TP Intrusion Windows

Préparation de la VM

Expérimentations

Avec un live-CD Ubuntu

Je vais tenter d’accéder au fichier précédemment créé à l’aide d’un live-cd, qui peut être vu comme un OS portable d’Ubuntu.

Je démarre donc ma VM sur le CD d’installation d’Ubuntu 22.04 téléchargé sur le site officiel. Et sélectionne Try or Install Ubuntu, puis sur Essayer Ubuntu (Try Ubuntu en Anglais)

Ensuite, avec l’explorateur de fichiers j’accède au disque où est installé Windows, avec le bouton [+ Autres Emplacements]. Le disque apparait, mais n’est pas encore monté, un simple clic dessus aura pour effet de le monter.

J’accède donc au dossier Bureau du compte « Test » et je remarque directement que les données sont accessibles sans restriction, j’ouvre donc mon fichier txt. Je remarque d’ailleurs que le fichier peut être modifié sans soucis.

Le fichier modifié à l’aide du CD d’Ubuntu apparait normalement sur Windows, comme s’il avait été modifié et enregistré avec le bloc-notes classique :

Réinitialisation du mot de passe

Je vais tenter de réinitialiser le mot de passe de l’utilisateur « Test », selon le guide de lecrabeinfo.net. J’ai choisi d’utiliser la méthode nommée « utilman.exe », car c’est celle qui ressemble le plus à ce qui est montré dans la vidéo, le fichier utilman.exe se trouve dans le dossier system32 de Windows.

Cette méthode consiste à modifier le fichier exécutable en charge des paramètres d’accessibilité, utilman.exe par une invite de commande cmd.exe. Ce changement peut être fait soit directement dans l’explorateur de fichiers de Windows ou par d’autres moyens, je vais donc faire ce changement par le biais du live-cd d’Ubuntu.

Je renomme alors Utilman.exe en Utilman.exe.bak pour avoir une sauvegarde du fichier original. Je duplique alors le fichier cmd.exe et le renomme Utilman.exe. Cela peut être fait en 2 commandes dans le terminal Ubuntu (dans le dossier system32) :

• mv Utilman.exe Utilman.exe.bak — Renomme le fichier original
• cp cmd.exe Utilman.exe — Créé une copie de cmd.exe et le renomme

Maintenant, le fait de cliquer sur l’icone des paramètres d’accessibilité va ouvrir une invite de commande en tant qu’administrateur.

Pour changer le mot de passe, il suffit maintenant de faire la commande suivante :

• net user "nom_compte_utilisateur" nouveau_mot_de_passe

Je modifie alors le mot de passe par un plus sécurisé, ce qui me permet de me connecter à la session sans soucis.

Conclusion

Pour conclure, je viens de découvrir que Windows stocke les fichiers des utilisateurs dans des dossiers, lisibles en clair, que le compte ait un mot de passe ou non. Ce qui posse un problème de sécurité plutôt important, plus en particulier sur les appareils portables.

Mais il existe des moyens de se protéger de ce type d’attaques, la plus répandue et efficace selon moi est BitLocker, inclus dans les versions Pro et Entreprise de Windows, qui permet de chiffrer entièrement le disque où Windows est installé, si le disque est branché sur une autre machine, il faudra donc utiliser la clé de récupération normalement sauvegardée au moment de l’activer.

Un autre moyen de se protéger, moins efficace dans la mesure où il suffit de démonter l’ordinateur et récupérer de disque pour contourner la protection, serait de désactiver le démarrage à partir de périphériques externes (et de verrouiller le BIOS)

Pour ce qui est du problème sur d’autres systèmes d’exploitation j’ai installé Ubuntu à partir de l’ISO utilisé depuis le début de ce TP et redémarré sur le mode live du cd d’installation et le résultat est le même : les fichiers sont visibles et modifiables