Alertes de sécurité en coursDiscussionDiscussion
Faire un lienLien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique préventive - Décontamination - Antivirus - Protection - Protection de la Vie Privée


Bombes ANSI

Dernière mise à jour : 2017-03-16T00:00 - 16.03.2017 - 00h00
2017-03-16T00:00 - Assiste - Pierre Pinard - Mise à jour

Bombes ANSI (ANSI Bomb)

Table des matières (montrer / masquer)

Bombes ANSI - Bombes ANSI (ANSI Bomb) Bombes ANSI (ANSI Bomb)Ecrire à Assiste.com - Bombes ANSI - Bombes ANSI (ANSI Bomb) Bombes ANSI

ANSI (American National Standard Institut)

Les ANSI bombs (Bombes ANSI) utilisent des techniques de reprogrammation d'un clavier utilisé en mode console ANSI. Ces attaques peuvent sembler complètement désuettes aujourd'hui mais peuvent viser une attaques très ciblée vers un centre de calcul précis. Les deux dernières Bombes ANSI découvertes remontent à janvier 2003 ("Readme ANSI Bomb" et "Die ANSI Bomb").

Le fichier ansi.sys :
Ansi.sys est le nom d'un pilote de périphériques (driver), sous le système d'exploitation de micro-ordinateurs "Microsoft Ms-Dos", qui permet de conformer l'affichage, sur un moniteur, à un standard ANSI. Ce standard ANSI spécifie une série (un ensemble - un jeux) d'ordres réservés appelés "séquences d'escape" (car toutes ces commandes commencent par le caractère "esc" ("escape" - "échappement") - la touche généralement en haut à gauche de votre clavier) qui provoquent un comportement particulier de l'affichage sur le moniteur.

Clavier - Touche Esc (ou Escape, ou Echap)
Clavier - Touche Esc (ou Escape, ou Echap)

Ce caractère est, dans la Table ASCII des caractères, le caractère ASCII 27 (1Bh - 1B en hexadécimal).

Par exemple, une séquence d'escape provoque l'effacement complet de l'écran et retour du point d'insertion en position "home" (ligne 0 position 0). Elle s'écrit ESC[2J.

En général, les programmes DOS n'utilisent pas les séquences d'escape ANSI car ce code est plus lent que celui inclus dans le BIOS. Seuls certains programmes DOS qui ont besoins d'être portés sur plusieurs machines et d'avoir une complète compatibilité sur plusieurs périphériques requièrent l'usage du pilote ANSI.SYS dans le fichier de configuration de l'ordinateur, le fichier CONFIG.SYS.

Windows n'utilise pas du tout ANSI.SYS.

Bombes Ansi
Les bombes ANSI sont des techniques de re-programmation de certaines touches du clavier, lorsque le couple clavier - écran est utilisé en mode console ANSI, afin que l'appui sur certaines touches provoque une action inattendue (qui peut être aussi anodine que l'affichage d'un caractère graphique à la place du caractère attendu) mais qui, quelquefois, sont catastrophiques - ainsi certaines bombes ANSI reprogramment par exemple la touche Entrée du clavier pour que l'appui sur celle-ci provoque un "format c:" c'est-à-dire l'effacement total du disque dur.

Même si ces techniques sont anciennes (les drivers, dont le driver ansi.sys, sont apparus dans la version 2.0 de MS-DOS (PC-DOS) en mars 1983 et les deux dernières Bombes ANSI découvertes remontent à janvier 2003) et bien connues, il y a encore de nombreuses sociétés qui utilisent des applications semi-graphique en mode MS-DOS avec usage du couple clavier / écran en mode console ANSI ce qui peut nécessiter le chargement en mode Dos du fichier "ansi.sys" dans le fichier de commandes "config.sys".

La transmission de ces "chaînes de caractères" se fait de manière cachée à l'intérieur de documents de type texte, servant de cheval de Troie embarquant une charge active, mais la réception aujourd'hui d'une telle bombe dans un document ou un e-mail sous Windows ne provoquerait aucun dégât. Toutefois, si le document est "imprimé" à l'écran en mode "caractère" le risque existe.

Le pilote (fichier) ANSI.SYS est disponible en standard dans :

  • Ms-Dos 5.0 et tous les suivants
  • Windows 95
  • Windows 98
  • Windows NT
  • Windows 2000
Pour charger ce "device-driver" il faut utiliser une commande "device" ou "devicehigh" dans le fichier CONFIG.SYS, l'un des fichiers de personnalisation d'une installation, et qui permet de charger les pilotes des périphériques de l'ordinateur et de configurer MS-DOS.
  • Pour charger cette commande dans Windows 95 ou Windows 98, config.sys doit avoir la ligne de commande :
    device=c:\windows\command\ansi.sys

  • Pour charger cette commande dans Windows 3.x ou Windows NT, config.sys doit avoir la ligne de commande :
    device=c:\dos\ansi.sys

Exemple de fichier CONFIG.SYS que vous pouvez trouver sur votre ordinateur (celui-ci est typique de Windows 98)

DEVICE=C:\WINDOWS\HIMEM.SYS
DEVICE=C:\WINDOWS\EMM386.EXE
BUFFERS=35,0
FILES=99
DOS=UMB
DOS=HIGH
FCBS=48,0
DEVICEHIGH=C:\WINDOWS\SETVER.EXE
DEVICEHIGH=C:\WINDOWS\COMMAND\ANSI.SYS
DEVICEHIGH=C:\CDROMDRV\D011V109.SYS /D:MSCD000
DEVICE=C:\WINDOWS\COMMAND\display.sys con=(ega,,1)
Country=002,850,C:\WINDOWS1\COMMAND\country.sys
Bombes ANSI - Bombes ANSI (ANSI Bomb)

Bombes ANSI - RessourcesRessourcesBombes ANSI - RessourcesBombes ANSI

Bombes ANSI - FAQFAQBombes ANSI - FAQBombes ANSI