PowerShell : faire tomber la sécurité en 5 secondes

Lors du White Hat Camp de Marrakech (20 au 26 avril 2015), Jérôme Ridet, chercheur en informatique et membre de l’association ACISSI, a démontré que l’outil PowerShell de Microsoft laissait passer les mots de passe en quelques clics de souris.

La commune de Marrakech (Maroc) reçoit la première édition du White Hat Camp, une semaine de conférences (20 au 26 avril 2015), formations et challenge informatique sur le thème du hacking éthique et de la sécurité informatique. L’occasion pour de nombreux chercheurs et vrais professionnels de la sécurité informatique de venir échanger sur leurs découvertes. Parmi les intervenants, le chercheur français, ingénieur réseau, Jérôme Ridet. Ce jeune nordiste est venu expliquer la faiblesse de PowerShell. Une faiblesse qui pourrait faire penser (ce n’est que l’avis de l’auteur de cet article, Ndr) à une porte cachée (backdoor). Certes facilement exploitable avec un peu de curiosité et la lecture complète du mode d’emploi de PowerShell.

PowerShell est un logiciel Microsoft. Il permet aux administrateurs réseau de gérer leurs systèmes. Un outil indispensable qui automatise les taches informatiques comme les créations d’utilisateurs, les gestions des événements, la mise en place des droits utilisateurs… Jérôme Ridet a découvert comment « bypasser » les droits qui peuvent être proposés par un administrateur. Bilan, le « maître des clés » qu’est l’administrateur se retrouve avec un sérieux problème : en quelques commandes, les n’importe quel mot de passe devient accessible. Ils ont beau être chiffrés, les trois commandes (indiquées dans le mode d’emploi, NDR) couplées permettent de mettre la main sur le précieux sésame. « Quand j’ai découvert le truc, explique cet administrateur réseau au site Internet ZATAZ.COM, je n’étais pas sûr de ce que je voyais. Je me suis dit, ce n’est pas possible.« 

Une découverte étonnante, d’autant plus dangereuses que les commandes peuvent être automatisées. Si vous rajoutez un petit détail dans les commandes, un intrus peut même faire disparaître la moindre trace de son action. Des commandes qui peuvent être cachées dans une macro (Excel, Word, Access, …). ZATAZ.COM explique que pour se protéger de ce genre de malveillance, il faut refuser la moindre macro dans les documents que vous pouvez recevoir. Ne jamais saisir son mot de passe, même si l’environnement semble sécurisé. Pour l’administrateur, il est vivement conseillé de bloquer l’invite de commande comme par exemple en supprimant ou en renommant CMD.

3 réflexions sur « PowerShell : faire tomber la sécurité en 5 secondes »

    1. Bonjour,
      Il suffit de vous pencher sur le mode d’emploi de PowerShell pour trouver la réponse.
      Fournir du prémâché n’apporte rien, et ne permet pas de comprendre le fonctionnement de cet outil.

Les commentaires sont fermés.