Un canal caché est une technique d'évasion ou d'attaque utilisée afin de transférer des informations de manière secrète, non autorisée ou illicite. Un canal caché peut être utilisé afin d'extraire des informations d'une organisation ou afin d'intégrer des informations dans une organisation. Un canal caché d'Internet est l'équivalent numérique d'un attaché-case doté d'une poche secrète qu'un espion pourrait utiliser afin de faire passer des documents sensibles, en trompant les agents de sécurité, dans une zone sécurisée. Un attaquant peut utiliser des canaux cachés d'Internet afin de transmettre des documents sensibles sans que ces derniers ne soient détectés, en contournant cette fois-ci les mesures de sécurité du réseau et non les agents de sécurité. Et de la même façon qu'un espion peut utiliser cette même poche secrète afin de dissimuler une arme aux agents de sécurité lors de l'entrée dans une zone sécurisée, un attaquant peut utiliser des canaux cachés d'Internet afin de dissimuler une cyber-arme, par exemple le téléchargement d'un programme malveillant à partir d'un serveur externe sur un hôte au sein du réseau privé d'une organisation.
Connaissances de base relatives aux canaux cachés d'Internet
Les canaux cachés d'Internet peuvent utiliser des protocoles Internet conventionnels de façon non conventionnelle. Les extrémités de canal, à savoir un ordinateur infecté et l'ordinateur de contrôle et commande de l'attaquant, doivent utiliser le logiciel d'évasion ou d'attaque qui reconnaît et traite ces techniques non conventionnelles. Un utilisateur ou un programme malveillant peut installer ce logiciel, ou bien un attaquant peut installer le logiciel à l'aide d'un outil d'administration à distance (RAT). Les canaux cachés d'Internet sont à distinguer des tunnels chiffrés. Ils sont en mesure de transférer des informations sous forme de texte brut mais ne peuvent être détectés. Bien qu'il ne soit pas nécessaire d'utiliser des méthodes ou clés de cryptage, certains canaux cachés ont recours au cryptage ou à d'autres formes de brouillage des données.
Observons deux techniques. La première technique consiste à transmettre des informations de façon clandestine, un caractère à la fois, dans le champ identification (ID) de l'en-tête du Protocole Internet (IP). Des mises en œuvre courantes de cette technique multiplient les valeurs ASCII de chaque caractère par 256 afin de créer des valeurs de 16 bits pour ce champ ID. Afin de transmettre l'acronyme “ ICANN ”, l'expéditeur enverra 5 paquets IP avec le champ ID encodé tel que suit :
| Paquet | Valeur décimale ASCII | Champ ID de l'IP (multiplier par 256) |
| 1 | 71 (“I”) | 18176 |
| 2 | 67 (“C”) | 17152 |
| 3 | 65 (“A”) | 16640 |
| 4 | 78 (“N”) | 19968 |
| 5 | 78 (“N”) | 19968 |
L'ordinateur récepteur décode alors le champ ID de l'IP en divisant la valeur par 256. Ces valeurs ne sont pas suspicieuses et du fait que l'IP tolère la duplication des paquets, ce trafic échappe en règle générale à toute détection. C'est lent, mais discret.
Une seconde technique consiste à créer un canal caché qui utilise la charge utile d'un protocole, à savoir les informations transférées par un protocole entre ordinateurs. Cette technique ajoute des données à la demande d'ECHO et aux messages de réponse du Protocole ICMP (Internet Control Message Protocol). ECHO est généralement utilisé pour un service appelé ping. Étant donné que les gestionnaires de réseaux ont en règle générale recours à ping afin de voir si un hôte distant peut être atteint, il est fort probable que le trafic ICMP ECHO contourne les mesures de sécurité telles que les pare-feux.
| EN-TÊTE MAC (par exemple Ethernet) |
En-tête Protocole Internet (Informations relatives au contrôle du protocole) |
En-tête ICMP (Demande/Réponse d'ECHO) |
Charge utile de l'ICMP (Données transmises de façon clandestine) |
Si vous souhaitez en savoir davantage sur ces techniques, consultez l'IDFAQ de SANS sur les canaux cachés et Les canaux cachés sur l'ICMP [PDF, 740 KB].
À venir : les canaux cachés du DNS
Le protocole du système des noms de domaine (DNS) présente plusieurs caractéristiques rendant intéressante son utilisation à des fins de canal caché. Les pare-feux permettent au trafic du DNS de circuler dans les deux sens. On oublie ou sous-estime bien souvent le risque pour le DNS d'être utilisé en tant que canal caché ; de ce fait, les organisations ou fournisseurs de services Internet ne contrôlent pas toujours le trafic du DNS afin de détecter des signes d'attaques. Avant que les fonctions de connexion ou de péage ne soient assurées, le trafic du DNS est parfois transmis à l'Internet publique afin de résoudre les noms de domaine, le canal caché du DNS devenant ainsi utile afin de contourner ces contrôles d'accès.
Lors de notre prochain article de blog, nous examinerons comment les canaux cachés du DNS peuvent être utilisés afin d'exfiltrer les données, de contourner les péages ou de télécharger un programme malveillant.