à la condition de connaître son nouveau nom " .exe")
Ce
que "voit" Poledit (6 entrées) :
Ce qu'il y a dans la BDR (7 entrées) :
L'analyse approfondie du module exécutable BO2K.EXE (à l'aide du logiciel SCANBIN conçu par l'auteur de ce rapport) a donné les résultats suivants :
Informations générales
======================
Dernière mise à jour : 30/10/01
Taille fichier : 124 928 octet(s)
Type de module : exécutable WINDOWS (32 bits) : Windows Graphic User Interface
Description Fichier :
Version logiciel : 4, 0, 0, 1
Nom Compagnie :
Copyright : Copyright © 1998
Nom interne :
Nom de fichier initial :
Nom de produit :
Version de produit : 4, 0, 0, 1
Langues : Indépendant de la langue
Module utilisé : 0 fois
ATTENTION !
Ce fichier fait appel aux API des librairies suivantes :
KERNEL32: LoadLibrarya
KERNEL32: GetProcAddress
=> Les listes des DLL et Imports peuvent donc être incomplètes
DLL utilisées
=============
Appels directs
--------------------------------------------------------------
dll-32 advapi32.dll 27/05/97 247 056 octet(s) (API avancées Windows 32)
dll-32 avicap32.dll 11/08/96 71 440 octet(s) (Classe de fenêtre de capture AVI
Microsoft)
dll-32 gdi32.dll 27/05/97 165 648 octet(s) (DLL client de GDI)
dll-32 kernel32.dll 27/05/97 381 200 octet(s) (DLL cliente pour API Windows)
dll-32 mpr.dll 27/05/97 59 152 octet(s) (DLL de routeur de fournisseurs
multiples)
dll-32 user32.dll 27/05/97 331 024 octet(s) (DLL client de l'API USER de
Windows)
dll-32 winmm.dll 11/08/96 152 848 octet(s) (DLL API MCI)
dll-32 wsock32.dll 11/08/96 21 264 octet(s) (DLL Socket 32-bits Windows)
dll-32
svrapi.dll 14/03/98 32 768 octet(s) (32-bit common Server API library)
Ressources
==========
1 ressource type "DLL" ID= 102
1 ressource type "Icône" (code=0003)ID= 1
1 ressource type "Groupe d'icônes" (code=000E) ID= 101
Fonctions importées (extrait)
=============================
ADVAPI32 86 GetUserNameA
ADVAPI32 201 RegDeleteKeyA
ADVAPI32 225 RegQueryValueExA
ADVAPI32 236 RegSetValueExA
...
KERNEL32 98 ExitProcess
KERNEL32 99 ExitThread
KERNEL32 204 GetDiskFreeSpaceA
KERNEL32 376 LoadLibraryA
KERNEL32 381 LoadResource
KERNEL32 396 MapViewOfFile
KERNEL32 398 MoveFileA
KERNEL32 591 WriteFile
...
MPR 27 WNetAddConnectionA
MPR 32 WNetCancelConnectionA
MPR 41 WNetEnumCachedPasswords
...
SVRAPI 13 NetSessionEnum
SVRAPI 15 NetShareAdd
SVRAPI 16 NetShareDel
SVRAPI 17 NetShareEnum
...
USER32 16 CallNextHookEx
USER32 196 ExitWindowsEx
USER32 526 SetWindowsHookExA
USER32 558 UnhookWindowsHookEx
...
WSOCK32
2247 GetDeviceCaps
On
notera les points particuliers suivants :
· Back Orifice contient une ressource de type très particulier, à savoir "DLL" (ID=102). Cela signifie qu'une librairie est encapsulée dans le programme lui-même. Après extraction à l'aide d'un éditeur de ressources, il s'avère qu'elle possède bien une structure de librairie 32 bits (Portable Exécutable Format). Cette ressource est située à l'offset 1A83C du fichier, et a une taille de 8 ko. Afin de pouvoir l'analyser plus en détail, on l'a copié dans un fichier nommé (arbitrairement) "DLL102.DLL"
Informations
générales : DLL102.DLL
===================================
Dernière mise à jour : 30/10/01
Taille fichier : 8 192 octet(s)
Type de module : Librairie de liens dynamiques WINDOWS (32 bits)
DLL
utilisées
=============
Appels directs
--------------------------------------------------------------
dll-32 kernel32.dll 27/05/97 381 200 octet(s) (DLL cliente pour API Windows)
dll-32 msvcrt40.dll 11/08/96 65 024 octet(s) (DLL forwarder de librairie runtime
Microsoft)
dll-32 user32.dll 27/05/97 331 024 octet(s) (DLL client de l'API USER de
Windows)
Fonctions exportées
===================
0 _ConsoleHookProc@12
1 _KeyHookProc@12
Back
Orifice fait appel à des API très importantes de Windows. Par exemple on dénote
:
| accès et modification de la BDR |
| gestion de processus |
| gestion réseau |
| terminaison de Windows |
| gestion de "hook" (détournement de messages Windows) |
4.2 Client
Il suffit d'exécuter (sous Windows) BO2KGUI.EXE (mode graphique).
4.3 Principe de
communication client/serveur Le client et le serveur
échangent des paquets cryptés en UDP/IP (donc un mode non connecté) et
utilisent par défaut le port n° 31337 .
Ce n° peut être modifié à l'aide d'un utilitaire (bo2kcfg.exe)
appliqué sur le module serveur avant téléchargement vers le serveur. Il
suffit ensuite que l'application cliente connaisse le hostname ou adresse
IP du serveur, ainsi que le n° de port retenu.
Dans le cas où le serveur n'aurait pas d'adresse IP statique (adresse dynamique
attribuée par un serveur DHCP), il a été prévu dans l'application cliente
une procédure de balayage de plages d'adresses IP, effectuant alors une série
de "ping" jusqu'à ce que le serveur réponde.
Un nombre très important de commandes est disponible. Certaines sont des
commandes TCP/IP encapsulée.
4.4 Plates-formes des
tests effectués ici Plate-forme cliente :
PC sous Windows 98 (Pentium 600 MHZ – 64 Mo de RAM)
L'interface graphique : BO2KGUI.EXE (568 ko) a été utilisée (très ergonomique au demeurant)
Plate-forme serveur :
PC sous Windows 98 (Pentium 600 MHZ – 64 Mo de RAM)
Comme vous pouvez le remarquer le test va se faire en local.
5.Tests
·
Etape n°1 : Configuration du serveur bo2k.exe
L’outil
de configuration utilisé ici est le fichier « bo2kcfg.exe »
fournie avec la version complète. Avant tous faite une copie du serveur pour
que vous puissiez le configurer une autre fois. Ouvrez le programme
bo2kcfg, un assistant va vous demander d’entrer les informations
suivantes :
o Le nom du serveur : bo2k.exe ( à moins que vous avez changer son nom).
o Le mode connexion : TCP ou UDP.
o Le n° de port que doit ouvrir le serveur dans la machine cible.
o La méthode de cryptage utilisée lors de l’échange entre le client et le serveur.
o Le mot de passe du serveur : ce mot là est une mesure de sécurité dans le cas ou un autre client arrive à se connecter sur la machine cible, ce qui est vraiment loin d’être facile ( le client doit connaître l’@IP et le port ouvert de la machine cible).
Après
que vous avez entrer toutes ce informations, l’interface de configuration va
être ouverte. Cette interface vous permet d’insérer de nouveaux plug-ins à
votre serveur (à partir de fichiers DLL ). Elle vous permet aussi de modifier
toutes les variables du serveur et aussi du plug-ins qui lui ont été
ajoutés.
Toutes
les informations qui ont été indiquées à l’assistant et tant d’autre
peuvent être reconfigurées plusieurs fois.
Vous
pouvez remarquer qu’au fur et à mesure que vous ajoutez des plug-ins au
serveur, sa taille augmente.
Le plug-in du nom « bo_peep.dll » doit être impérativement ajouté au serveur pour que la communication avec le client se fasse correctement.
| Etape n°2 :
installation du serveur BO2K.EXE |
Ceci est relativement simple, il suffit de copier le serveur sur la machine cible et de l’exécuter. Avec les options choisies par défaut, les serveur va se déplacer dans le répertoire c:\windows\system en prenant le nom de UMGR32.EXE qui est configurable. Il y’a plusieurs autres options qui décident du comportement du serveur après son exécution .
| Etape n°3 : Exécution du client : |
Exécuter le client en ouvrant le fichier BO2KGUI.EXE , vous devez par la suite personnaliser une connexion à un serveur en fournissant les informations suivantes :
 | Nom du serveur : ça va caractériser une victime si vous en aviez plusieurs. |
| « L’adresse IP : n°Port » du serveur : dans notre cas 127.0.0.1 :4444 |
| Le type de connexion(TCP/UDP) : mettez le type que vous avez choisi lors de la configuration du serveur. |
| La méthode de cryptage du serveur. |
| Authentification devrait être NULLAUTH. |
Une fois terminer cliquer sur OK, le serveur est ajouté à la liste de dessous.
| Etape n°4 : Configuration du client : |
Vous devez ajouter le plug-in « bo_peep.dl » au client. Pour cela , dans le menu Plugins cliquez sur Configure, une nouvelle fenêtre s’ouvre. Choisissez insert et ajoutez le fichier bo_peep.dll .
| Etape n°5 : Connexion au serveur BO2K : |
Cliquez sur le nom du serveur dans la liste du
dessous, une boite de dialogue du nom de « Server
Command Client » s’affiche. Cliquez sur connect , la
connexion s’établit et dans la zone TextArea vous voyez s’afficher le
message suivant : --> Version: Back Orifice 2000 (BO2K) v1.1.
La boite de dialogue « Server Command Client » est constituée des zones suivantes :
o
Une zone
appelée « server commands » : qui contient toutes les
commandes qu’on peut exécuter sur le serveur et ceux ajouter par les plug-ins.
A chaque type de commande est associé un certain nombre de ZoneText qui
vont contenir les paramètres de la commande.
o
Un bouton
de nom « send command » qui permet soumettre la commande au serveur.
o Une zone TextArea dans laquelle s’affiche les résultats des commandes.
Nous allons maintenant tester quelques commandes sur le srveur:
Envoi d'un Ping vers le serveur :
2. Retrait de la liste des mots de passe du cache du serveur :
3. Retrait des informations utiles sur la machine serveur :
4. Key logging :
Les autres commandes existantes sont :
| transfert de fichiers via FTP |
| arrêt puis redémarrage de Windows |
| exécution d'un programme |
| création / suppression de répertoires |
| copie / suppression de fichiers |
| compression / décompression de fichiers |
| opérations "multimédia" (exécution d'un fichier son, clip vidéo,..) |
| connexion / déconnexion réseau (montage / démontage de ressources) |
| création / suppression de clefs dans la BDR |
6. le plug-in bo_peep.dll:
Ce plug_in permet d'établir un flux vidéo entre le client et le serveur permettant de voir en directe le mouvement de la souris sur la machine cible. Il permet aussi de bloquer la souris et le clavier l'empêchant ainsi de fonctionner.
Si le serveur Back Orifice a
été introduit sur une station Windows 95/98 dans un but malintentionné,
toute station dotée du client Back Orifice pourra TOUT
faire à distance sur cette machine (suppression de fichier, capture de mot de
passe, exécution de n'importe quel programme,…) . Donc les conséquences
peuvent être très graves !
Mais il faut noter que
l'utilisation d'outils de télémaintenance tout à fait "officiels"
comme "PCAnyWhere", "Carbon Copy",
"LapLink", … peuvent de la même façon perturber le
fonctionnement d'une machine s'ils sont mal utilisés.
Cette situation est due au
fait qu'il n'y a aucune sécurité réelle dans Windows 95/98 , à l'opposé
de Windows NT et
de tout système UNIX.
Une fois que l'on a pu accéder par exemple au "menu démarrer", il n'y a pas de contrôle d'exécution
par rapport à l'utilisateur en cours (Par exemple, sous Windows
NT, l'accès à la base de registre est réservée aux
administrateurs, de même, sous UNIX,
seul le compte "root"' peut modifier les fichiers de
configuration situés dans le répertoire /etc) .
| S'assurer au
maximum de la provenance des fichiers téléchargés depuis un serveur
Internet. |
| Travailler sous un système d'exploitation sécurisé : Windows NT, UNIX (Linux) |
Comme on a pu le voir précédemment, Back Orifice
serveur est constitué d'un seul fichier (BO2K.EXE, renommé en " .exe"),
et d'une clef dans la Base de Registres. Donc pour enlever Back Orifice de sa
machine, il suffit de :
| supprimer le fichier " .exe" (situé dans le répertoire c :\Windows\system) |
| supprimer la chaîne " .exe" de la valeur par défaut de la clef |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
| redémarrer la machine |
Indépendamment des
anti-virus habituels, différents outils (officiels ou non) ont été développés
soit pour éradiquer Back Orifice, soit pour avertir l'utilisateur qu'il est
"espionné" par Back Orifice (liste non exhaustive!) :
AntigenCet utilitaire gratuit sert à détecter, nettoyer et détruire Back Orifice. Il utilise une interface graphique pour guider l'utilisateur dans cette tâche. C'est un produit de Fresh Software.
Il est disponible à l'adresse suivante :
http://www.arez.com/fs/antigen/
Back
OrifixCe logiciel est diffusé gratuitement sur Internet depuis le 1er septembre 1998. Il émane de l'entreprise canadienne "GroupAxion". Son but est de supprimer Back Orifice. Back Orifix effectue une recherche complète de Back Orifice, affiche le fichier le concernant puis le supprime. Par contre, il ne restaure pas la Base de registres, ce qui est un oubli important.
Il est disponible à l'adresse suivante :
http://www.groupaxion.com/BOrifix/telechargement.htmlRemarque :
Dans un document intitulé "GroupaXion - Back OrifiX - Communiqué", GroupAxion a eu tendance a dramatiser un peu la situation. Par exemple, on a pu relever les passages suivants :
"Jusqu'à la mise au point du logiciel de protection Back OrifiX, la manière la plus rapide et la plus simple de se débarrasser de [Back Orifice] était de réinstaller Windows ".
On peut heureusement se dispenser de cette opération, pour le moins radicale, par une simple suppression de fichier et modification d'une clef de la BDR
Il est exact que le pseudo-gestionnaire de processus de Windows 95/98 ne "voit" pas Back Orifice, par contre n'importe quel outil sérieux donnant la liste des processus l'affichera.
Exemple obtenu avec "SCANBIN" (extrait)
Liste des modules actifs (12/11/2001 16:32:45)
Modules exe-32
...
1 c:\fisc\flash\flshstat.exe
1 c:\program files\mcafee\virusscan\vshwin32.exe
1 c:\windows\explorer.exe
1 c:\windows\flexicd.exe
1 c:\windows\system\ .exe
1 c:\windows\system\inetsrv\inetinfo.exe
1 c:\windows\system\mprexe.exe
...
BOFreezeCet utilitaire gratuit a un rôle défensif. Il ne prémunit pas contre l'infiltration de Back Orifice et ne le supprime pas, par contre il peut avertir l'utilisateur d'une "attaque" de Back Orifice. Il identifie les paquets UDP arrivant sur le PC, les décrypte et détecte la chaîne caractéristique de Back Orifice qui est *!*QWTY? .
Ensuite il retourne au client Back Orifice des paquets volontairement malformés afin de le bloquer complètement.
Il est disponible à l'adresse suivante :
http://members.xoom.com/wzc/bof/main.html
NOBOCet utilitaire gratuit sert à détecter une attaque de Back Orifice. Il ne prémunit pas contre l'infiltration de Back Orifice et ne le supprime pas.Il enregistre les paquets UDP arrivant sur le PC et les stocke dans un fichier journal.
Il est disponible à l'adresse suivante :
http://web.cip.com.br/nobo/nobo_en.html
8. Étude de l’existantDans ce paragraphe nous allons parlé d’un outil similaire à BackOrifice qui est SubSeven. La différence majeure avec cet outil est qu’il est utilisé uniquement comme trojan (cheval de Troie) pour l’infection de la machine cible et son exploitation sans aucune autorisation.
9. Documentation Officielle Pour plus ample informations sur Back Orifice 2000, on vous a concoctés une page renfermant plusieurs articles écrits par les membres du "Cult of the Dead Cow". on trouve les points suivants:
|
une présentation complète de Back Orifice 2000. |
|
un tutorial sur l'utilisation de Back Orifice 2000. |
|
un FAQ complet. |
|
une explication détaillée des commandes de BO2K. |
|
une explication sur l'utilisation de quelques plug-ins. |
|
etc, ..... |
Pour voir cette documentation cliquez ici.
10.Conclusion "Back Orifice" est un logiciel REMARQUABLE, de par ses possibilités et sa compacité. Il est totalement excessif de qualifier le cDc de "cybercriminels" (ne pas confondre "hacker" et "cracker"). Il peut avoir des conséquences très graves s'il est utilisé à des fins malsaines, toutefois il ne faut pas céder à la panique. Et cela pour deux raisons. Primo, Back Orifice n'est pas un virus (il ne se multiplie pas insidieusement en infectant d'autres fichiers). Secondo, Back Orifice peut s'enlever facilement, pas comme le SubSeven qui utilise plusieurs techniques de camouflage.
Mais inversement, il ne faut pas non plus négliger ce danger potentiel, comme a pu le faire Microsoft, qui a fait preuve d'une désinvolture certaine :
| Microsoft : " …BackOrifice does not compromise the security of a Windows network…", |
| cDc : " … cDc would like to know where exactly Microsoft is getting its definition of 'compromise the security'." |
D'autre part, Microsoft a objecté que "…computers running Windows 98 are not vulnerable if the computer is not connected to the outside world …". Or on peut très bien envisager le cas (au sein d'une entreprise, d'une université,...) d'un employé, étudiant,... malintentionné "espionnant" les machines de ses collègues ou condisciples. On peut espérer que cette mise en défaut JUSTIFIEE de la sécurité de Windows 98 incitera donc MicroSoft à réagir, et à fournir auprès des utilisateurs de son système les outils correctifs qui s'imposent. En particulier, le système utilisé par Windows 98 de cache des mots de passe en clair est à revoir le plus rapidement possible. Par ailleurs, il est urgent que tous les éditeurs de logiciels anti-virus actualisent rapidement leurs bases de signatures .
