GNU/Linux Magazine 119

Lors de notre présentation au SSTIC en juin, nous avons démontré qu'il était possible d'injecter une porte dérobée à une application JavaEE, par la simple présence d'une archive JAR. Nous avons baptisé ces attaques « Macaron ». Une démonstration est disponible en ligne, sur le site du projet : http://macaron.googlecode.com.Le numéro 45 de MISC décrit les techniques d'attaques utilisées. Cet article décrit les outils proposés pour apporter des solutions contre ces menaces. Pour résumer, il existe différentes techniques de pièges, permettant d'exécuter du code sans que l'application ne le demande explicitement. Une fois un piège déclenché, il existe plusieurs approches pour s'injecter dans le flux de traitement de chaque requête HTTP. Il est alors possible d'analyser chaque requête HTTP pour identifier une valeur particulière dans la valeur d'un paramètre. Cela permet d'ouvrir la porte dérobée et donne accès au serveur. La démonstration propose différents agents, dont un agent permettant d'exécuter un shell sur le serveur, contrôlé par le navigateur. La communication entre le navigateur et la porte dérobée est quasi indiscernable d'un flux légitime de l'application.

Dans la première partie de notre solution VPN, nous nous sommes contentés d'authentifier localement les utilisateurs. Ils devaient pour cela posséder un compte local sur le serveur VPN.Cette solution nous a permis de poser les bases de notre service VPN. Néanmoins, en entreprise, la base d'authentification des utilisateurs existe déjà. L'ajout de la brique RADIUS dans notre projet va nous permettre de déporter cette authentification vers une ou des bases externes existantes. Ces différentes sources d'authentification pourront être matérialisées sous la forme d'annuaires LDAP (OpenLDAP, Active Directory...) ou de bases de données traditionnelles (MySQL, PostgreSQL...)Cette brique supplémentaire nous donnera également la possibilité de conserver des traces de connexions et de faire des statistiques sur l'utilisation de notre outil.