Le Guide Pratique du Paint-Testing

Imagem de capa

Cette semaine, Infauxsec News part en reportage spécial pour découvrir le monde des paint-testers, ces experts en sécurité informatique spécialisés en tests d’intrusion avec Microsoft Paint. À cette occasion, Jean-Vincent, paint-testeur de renom, vous dévoile ses techniques les plus secrètes permettant de déjouer les meilleurs systèmes de sécurité au monde.

Techniques de Hameçonnage avancées

Paint n’a plus de secret pour Jean-Vincent, capable de réaliser en un tour de main des faux d’une qualité exemplaire pour ses campagnes de hameçonnage. « Le paint-testing me fait gagner un temps considérable. Avant, je perdais mon temps a réecrire des CSS bancales pour essayer de reproduire fidèlement le regarde-et-sens1 d’une interface, mais depuis que j’ai adopté le Paint-testing, mon taux de succès crève le plafond, et pas à cause d’un débordement d’entier. »

En utilisant Paint, Jean-Vincent est en mesure d’intégrer des composants subliminaux à l’image qui influencent directement la victime. Pour vous donner un exemple, celui-ci a bien voulu fournir un des emails de hameçonnage qu’il a utilisés lors d’un paint-test externe chez PwC France. La clé réside ici dans le très subtil message injecté sur la page qui incite l’utilisateur à donner son mot de passe.

Phishing gmail

Injection de code avec Piet

« Avant, pour gérer mon botnet, j’avais assez de mal à envoyer mes commandes dans des canaux secrets indétectables. Maintenant, je n’ai plus qu’à dessiner mes programmes en Piet sur Paint et à uploader mes images sur Twitter, pour y accéder depuis les serveurs que je contrôle. Ça présente également l’avantage que personne ne connaît ce langage, donc personne ne sait déchiffrer mon code. »

Impressionnés encore une fois, nous avons demandé à Jean-Vincent de nous fournir un exemple de code en Piet. Hélas, ce langage est tellement compliqué qu’il n’a pas été en mesure de nous fournir un code fonctionnel. L’illustration représente donc le code d’un bonjour monde2 en Piet.

Bonjour monde

Recherche des érodés dans Windows

Jean-Vincent nous explique maintenant sa technique pour découvrir des érodés, ces fameuses failles informatiques utilisées par les pirates initiés.

On commence avec un screenshot classique d’un environnement Windows 10 :

Windows 10 fraîchement installé

Jean-Vincent utilise un programme de hacking peu connu, dont il a appris le maniement par l’intermédiaire de Maître Gimp. Il se rend dans le menu Filter/Generic/Erode, et l’exécute une demi-douzaine de fois. Et voilà ! Il est en possession d’une poignée de z’érodés pour Windows 10 !

Six nouvelles érodés dans Windows 10

De nombreuses autres possibilités

La semaine prochaine, nous vous ferons découvrir le monde merveilleux du pain-testing, l’art d’exploiter les vulnérabilités de sécurité avec des chaînes et un fouet.

Crédits

Inspiré d’une idée de 86e443c223347f8e33e5223166817c5603b2ccc6c982505483962f8885ae200b.

  1. Traduction officielle de l’ANSSI de l’anglais « look and feel »

  2. Traduction officielle de l’ANSSI de l’anglais « hello world »