Back Orifice

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Back Orifice est un logiciel client/serveur d'administration et de prise de contrôle à distance de machines utilisant le système d'exploitation Windows ; il ne s'agit pas vraiment d'un virus, mais plutôt d'un rootkit.

Il est créé et distribué par un groupe de hackers, Cult of the Dead Cow (cDc), en août 1998[1]. L'auteur principal de Back Orifice est « Sir Dystic »[2] ; et celui de BO2K est « DilDog »[3]. Le code source est open source (GNU GPL) et disponible sur sourceforge.

Origine et Cible[modifier | modifier le code]

Son nom est inspiré par le logiciel Back Office de la société Microsoft ainsi que par le plaisir d'un jeu de mots quelque peu grivois.

Le logiciel s'attache aux machines utilisant un système d'exploitation Windows 95/98, et NT pour BO2K[3]. Le client peut s'exécuter sous Windows 95/98/NT et Unix (console uniquement)[4]. Le programme est autonome : il n'a pas besoin qu'on installe des outils annexes.

Finalité[modifier | modifier le code]

L'auteur (Sir Dystic) précise que « les deux buts légitimes de BO sont la télémaintenance et la maintenance/surveillance [des réseaux Microsoft] »[2].

Pour BO2K, l'auteur regrette que l'accès à distance, chose très courante dans les systèmes de type Unix par le ssh, ne soit pas disponible sous Windows ; c'est pourquoi ils ont « amélioré les possibilités d'administration » de ces systèmes. Il « espère que Microsoft fera de son mieux pour s'assurer que son système d'exploitation est suffisamment bien conçu pour savoir gérer les améliorations apportées »[3].

Le communiqué de presse précise que BO2K « pourrait faire pression sur le léviathan [NdT: Microsoft] pour qu'il mette en place un modèle de sécurité dans son système d'exploitation » et qu'« en cas d'échec, leurs clients seront vulnérables aux crackers »[3].

La finalité originale de ce logiciel est douteuse, ses auteurs affirmant que son utilisation a été détournée sous forme de cheval de Troie. Toutefois, son comportement furtif et ses fonctionnalités spéciales (comme la récupération de mots de passe à distance, ou le keylogger intégré) laissent planer le doute sur les motivations réelles des auteurs. Il a ainsi souvent été classé comme virus ou ver et sa signature est fréquemment reconnue comme dangereuse par les logiciels antivirus.

En tout cas, il est clair qu'il s'agit d'une attaque contre Microsoft qui utilise l'absence de politique de sécurité[4].

Fonctionnement[modifier | modifier le code]

La chaîne caractéristique de Back Orifice est *!*QWTY?. Il utilise le port 31337. On attribue ce choix au fait qu'en Leet speak, 31337 se lit ELEET (« élite »). Ce port est modifiable[4].

Le client, utilisé par l'attaquant, est configurable, modulaire et même skinnable. Il comprend un système de marque-page et un logger. Il peut se connecter sur plusieurs serveurs à la fois[5].

Le serveur comprend un accès à un shell par telnet, un keylogger, un éditeur de registre, un serveur HTTP, des outils pour transférer, supprimer et installer des fichiers/programmes à distance, un accès au système de partage des réseaux Microsoft, un cracker de mot de passe (NT/95/98) et de quoi redémarrer la machine. Il supporte les redirections TCP, la résolution DNS et un contrôle des processus (démarrage, arrêt, listage)[5]. Il est aussi capable de détourner des messages système. L'accès à tout cela se fait en partie par une dll de 8ko incluse dans l'exécutable[4].

Des plug-ins de cryptage 3DES et à la volée, de contrôle graphique (bureau avec clavier/souris, éditeur de registre), de support de l'UDP et de l'ICMP sont également disponibles[5].

L'utilitaire « NOBO » permet de détecter le trafic réseau généré par Back Orifice. Pour supprimer BO, il suffit de supprimer l'exécutable serveur ainsi que la clé de base de registre associée, puis de redémarrer[4].

Utilisation[modifier | modifier le code]

L'installation se fait par une simple exécution du programme BOSERVE.EXE (122ko) : celui-ci va se renommer en .EXE (le nom du fichier est une espace) et ajouter le chemin de ce programme à la clé de base de registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices. Le serveur s'exécutera ainsi silencieusement à chaque démarrage de la machine ; de plus, il n'est pas visible dans la liste des processus exécutés[4].

Le client graphique est lancé par BOGUI.EXE et le client console par BOCLIENT.EXE.

Commandes de base[modifier | modifier le code]

  • System Info : liste les informations système : processeur, RAM, disques durs et partitions...
  • File view : affiche le contenu d'un fichier ;
  • HTTP Enable : lance le serveur http intégré ;
  • Process list : liste les processus en cours d'exécution ;
  • Reg list values : pour voir des clés de base de registre ;
  • System dialogbox : affiche sur le serveur un message personnalisé ;
  • System Passwords : pour voir tous les mots de passe stockés sur la machine en clair.

BO2K[modifier | modifier le code]

Un an après BO[3], « BO2K », pour « Back Orifice 2000 », est une évolution de BO apportant quelques améliorations et notamment le support de Windows NT. Le 2000 est aussi une référence aux produits de Microsoft (Windows 2000 et Office 2000).

Notes et références[modifier | modifier le code]

  1. (en) « Whatis BO2K », sur bo2k.com (consulté le 19 avril 2010)
  2. a et b (en) cDc, The Deth Vegetable, « Running a Microsoft operating system on a network? Our condolences. », sur cultdeadcow.com,‎ 21 juillet 1998 (consulté le 19 avril 2010)
  3. a, b, c, d et e (en) cDc, The Deth Vegetable, « BO2K Pressrelease », sur bo2k.com,‎ 10 juillet 1999 (consulté le 19 avril 2010)
  4. a, b, c, d, e et f Jean-Claude Bellamy, « Tout ce que vous avez voulu savoir sur Back Orifice »,‎ 1998 (consulté le 19 avril 2010)
  5. a, b et c (en) « Feature list », sur bo2k.com (consulté le 19 avril 2010)

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]