Adresse Ip Lan / Wan

Bonjour *Jacques* :

Bonjour à toutes et et à tous

En faisant quelques recherches sur des process suspects, je
suis arrivé sur des sites :

http://www.testmyfirewall.com/dll-files/aucbpnp.html

http://www.testmyfirewall.com/dll-files/aucbpnp.html

qui affiche l'IP de Lan de ma machine, qui est pourtant derrière un
routeur un routeur avec blocage de tous les ports. Comment cela ce fait ce ?

Merci

Normal me semble-t-il.

Un système informatique «furtif» ("stealth") ne conciste pas à cacher
l'adresse IP mais à empêcher le système de répondre à toute sollicitation
en provenance d'internet ...

L'adresse IP d'un système steath correspond-t-elle à une adresse disponible
ou à un système connecté sur internet ? Pas moyen de le savoir... si c'est
stealth.

Le seul moyen de cacher l'adresse IP de votre système est de passer par un
proxy. À ce moment ce sera l'adresse IP du proxy mais pas la vôtre qui sera
annoncée...Mais à aucun moment un système connecté sera sans adresse IP.

Dans l'entête de mon message(comme dans celle du vôtre) l'adresse ip est
disponible aussi :

Votre post:
NNTP-Posting-Host: aaubervilliers-152-1-32-203.w83-114.abo.wanadoo.fr
83.114.46.203

Le mien:
NNTP-Posting-Host: 67.68.124.188

Vous pouvez essayer de "pigner" ou d'envoyer des paquets à mon adresse IP
il n'y aura pas de réponse.

Autre test chez Gibson Research et PCFlank:

www.grc.com
faire lelShielsd Up ...

www.pcflank.com
plusieurs tests...

:)

--
Claude LaFrenière [MVP] :-)

Communauté Microsoft - Aide en direct:
http://communautes-ms.akro-net.org
irc://irc.akro-net.org/mschat

Bonjour *Claude*
Claude LaFrenière wrote:

Bonjour *Jacques* :

Bonjour à toutes et et à tous

En faisant quelques recherches sur des process suspects, je
suis arrivé sur des sites :

http://www.testmyfirewall.com/dll-files/aucbpnp.html

http://www.testmyfirewall.com/dll-files/aucbpnp.html

qui affiche l'IP de Lan de ma machine, qui est pourtant derrière un
routeur un routeur avec blocage de tous les ports. Comment cela ce fait ce ?

Merci

Normal me semble-t-il.

Un système informatique «furtif» ("stealth") ne conciste pas à cacher
l'adresse IP mais à empêcher le système de répondre à toute sollicitation
en provenance d'internet ...

L'adresse IP d'un système steath correspond-t-elle à une adresse disponible
ou à un système connecté sur internet ? Pas moyen de le savoir... si c'est
stealth.

Le seul moyen de cacher l'adresse IP de votre système est de passer par un
proxy. À ce moment ce sera l'adresse IP du proxy mais pas la vôtre qui sera
annoncée...Mais à aucun moment un système connecté sera sans adresse IP.

Dans l'entête de mon message(comme dans celle du vôtre) l'adresse ip est
disponible aussi :

Votre post:
NNTP-Posting-Host: aaubervilliers-152-1-32-203.w83-114.abo.wanadoo.fr
83.114.46.203

Le mien:
NNTP-Posting-Host: 67.68.124.188


www.grc.com
faire lelShielsd Up ...

Tout d'abord, mes excuses pour le bégaiement.
Pour grc je l'ai fait, tout est vert (Je suis tes conseils). Ce que
révèle ce(s) site ce n'est l'adresse IP Wan mais l'adresse IP LAN (
196.168.101.57 pour moi)


. Pour moi je m'en fout, mais y a t-il un 'Truc' derrière ça ?

--
Cordialement,

Jacques.

Bonjour *Jacques* :

Tout d'abord, mes excuses pour le bégaiement.
Pour grc je l'ai fait, tout est vert (Je suis tes conseils). Ce que
révèle ce(s) site ce n'est l'adresse IP Wan mais l'adresse IP LAN (
196.168.101.57 pour moi)

? Minute... ma cervelle est plutôt au ralenti ce soir...

L'adresse IP du LAN (Local Area Network) apparaît
pas celle du Wan (Wide Area Network) ... ???
Y'a un bout que je ne saisi pas...

Franchement je sais pas.Ça sort de mes compétences.

Par contre Jean-Claude Bellamy qui est (entre autre MVP windows server)
pourrait donner l'heure juste là-dessus...

Je vais voir si je peux obtenir son avis (ou celui de quelqu'un d'autre
plus au fait des réseaux que moi et aussi des question de sécurité
JacK[MVP] par exemple ou Jean-Marc[MVP] ...)

Mettons ça sur la glace et demain on se fera expliquer.

Donc la suite demain sur ce forum et sur le même fil de discussion.

:)
--
Claude LaFrenière [MVP] :-)

Communauté Microsoft - Aide en direct:
http://communautes-ms.akro-net.org
irc://irc.akro-net.org/mschat

Bonjour *Claude LaFrenière* :

Bonjour *Jacques* :

[5 lignes citées masquées]

? Minute... ma cervelle est plutôt au ralenti ce soir...

L'adresse IP du LAN (Local Area Network) apparaît
pas celle du Wan (Wide Area Network) ... ???
Y'a un bout que je ne saisi pas...

Le réseau (de l'entreprise je suppose) est aussi relié à internet,
L'adresse IP est celle du serveur du LAN ou d'un autre ordinateur relié au
LAN mais pas un serveur du LAN (mettons un serveur pour le site web de la
compagnie différent du serveur local...) ???? Euh... :-(

Je suis sur la bonne piste ou je me met le doigt dans l'oeil ???
J'arrête maintenant avant de me ridiculiser totalement :-D))))

À demain pour la suite :-)))

--
Claude LaFrenière [MVP] :-)

Communauté Microsoft - Aide en direct:
http://communautes-ms.akro-net.org
irc://irc.akro-net.org/mschat

Bonjour,
Claude LaFrenière wrote:

Bonjour *Claude LaFrenière* :
[...]

Je suis sur la bonne piste ou je me met le doigt dans l'oeil ???

Ca je ne sais pas, je n'aurais pas posé la question sinon.

J'arrête maintenant avant de me ridiculiser totalement :-D))))

et surtout de te faire mal ;-) ,

À demain pour la suite :-)))
OK, Qui fait chauffer les glaçons ?

--
Cordialement,

Jacques.

Bonjour,
Jacques wrote:

[...]

Suite à mon post un peu 'brumeux', et après vérification,

Les sites :

http://www.auditmypc.com/process/aucbpnp.asp

http://www.testmyfirewall.com/dll-files/aucbpnp.html

affichent bien l'adresse IP locale (10.x.x.x, 192.168.x.x, etc),
même si l'on est derrière un pare-feu (En l'occurence un routeur +
McAfee 8.0 en ce qui me concerne).

Le premier site indique qu'ils utilisent Java pour cela.

En désactivant Java dans IE, cela n'a pas d'effet,
Par contre avec Firefox l'adresse Lan n'est plus vu.

Si cela inspire quelqu'un(e) je suis preneur

--
Cordialement,

Jacques.

[...]

Le premier site indique qu'ils utilisent Java pour cela.

En désactivant Java dans IE, cela n'a pas d'effet,
Par contre avec Firefox l'adresse Lan n'est plus vu.

Si cela inspire quelqu'un(e) je suis preneur

Bonjour,

Je ne suis pas un expert mais il me semble que c'est l'applet JAVA
qui lit votre IP en interne sans la communiquer à l'extérieur (elle
n'est visible que par vous et ne sort pas de votre ordinateur) :
astuce souvent utilisée par certains sites pour faire croire au futur
consommateur qu'il est en danger et donc qu'il faut acheter le
produit proposé...

Je peux me tromper...

Cordialement.

--
Pour me répondre enlever DoubidoU de mon adresse...

Un bon outil dans la main d'un mauvais ouvrier ne vaut pas un mauvais
outil dans celle d'un bon...

Bonsoir,
Sabrem JORAM wrote:

[...]

Le premier site indique qu'ils utilisent Java pour cela.

En désactivant Java dans IE, cela n'a pas d'effet,
Par contre avec Firefox l'adresse Lan n'est plus vu.

Si cela inspire quelqu'un(e) je suis preneur

Bonjour,

Je ne suis pas un expert mais il me semble que c'est l'applet JAVA qui
lit votre IP en interne sans la communiquer à l'extérieur (elle n'est
visible que par vous et ne sort pas de votre ordinateur) : astuce
souvent utilisée par certains sites pour faire croire au futur
consommateur qu'il est en danger et donc qu'il faut acheter le produit
proposé...

Je peux me tromper...

Cordialement.

Non cela semble être dans la logique de ces sites, faire peur à
l'utilisateur lambda. Cela dit c'est Java et non les Applets Java qui
semblent être utilisé.

--
Cordialement,

Jacques.

Bonjour Jacques,

Ne te fais pas avoir, c'est un truc de script (en fait d'applet Java), ce
site n'a pas réellement accès à ton adresse locale, c'est un script lancé en
local sur ton poste qui t'affiche cette adresse, ce n'est pas une
vulnérabilité de ton routeur, ni de ton navigateur. Pour t'en assurer, tu
peux désactiver le scripting dans ton navigateur et le site n'affichera plus
ton adresse locale.

<note personnelle>
Même s'ils pouvaient connaître l'adresse locale, ce ne serait pas un
problème de sécurité dans le sens que les classes d'adresses réservées aux
réseaux locaux ne sont pas routables sur Internet. De plus, des milliers de
machines dans le monde peuvent avoir la même adresse.... aucune forme
d'attaque possible selon moi, basée uniquement sur cette information.
</note personnelle>

Cette compagnie tente d'inciter ses visiteurs à acheter leurs produits par
des méthodes quelque peu questionables...

J'ai voulu investiguer un peu plus loin la manière dont ils procèdent pour
réussir à faire afficher l'IP local dans le navigateur, j'ai donc analysé
sommairement le code source de la page. Ils ont mis quelques barrières pour
que le tour de passe-passe ne soit pas évident à distinguer. (Il est à noter
que j'ai d'abord vérifier dans l'ensemble des variables d'environnement
disponibles sur les serveurs web que l'IP locale n'apparaîsse pas, si ca
avait été le cas, le navigateur aurait été le coupable... mais bon, ce n'est
pas le cas). De plus, j'ai vérifié sommairement dans les définitions du NAT
(Network Adress Translation), technologie utilisée par la plupart des
routeurs, que l'IP locale n'était pas exposée (je n'en doutais pas beaucoup
mais...), la réponse est non, elle n'est pas exposée au niveau de la couche
réseau du modèle OSI, il faut donc remonter à la couche application (d'où
mon doute par rapport au navigateur envoyant cette info au serveur web dans
le protocol HTTP). Ce n'est pas le navigateur lui-même, c'est donc
certainement un script un une applet quelconque.

Donc on exclu le NAT (routeur) et le protocol HTTP.

Il est a noter que j'utilise un outil maison très simple pour mes tests,
c'est un petit programme VB6 basé sur des appels aux fonctions InternetOpen,
InternetOpenUrl et InternetReadFile qui me permet de télécharger le contenu
d'une page web dans un fichier texte ou binaire sur le disque dur, tout en
étant assuré qu'aucun autre fichier ne soit téléchargé par le navigateur
(liens, images, sources de script, css, etc) et surtout qu'aucun script ne
soit exécuté en local.

Je pars donc de la page:
http://www.testmyfirewall.com/dll-files/aucbpnp.html

Je télécharge le fichier et analyse bièvement son contenu.
À l'endroit ou, dans un navigateur avec scripting activé, on voir apparaître
l'adresse IP local, dans le code source, on retrouve la ligne javascript
suivante:

<script
type="text/javascript">document.write('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')</script>

Comme ca c'est illisible, mais le petit "u" devant chaque code hexadécimal
de 2 octets nous permet facilement de déduire qu'il s'agit simplement
d'Unicode (cf:
http://searchsmb.techtarget.com/sDefinition/0,290660,sid44_gci213250,00.html)

Je me suis donc fait un autre petit outil maison qui m'a permis de traduire
tout ca (en VB, avec la fonction ChrW), la partie en Unicode, qui est
affichée par la fonction JS document.write est donc la suivante:

<iframe src="/adt.asp" width="200" height="80" marginwidth="1"
marginheight="1" align="top" scrolling="no" frameborder="0">Patch Management
Software
</iframe>

Il s'agit donc d'un IFRAME HTML qui ouvre le lien suivant:
http://www.testmyfirewall.com/adt.asp, je m'empresse donc de le télécharger
et de voir ce que ce script asp peut bien retourner. Le contenu de ladite
page est donc le suivant:

<script
type="text/javascript">document.write('u003cu0061u0070u0070u006cu0065u0074u0020u0077u0069u0064u0074u0068u003du0022u0031u0022u0020u0068u0065u0069u0067u0068u0074u003du0022u0031u0022u0020u0063u006fu0064u0065u003du0022u0061u0075u0064u0069u0074u006du0079u0070u0063u002eu0063u006cu0061u0073u0073u0022u003eu000du000au003cu002fu0061u0070u0070u006cu0065u0074u003e')</script>

Encore une fois le même truc, mais traduit:

<applet width="1" height="1" code="auditmypc.class">
</applet>

Ahh... Ha!, comme dit une publicité d'une chaîne de pharmacies populaire au
Québec ;-), c'est donc une classe java qui effectue ce petit travail...

Je la télécharge donc, l'ouvre dans un éditeur hexadécimal où on voit
rapidement, en clair, un appel à la fonction :
getLocalAddress().getHostAddress() de l'object socket.... C'est cette
fonction Java qui est exécutée en local sur le PC. J'ai ensuite utilisé DJ
Java Decompiler pour voir le source dans le détail (je sais sur la limite de
la légalité.... mais je ne post pas le source ici... et cette compagnie a
des techniques de marketing pour le moins douteuses elle-aussi). Une analyse
un peu plus approfondie du code de cet applet m'indique donc qu'une fois
l'adresse locale obtenue, elle est retournée en paramètre au serveur à page
asp suivante: http://www.testmyfirewall.com/audit.asp via un paramètre GET
(simplement appellé "a")du protocole HTML!!! J'ai donc perdu tout ce temps,
une simple analyse des logs du routeur aurais pu montrer que l'IP locale est
envoyée au serveur via une applet... Probablement que ce script met à jour
une base de données d'audit avec l'ID de la session et l'IP local... C'est
de la spéculation ici mais quand on appelle la page asp en lui passant un
paramètre (par exemple:
http://www.testmyfirewall.com/audit.asp?a2.168.0.5) on est
automatiquement retourné à la même page mais avec a=DONE, donc une
confirmation que quelque chose a été mis à jour je présume.

Je confirme donc et je signe, c'est simplement une arnaque pour inciter à
acheter leur produit (que je n'ai jamais essayé en passant, je ne peux donc
porter de jugement sur sa qualité).

Merci et désolé pour la longueur du post, mais cette question a vraiment
piqué ma curiosité... ;-)

Greg





"Jacques" <jacques.le-goc_ENLEVER@wanadoo.fr> wrote in message
news:OzDPdRvOFHA.3704@TK2MSFTNGP12.phx.gbl...

Bonjour à toutes et et à tous

En faisant quelques recherches sur des process suspects, je
suis arrivé sur des sites :

http://www.testmyfirewall.com/dll-files/aucbpnp.html

http://www.testmyfirewall.com/dll-files/aucbpnp.html

qui affiche l'IP de Lan de ma machine, qui est pourtant derrière un
routeur un routeur avec blocage de tous les ports. Comment cela ce fait ce
?



Merci
--
Cordialement,

Jacques.

Bonsoir Pascal !

Je ne suis pas un expert mais il me semble que c'est l'applet JAVA qui lit
votre IP en interne sans la communiquer à l'extérieur (elle n'est visible
que par vous et ne sort pas de votre ordinateur) :

Tout à fait. C'est plus souvent du JAVA SCRIPT. Ce script est très facile à
trouver sur le NET.

--
Cordialement

========== Jean-Jacques V.
MVP Microsoft
contact_news@jjv.fr