> >

Où trouver MISC près de chez vous (Entrez un code postal) ————- Exploit Corner : [04-07] Exploitation du décodeur de fonte WOFF de Firefox Malware Corner : [08-13] Propagation virale sur terminaux mobiles : la viabilité du vecteur Bluetooth Pentest Corner : [14-17] Exécution de commandes par ORACLE sans exploit (Pour visualiser le sommaire complet, voir ci-dessous)

Sommaire (suite)

Dossier : La Sécurité des jeux

• [18] Préambule
• [19-23] La protection des jeux vidéo : fouilles archéologiques
• [24-32] La protection des jeux vidéo : du CD-Rom à l’activation en ligne
• [35-41] Mauvais usage et détournement des jeux en ligne
• [42-49] Dans l’enfer de World Of Warcraft

Société

• [50-56] ISO 27005 : introduction à la gestion des risques en sécurité des systèmes d’information

Réseau

• [59-67] Analyse de l’établissement d’un tunnel DNS

Système

• [68-75] Un pare-feu USB qui bloque aussi des virus

Application

• [76-77] Les modèles de sécurité dans les WAF
• [78-82] Visualisation de flux réseau : FLOWVIEWER, FLOWGRAPHER, FLOWTRACKER

Perdus entre les déboires de l’équipe de France de football (le mot « équipe » est-il d’ailleurs approprié ?) et la réforme des retraites, les rédacteurs de MISC ont décidé de changer de ligne. Maintenant, on va vendre du temps de cerveau disponible, avec des titres racoleurs et des filles à moitié nues pour parler de heap spraying.

Dossier spécial : des jeux pour l’été, et plus si affinités
L’été, on aime bien lire des magazines inavouables sur la plage, de ceux qu’on trouve souvent chez belle-maman ou son coiffeur (bien sûr, puisqu’on ne les achète jamais). Donc, pour soutenir la Presse, MISC fait pareil : de l’actu hot, torride, brûlante ! Des scoops ! Des exclus ! Bref, un vrai numéro de l’été. Et comme tout numéro de l’été qui se respecte, nous vous avons concocté un cahier spécial jeux (enfin, c’est encore une fois Renaud Bidou qui s’y est collé – merci). Forcément, on a arrangé ça à notre sauce…

SSTIC 8, encore un coup de bâton
Pour la première fois en huit ans, je n’étais pas à Rennes pour cet événement incontournable. Au-delà des conférences sur lesquelles je ne porterai donc aucun jugement, je noterai juste l’ouverture par la DGSE, un événement en soi qui marque un profond changement dans le milieu. Sans parler de la campagne de recrutement organisée par tout le monde (DGSE, ANSSI et nombreuses entreprises)…
S’il faut y voir certainement un signe de regain économique, est-ce pour autant aussi le signe d’une prise de conscience de la nécessité d’agir dans ce secteur ? Lors de son discours d’ouverture, M. Barbier, Directeur Technique de la DGSE, a reconnu que la France avait des années de retard dans la lutte offensive. Lors de son discours de clôture, M. Pailloux, Directeur de l’ANSSI, a présenté les défis de ce secteur, l’angle géopolitique qui l’accompagne et la difficulté à sécuriser les systèmes.
Dans ces deux discours tenus par des représentants de l’État, ce qui me frappe, c’est la franchise et la volonté d’avancer. À titre totalement personnel, ça me fait particulièrement plaisir, d’une part que ces paroles soient tenues, et d’autre part à SSTIC, car ça faisait partie des objectifs que je m’étais secrètement fixés en contribuant au lancement de SSTIC.

Hapodi & Orange : quand le marketing s’emmêle ?
Hélas, cette même lucidité fait souvent défaut à nos entreprises, ce qui est d’autant plus inquiétant quand elles sont opératrices d’infrastructures critiques.
Anticipant la mise en place d’HADOPI, Orange a lancé une offre à 2€ pour éviter les téléchargements. En quelques jours, il s’est passé autant de choses qu’avec l’équipe de France en Afrique du Sud :
- Le serveur contrôlant le logiciel avait sa console d’administration accessible sur Internet avec login/mot de passe par défaut (admin/admin).
- Les données collectées étaient publiquement accessibles.
- Le logiciel comportait plusieurs mentions à HADOPI alors que, dans un premier temps, les responsables d’Orange déclaraient que leur logiciel n’avait aucun rapport avec cette institution.
- Le logiciel comportait une faille énorme permettant même à ma grand-mère d’élever ses privilèges au niveau SYSTEM.
Si c’était la période du rugby, on pourrait parler de grand chelem. Quoi qu’il en soit, j’ai la naïveté de penser que jamais des ingénieurs n’auraient poussé à sortir un tel « truc ».
Alors, si je me réjouis de voir l’État commencer à se donner les moyens d’agir dans ce secteur, je me demande quand les entreprises lui emboîteront le pas…

Sur ce, c’est l’été. On peut se demander si un ver va apparaître, qui va se faire exclure de Black Hat, et si le ticket de métro va encore augmenter en douce au mois d’août, pendant que tout le monde sera sur la plage.

Bonne lecture et attention aux coups de soleil !

Fred Raynal

> >

Où trouver MISC près de chez vous (Entrez un code postal) ————- Exploit corner [04-06] iPhone OS Core Audio stack Buffer Overflow Malware corner [09-11] Rogue AV : utilisation du gestionnaire des tâches pour effrayer les utilisateurs Pentest corner [12-17] Jouons avec AppLocker (Pour visualiser le sommaire complet, voir ci-dessous)

Sommaire (suite)

Dossier :

VULNÉRABILITÉS WEB ET XSS – DES ENNEMIS QUE VOUS SOUS-ESTIMEZ !

• [18] Préambule
• [19-23] XSS : le diable se cache dans les détails : 1ère partie – XSS : principes et typologie
• [24-31] XSS : le diable se cache dans les détails : 2ème partie – XSS et overflow : « nihil novis sub sole »
• [32-39] XSS : le diable se cache dans les détails : 3ème partie – « Ibant obscuri sola sub nocte »
• [40-49] La sécurité dans les navigateurs web

Société

• [50-57] Emeutes au Xinjiang et guerre de l’information chinoise

Réseau

• [58-63] Quelques éléments de sécurité sur les interconnexions des réseaux privés virtuels MPLS/BGP

Système

• [64-71] Oracle : a new hop

Science & technologie

• [72-82] Cryptanalyse du chiffrement Office

Bonne lecture,

Fred Raynal

I – Ouvrages :

• [1] FOGIE (Seth), GROSSMAN (Jeremiah), HANSEN (Robert), RAGER (Anton), PETKOV (Petko), XSS Attacks: Cross Site Scripting Exploits and Defense, Syngress Publishing Inc., Elsevier Inc., Burlington (MA), USA, 2007, 448 pages.
• [2] POWELL (Thomas), Ajax : The Complete Reference, McGraw-Hill Osborne, USA, 2008, 654 pages.

II – Articles et documents :

II.A – Comprendre le cross-site scripting – ressources généralistes

• [3] Open Web Application Security Project (OWASP), « Cross-Site Scripting », [en ligne], disponible à l’adresse : http://www.owasp.org/index.php/XSS, [consulté le 01 décembre 2009].
• [4] Open Web Application Security Project (OWASP), « Testing for Cross-Site Scripting », [en ligne], disponible à l’adresse : http://www.owasp.org/index.php/Testing_for_Cross_site_scripting, [consulté le 01 décembre 2009].
• [5] Open Web Application Security Project (OWASP), « Reviewing Code for Cross-Site Scripting », [en ligne], disponible à l’adresse : http://www.owasp.org/index.php/Reviewing_Code_for_Cross-site_scripting, [consulté le 01 décembre 2009].
• [6] OLLMANN (Gunter), « Code Injection and Cross-site scripting », [en ligne], disponible à l’adresse : http://www.technicalinfo.net/papers/CSS.html, [consulté le 01 décembre 2009].
• [7] CGISECURITY, « The Cross-Site Scripting (XSS) FAQ », [en ligne], disponible à l’adresse : http://www.cgisecurity.com/xss-faq.html, [consulté le 01 décembre 2009].
• [8] WIKIPEDIA, « Cross-Site Scripting », [en ligne], disponible à l’adresse : http://en.wikipedia.org/wiki/Cross-site_scripting, [consulté le 01 décembre 2009].

II.B – Approfondir le cross-site scripting – risque, évaluation du risque

• [9] GARDENAT (Pierre), « XSS, de la brise à l’ouragan », Actes de la Conférence SSTIC 2009, [en ligne], disponible à l’adresse : http://actes.sstic.org/SSTIC09/XSS-_de_la_brise_a_louragan/SSTIC09-article-P-Gardenat-XSS-_de_la_brise_a_louragan.pdf, [consulté le 01 décembre 2009].
• [10] HANSEN (Robert), « XSS (Cross-Site Scripting) Cheat Sheet», [en ligne], disponible à l’adresse : http://ha.ckers.org/xss.html, [consulté le 01 décembre 2009].
• [11] SUTTON (Michael), « A WOLF IN SHEEP’S CLOTHING, The Dangers of Persistent Web Browser Storage », BlackHat DC 2009, [en ligne], disponible à l’adresse : https://www.blackhat.com/presentations/bh-dc-09/Sutton/blackhat-dc-09-Sutton-persistent-storage.pdf, [consulté le 01 décembre 2009].
• [12] FLICK (Matthew), « Cross Site Scripting Anonymous Browser », BlackcHatc DC 2009, [en ligne], disponible à l’adresse : http://www.blackhat.com/presentations/bh-dc-09/Flick/BlackHat-DC-09-Flick-XAB_Slides.pdf, [consulté le 01 décembre 2009].
• [13] POLI (Xavier), « Exploiter à distance une faille XSS sur un Intranet avec les cookies persistants et le DNS Rebinding », Secuobs.com, 2009, [en ligne], disponible à l’adresse : http://www.secuobs.com/news/21012009-dns_rebinding_cookie_persistant_xss.shtml, [consulté le 01 décembre 2009].
• [14] DABIRSIAGHI (Arshan), « Next Gen Cross-Site Scripting Worms », OWASP Conference 2008, [intervention filmée disponible en ligne sur http://video.google.it/videoplay?docid=-2782535918275323123&ei=OFWtSYfII4fg2ALW6ZCeBg&q=dabirsiaghi+arshan+owasp&hl=fr, visionnée le 01 décembre 2009].
• [15] DABIRSIAGHI (Arshan), « Building and Stopping Next Generation XSS Worms », OWASP AppSec Europe 2008, [en ligne], disponible à l’adresse : http://www.owasp.org/images/1/1b/OWASP-AppSecEU08-Dabirsiaghi.pdf, [consulté le 01 décembre 2009].
• [16] GRUTZMACHER (Kurt), « NTLM is dead », DEFCON 16, [en ligne], disponible à l’adresse : http://squirtle.googlecode.com/files/NTLM%20is%20Dead%20-%20DefCon%2016.pdf, [consulté le 01 décembre 2009].
• [17] GROSSMAN (Jeremiah), « Hacking Intranet Websites from the Outside Take 2 », BlackHat DC 2007, [en ligne], disponible à l’adresse : https://www.blackhat.com/presentations/bh-usa-07/Grossman/Whitepaper/bh-usa-07-grossman-WP.pdf, [consulté le 01 décembre 2009].
• [18] HOFFMAN (Billy), « JavaScript Malware for a Gray Goo Tomorrow! », Shmoocon 2007, [en ligne], disponible à l’adresse : http://h71028.www7.hp.com/enterprise/downloads/Javascript_malware.pdf, [consulté le 01 décembre 2009].
• [19] FEIL (Renaud), NYFFENEGGER (Louis), « Évolution des attaques de type Cross-Site Request Forgery », Actes du SSTIC 2007, [en ligne], disponible à l’adresse : http://actes.sstic.org/SSTIC07/Cross_Site_Request_Forgery/SSTIC07-Feil_Nyffenegger-Cross_Site_Request_Forgery.pdf, [consulté le 01 décembre 2009].
• [20] GROSSMAN (Jeremiah), « Cross-Site Scripting Worms and Viruses », Whitehat Security 2006, [en ligne], disponible à l’adresse : http://www.net-security.org/dl/articles/WHXSSThreats.pdf, [consulté le 01 décembre 2009].
• [21] GROSSMAN (Jeremiah), « Hacking Intranet Websites from the Outside « JavaScript malware just got a lot more dangerous » », BlackcHatc DC 2006, [en ligne], disponible à l’adresse : http://www.blackhat.com/presentations/bh-jp-06/BH-JP-06-Grossman.pdf, [consulté le 01 décembre 2009].
• [22] CHATARJI (Jagadish), « Advanced JavaScript with Internet Explorer: Retrieving Networking Configuration Information », devarticles.com, 2006, [en ligne], disponible à l’adresse : http://www.devarticles.com/c/a/JavaScript/Advanced-JavaScript-with-Internet-Explorer-Retrieving-Networking-Configuration-Information, [consulté le 01 décembre 2009].

II.C – Se protéger contre le cross-site scripting

N.B. : Les documents généralistes traitent souvent des principaux moyens de se protéger contre le cross-site scripting. Nous vous proposons de consulter en plus :

• [23] CERT : Carnegie Mellon University’s Software Engineering Institute, « Understanding Malicious Content Mitigation for Web Developers », [en ligne], disponible à l’adresse : http://www.cert.org/tech_tips/malicious_code_mitigation.html, [consulté le 01 décembre 2009].
• [24] Open Web Application Security Project (OWASP), « HTTPOnly », [en ligne], disponible à l’adresse : http://www.owasp.org/index.php/HTTPOnly, [consulté le 01 décembre 2009].
• [25] Open Web Application Security Project (OWASP), « OWASP AntiSamy Project », [en ligne], disponible à l’adresse : http://www.owasp.org/index.php/Category:OWASP_AntiSamy_Project, [consulté le 01 décembre 2009].
• [26] Facebook Developers Wiki, « FBJS », [en ligne], disponible à l’adresse : http://wiki.developers.facebook.com/index.php/FBJS, [consulté le 01 décembre 2009].
  [Article décrivant le fonctionnement du langage FBJS utilisé pour virtualiser le code JavaScript des applications tierces sur Facebook.]
• [27] GROSSMAN (Jeremiah), introduction à l’article « Protecting the intranet against javascript malware and related », Actes de la DIMVA Conference 2007, Springer, Lucerne, 2007, 250 pages.

II.D – Développement web

• [28] W3C, « HTML5 », [en ligne], disponible à l’adresse : http://dev.w3.org/html5/spec/Overview.html, [consulté le 01 décembre 2009].
• [29] HUNT (Lachlan), « A Preview of HTML 5 », [en ligne], disponible à l’adresse : http://www.alistapart.com/articles/previewofhtml5, [consulté le 01 décembre 2009].
• [30] Google, « What is the Gears API ? », [en ligne], disponible à l’adresse : http://code.google.com/intl/fr/apis/gears/, [consulté le 01 décembre 2009].

II.E – Signalements de vulnérabilités XSS :

[31] FERNANDEZ (Kevin), PAGKALOS (Dimitris°, « XSS (cross-site scripting) information and vulnerable Websites archive », [en ligne], disponible à l’adresse : http://xssed.com/, [consulté le 01 décembre 2009]. N.B. : ce site semble inactif depuis la fin de l’été 2009.

II.F – Statistiques d’audience – sites web :

• [32] Alexa Internet Inc., [en ligne], disponible à l’adresse : http://www.alexa.com, [consulté le 01 décembre 2009].

III – Outils :

• [33] HEIDERI (Mario), PHPCharset Encoder, [en ligne], disponible à l’adresse : http://h4k.in/encoding/, [consulté le 01 décembre 2009].
• [34] HEIDERI (Mario), PHP Unicode Generator, [en ligne], disponible à l’adresse : http://h4k.in/characters/, [consulté le 01 décembre 2009].
• [35] PHPIDS Group, PHPIDS Smoketest, [en ligne], disponible à l’adresse : http://demo.php-ids.org/, [consulté le 01 décembre 2009].
• [36] CuteSoft Components Inc., Free Javascript Obfuscator, [en ligne], disponible à l’adresse : http://www.javascriptobfuscator.com/Default.aspx, [consulté le 01 décembre 2009].
• [37] HEYES (Gareth), Hackvertor, [en ligne], disponible à l’adresse : http://www.businessinfo.co.uk/labs/hackvertor/hackvertor.php, [consulté le 01 décembre 2009].
• [38] HEYES (Gareth), Javascript LAN Scanner, [en ligne], disponible à l’adresse : http://code.google.com/p/jslanscanner, [consulté le 01 décembre 2009].
• [39] Open Web Application Security Project (OWASP), « OWASP CAL9000 Project », [en ligne], disponible à l’adresse : http://www.owasp.org/index.php/Category:OWASP_CAL9000_Project, [consulté le 01 décembre 2009].
• [40] SAVARD (Daniel), COUKOUMA (Nikolas), Live http Headers, [Module pour Firefox], [en ligne], disponible à l’adresse : https://addons.mozilla.org/fr/firefox/addon/3829, [consulté le 01 décembre 2009].
• [41] PEDERICK (Chris), Web Developer, [Module pour Firefox], [en ligne], disponible à l’adresse : https://addons.mozilla.org/fr/firefox/addon/60, [consulté le 01 décembre 2009].
• [42] GRUTZMACHER (Kurt), Squirtle, [en ligne], disponible à l’adresse : http://code.google.com/p/squirtle/, [consulté le 01 décembre 2009].
• [43] ALCORN (Wade), BeEF, [en ligne], disponible à l’adresse : http://www.bindshell.net/tools/beef/, [consulté le 01 décembre 2009].

Les heureux gagnants sont :

- Le 16/03/2010, M. FREYENS Eric gagne un abonnement d’un an à MISC
- Le 16/03/2010, M. CALHELHA Jean-Michel gagne un abonnement d’un an à MISC
- Le 17/03/2010, M. PELTIER Rémi gagne un abonnement d’un an à MISC
- Le 17/03/2010, M. LEONE Rémy gagne un abonnement d’un an à MISC
- Le 18/03/2010, M. ROBO Romain gagne un abonnement d’un an à MISC
- Le 18/03/2010, M. VITTECOQ Axel gagne un abonnement d’un an à MISC

Nous remercions tous les participants venus nous rencontrer sur notre stand et, pour ceux d’entre vous qui n’ont pas pu venir, nous vous  invitons à répondre à la version électronique du questionnaire en cliquant sur le lien suivant :
http://www.ed-diamond.com/sondages/.

Pour répondre à l’évolution de vos besoins, nous cherchons de nouveaux moyens d’améliorer nos publications. Vous pouvez nous y aider en répondant simplement à quelques questions afin de mieux vous connaître et répondre à vos attentes.

D’avance, merci.

Sondages : http://www.ed-diamond.com/sondages/

Sommaire (suite)

Dossier

[COMMENT SE PROTÉGER CONTRE LA PESTE SPAM ?]

• [18] Préambule
• [19-27] Communication électronique non sollicitée : le spam
• [28-35] Spam & Botnets
• [36-46] protéger son infrastructure du spam
• [47-52] ÉTUDE DE SPAMBOTS AVEC DES HONEYPOTS

Système

• [55-61] BOOT SÉCURISÉ : PREMIER PAS VERS L’INFORMATIQUE DE CONFIANCE ?

Code

• [62-65] FUZZING TOUT EN MÉMOIRE

Application

• [66-73] ÉTUDE DE la FAILLE SMS DE L’IPHONE

Science & Technologie

• [74-82] LIRE SON PASSE NAVIGO EN UN CLIN D’OEIL

Petit résumé pour ceux ayant passé les derniers mois en retraite avec le Dalaï Lama : un 0-day sur Internet Explorer a été utilisé pour compromettre Google et quelques autres. Cet événement (anodin ?) m’inspire quelques réflexions…
Je ne m’étendrai pas sur l’aspect 0-day, la faille ayant été rapportée à Microsoft depuis quelques mois : que ce soit celle-ci ou une autre, ça ne change rien.
Des fonctionnalités, encore des fonctionnalités !
Rappelons un principe de base en sécurité : plus un système offre de fonctionnalités (cachées ou non), plus sa surface d’attaque est grande. Dans le cas de Google, les méchants ont compromis les logiciels d’interception mis en place à la demande du gouvernement américain (pour simplifier).
Je ne me permettrais pas de voir ici une sorte de mise en garde pour un État qui voudrait filtrer des contenus ou faciliter les perquisitions numériques et autres prises de contrôle à distance dans un cadre judiciaire. Quoique…
Il faudrait peut-être cesser de sous-estimer les méchants, en les croyant incapables de retourner à leur avantage les outils mis en place par les gentils.
Des intrusions, encore des intrusions !
Un détail amusant dans cette histoire est que peu d’entreprises révèlent avoir été piratées. Le fait que ce soit Google qui prenne les choses en main, en spécialiste de la collecte de données privées se positionnant en redresseur de torts face aux Chinois, grands pourfendeurs de libertés, n’est pas sans ironie.
Non, ce que je voudrais surtout souligner, c’est un phénomène étrange : les entreprises françaises, nos commerces en ligne, nos banques, ne sont JAMAIS piratés ! Enfin, si on en croit la communication officielle puisqu’on en parle que les 29 février (et encore). Pourtant, quand on regarde les USA ou l’Angleterre, il ne se passe pas une semaine sans qu’une entité ne « perde » des données confidentielles. Alors, sommes-nous meilleurs que les autres ?
En fait, les lois ne sont pas les mêmes et obligent les détenteurs de données privées à révéler à leurs clients quand un incident compromet leur vie privée. Il n’est pas vraiment étonnant de constater combien nos décideurs prennent les pays étrangers en exemple, mais juste quand ça les arrange. Bref, chez nous, on préfère se voiler la face (sauf pour les manifs et la burqa où c’est interdit).
Des attaques ciblées, encore des attaques ciblées !
Revenons sur les données privées, détenues par divers sites, usuellement évoquées par nos médias comme cibles d’attaques informatiques. Elles intéressent pas mal de groupes de criminalité organisée : spam, vol d’identité ou autres activités nauséabondes mais néanmoins lucratives. Pourtant, Aurora confirme que ces données ne sont pas les seules cibles.
L’omniprésence d’Internet et des réseaux a diversifié la nature des méchants : fini l’adolescent qui s’amuse ou le type qui veut se venger. De nombreuses personnes, pas toujours bien intentionnées, ont compris les avantages économiques, politiques, concurrentiels, …, à tirer d’actions menées sur le réseau des réseaux. Il est malheureusement définitivement faux de croire qu’on ne constitue pas la proie de quelqu’un. La question est plutôt de savoir comment tenter de s’en protéger.
Un exploit, encore un exploit !
Le truc qui me fascine le plus dans cette opération, c’est le rapport coût/efficacité. Imaginons que le méchant ait acheté un exploit contre Internet Explorer pour 40000US$ au marché noir, et que derrière, il pénètre dans une vingtaine d’entreprises, dont plusieurs Fortunes 100.
Parallèlement, toutes ces entreprises ont dépensé des sommes astronomiques en firewall, antivirus et autres produits manifestement inefficaces mais chers.
Étonnant ? Pas vraiment ! Nos architectures sont totalement déficientes face à ce type d’attaques. L’exploit est exécuté sur un poste client. À partir de là, il se connecte sur le net pour récupérer d’autres choses en se faisant passer pour le navigateur. Ensuite, il explore le système local et éventuellement accroît ses privilèges avant de poursuivre son exploration du réseau local. Eh oui, un seul exploit suffit…
Bon, et alors ?
« Tant qu’il y a des marmites, il y a de l’espoir ! », Astérix, le combat des chefs.
Au final, pas grand chose de neuf, sauf pour ceux qui faisaient l’autruche depuis quelques années. J’espère que cet événement ouvrira les yeux de certains. Après tout, l’espoir fait vivre. Et pour conclure, tels Résidus dans les lauriers de César ou Caton l’Ancien : Delenda Carthago !

Fred Raynal

*Communication électronique non sollicitée : le SPAM*

[1] « MUD » : *http://fr.wikipedia.org/wiki/Multi-user_dungeon*

[2] « Monty Pythons » : *http://fr.wikipedia.org/wiki/Monty_Python*

[3] 1er SPAM :*http://www.templetons.com/brad/spamreact.html#msg*

[4] DEC : *http://fr.wikipedia.org/wiki/DEC*

[5] Arpanet : *http://fr.wikipedia.org/wiki/ARPANET*

[6] Canter et Siegel : *http://en.wikipedia.org/wiki/Laurence_Canter_and_Martha_Siegel*

[7] Usenet : *http://fr.wikipedia.org/wiki/USENET*

[8] Spamalytic : *http://www.icsi.berkeley.edu/pubs/…/2008-ccs-spamalytics.pdf*

[9] Scam : *http://fr.wikipedia.org/wiki/Fraude_4-1-9*

[10] Filtrage port 25 : *http://www.maawg.org/sites/maawg/files/news/MAAWG_Gestionduport25_0511.pdf*

[11] RFC : *http://www.ietf.org/rfc.html*

[12] Métriques : *http://www.maawg.org/sites/maawg/files/news/MAAWG_2009-Q1Q2_Metrics_Report_11.pdf*

[13] /McAfee threat report/ : *http://www.mcafee.com/us/local_content/reports/7315rpt_threat_1009.pdf*

[14] /Symantec Rapport/ 2010-01 : *http://eval.symantec.com/mktginfo/enterprise/other_resources/b-state_of_spam_report_01-2010.en-us.pdf*

[15] SMTP : *http://fr.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol*

[16] McCol : *http://en.wikipedia.org/wiki/McColo*

[17] Work.ExploreZip : *http://www.symantec.com/avcenter/venc/data/worm.explore.zip.html*

[18] SpamAssassin : *http://spamassassin.apache.org/*

[19] MIME : *http://en.wikipedia.org/wiki/Base64*

[20] Viagra : *www.jgc.org/pdf/jgc-march-2004-virus-bulletin.pdf*

[21] PDCA : *http://fr.wikipedia.org/wiki/Roue_de_Deming*

[22] Heuristique : *http://fr.wikipedia.org/wiki/Heuristique*

[23] Filtrage bayésien : *http://fr.wikipedia.org/wiki/Filtrage_bayésien_du_spam*

Références Dossier 4  :

Étude de spambots avec des honeypots

*[1]* Harris Drucker, Donghui Wu, and Vladimir Vapnik, /Support vector machines for spam categorization, IEEE Transactions on Neural Networks/, 10(5):1048-1054, 1999.

*[2]* Mehran Sahami, Susan Dumais, David Heckerman, and Eric Horvitz, /A bayesian approach to filtering junk E-mail/, in Learning for Text Categorization: Papers from the 1998 Workshop, Madison, Wisconsin, 1998. AAAI Technical Report WS-98-05.

*[3]* Anirudh Ramachandran, Nick Feamster, and David Dagon. /Revealing botnet membership using dnsbl counter-intelligence/, in Proceedings of the 2nd Workshop on Steps to Reducing Unwanted Traffic on the Internet, pages 8-8, 2006.

*[4]* Luiz Henrique Gomes, Cristiano Cazita, Jussara M. Almeida, Virgílio Almeida, and Jr. Wagner Meira. /Characterizing a spam traffic/, in Proceedings of the 4th ACM SIGCOMM Conference on Internet measurement, pages 356-369, 2004.

*[5] *Jaeyeon Jung and Emil Sit, /An empirical study of spam traffic and the use of dns black lists/, in Proceedings of the 4th ACM SIGCOMM Conference on Internet measurement, pages 370-375, 2004.

*[6]* Lorrie Faith Cranor and Brian A. LaMacchia, /Spam!/ Commun. ACM, 41(8):74-83, 1998.

*[7]* Anirudh Ramachandran and Nick Feamster, /Understanding the network-level behavior of spammers/, SIGCOMM Comput. Commun. Rev., 36(4):291-302, 2006.
*
[8] *Jangbok Kim, Kihyun Chung, and Kyunghee Choi, /Spam filtering with dynamically updated url statistics/, IEEE Security and Privacy, 5(4), 2007.

*[9]* Carsten Willems, Thorsten Holz, and Felix Freiling, /CWSandbox: Towards automated dynamic binary analysis/, IEEE Security and Privacy, 5(2), 2007.

*[10]* Shobha Venkataraman, Subhabrata Sen, Oliver Spatscheck, Patrick Haffner, and Dawn Song, /Exploiting network structure for proactive spam mitigation/, in Proceedings of 16th USENIX Security Symposium, pages 1-18, 2007.

*[11]* Yi-Min Wang, Doug Beck, Xuxian Jiang, Roussi Roussev, Chad Verbowski, Shuo Chen, and Samuel T. King, /Automated web patrol with strider honeymonkeys: Finding web sites that exploit browser vulnerabilities/, in Proceedings of 13th Network and Distributed System Security Symposium, 2006.

*[12]* Niels Provos, Dean McNamee, Panayiotis Mavrommatis, Ke Wang, and Nagendra Modadugu, /The ghost in the browser analysis of web-based malware/, in Proceedings of the First USENIX Workshop on Hot Topics in Understanding Botnets, pages 4-4, 2007.

*[13]* Abhinav Pathak, Y. Charlie Hu, and Z. Morley Mao, /Peeking into spammer behavior from a unique vantage point/, in Proceedings of the First USENIX Workshop on Large-Scale Exploits and Emergent Threats, 2008.

*[14]* Jianwei Zhuge, Thorsten Holz, Xinhui Han, Jinpeng Guo, and Wei Zou, /Characterizing the IRC-based Botnet Phenomenon/, Technical Report Technical Report TR-2007-010, University of Mannheim, 2007.

*[15]* Joe Stewart, /Top Spam Botnets Exposed/, April 2008, *http://secureworks.com/research/threats/topbotnets/*.

*[16]* Joe Stewart, /Spam Botnets to Watch in 2009/, January 2009, *http://secureworks.com/research/threats/botnets2009/*.

*[17]* Robert Lemos, /McColo takedown nets massive drop in spam/, 2008, *http://www.securityfocus.com/brief/855*.

*[18]* Honeynet Project, /Know Your Enemy Lite: Proxy Threats – Port v666/, 2008, *http://honeynet.org/papers/proxy/index.html*.

*[19]* Websense Security Labs, /Streamlined anti-CAPTCHA operations by spammers on Microsoft Windows Live Mail/, 2008, *http://securitylabs.websense.com/content/Blogs/2907.aspx*.

*[20]* Felix Freiling, Thorsten Holz, and Georg Wicherski, /Botnet Tracking: Exploring a Root-Cause Methodology to Prevent Distributed Denial-of-Service Attacks/, in Proceedings of 10th European Symposium On Research In Computer Security, July 2005.

*[21]* Ion Androutsopoulos, John Koutsias, Konstantinos V. Chandrinos, George Paliouras, and Constantine D. Spyropoulos, /An evaluation of naive bayesian anti-spam filtering/, in Proceedings of the workshop on Machine Learning in the New Information Age, page 9, 2000.

*[22]* Mauro Andreolini, Alessandro Bulgarelli, Michele Colajanni, and Francesca Mazzoni, /HoneySpam: honeypots fighting spam at the source/, in Proceedings of the Steps to Reducing Unwanted Traffic on the Internet Workshop, pages 11-11, 2005.

*[23]* Luis von Ahn, Manuel Blum, Nicholas Hopper, and John Langford, /CAPTCHA: Using hard AI problems for security/, in Proceedings of the 2003 Eurocrypt Conference, 2003.

*[24]* Christian Kreibich, Chris Kanich, Kirill Levchenko, Brandon Enright, Geoffrey M. Voelker, Vern Paxson, and Stefan Savage, /On the spam campaign trail/, in Proceedings of the First USENIX Workshop on Large-Scale Exploits and Emergent Threats, 2008.

*[25]* Thorsten Holz, Moritz Steiner, Frederic Dahl, Ernst Biersack, and Felix Freiling, /Measurements and Mitigation of Peer-to-Peer-based Botnets: A Case Study on Storm Worm/, in Proceedings of First USENIX Workshop on Large-Scale Exploits and Emergent Threats (LEET’08), April 2008.

*[26]* IronPort Systems, Inc. SpamCop, February 2009, *http://www.spamcop.net/*.

*[27]* Yinglian Xie, Fang Yu, Kannan Achan, Rina Panigrahy, Geoff Hulten, and Ivan Osipkov, /Spamming Botnets: Signatures and Characteristics/, in Proceedings of SIGCOMM’08, pages 171-182, 2008.

*[28]* John P. John, Alexander Moshchuk, Steven D. Gribble, and Arvind Krishnamurthy, /Studying Spamming Botnets Using Botlab/, in Proceedings of NSDI’09, 2009.