Bombes ANSI (ANSI Bomb)

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

ANSI (American National Standard Institut)

Les ANSI bombs (Bombes ANSI) utilisent des techniques de reprogrammation d'un clavier utilisé en mode console ANSI. Ces attaques peuvent sembler complètement désuettes aujourd'hui mais peuvent viser une attaques très ciblée vers un centre de calcul précis. Les deux dernières Bombes ANSI découvertes remontent à janvier 2003 ("Readme ANSI Bomb" et "Die ANSI Bomb").

Le fichier ansi.sys :
Ansi.sys est le nom d'un pilote de périphériques (driver), sous le système d'exploitation de micro-ordinateurs "Microsoft Ms-Dos", qui permet de conformer l'affichage, sur un moniteur, à un standard ANSI. Ce standard ANSI spécifie une série (un ensemble - un jeux) d'ordres réservés appelés "séquences d'escape" (car toutes ces commandes commencent par le caractère "esc" ("escape" - "échappement") - la touche généralement en haut à gauche de votre clavier) qui provoquent un comportement particulier de l'affichage sur le moniteur.

Clavier - Touche Esc (ou Escape, ou Echap)

Ce caractère est, dans la Table ASCII des caractères, le caractère ASCII 27 (1Bh - 1B en hexadécimal).

Par exemple, une séquence d'escape provoque l'effacement complet de l'écran et retour du point d'insertion en position "home" (ligne 0 position 0). Elle s'écrit ESC[2J.

En général, les programmes DOS n'utilisent pas les séquences d'escape ANSI car ce code est plus lent que celui inclus dans le BIOS. Seuls certains programmes DOS qui ont besoins d'être portés sur plusieurs machines et d'avoir une complète compatibilité sur plusieurs périphériques requièrent l'usage du pilote ANSI.SYS dans le fichier de configuration de l'ordinateur, le fichier CONFIG.SYS.

Windows n'utilise pas du tout ANSI.SYS.

Bombes Ansi
Les bombes ANSI sont des techniques de re-programmation de certaines touches du clavier, lorsque le couple clavier - écran est utilisé en mode console ANSI, afin que l'appui sur certaines touches provoque une action inattendue (qui peut être aussi anodine que l'affichage d'un caractère graphique à la place du caractère attendu) mais qui, quelquefois, sont catastrophiques - ainsi certaines bombes ANSI reprogramment par exemple la touche Entrée du clavier pour que l'appui sur celle-ci provoque un "format c:" c'est-à-dire l'effacement total du disque dur.

Même si ces techniques sont anciennes (les drivers, dont le driver ansi.sys, sont apparus dans la version 2.0 de MS-DOS (PC-DOS) en mars 1983 et les deux dernières Bombes ANSI découvertes remontent à janvier 2003) et bien connues, il y a encore de nombreuses sociétés qui utilisent des applications semi-graphique en mode MS-DOS avec usage du couple clavier / écran en mode console ANSI ce qui peut nécessiter le chargement en mode Dos du fichier "ansi.sys" dans le fichier de commandes "config.sys".

La transmission de ces "chaînes de caractères" se fait de manière cachée à l'intérieur de documents de type texte, servant de cheval de Troie embarquant une charge active, mais la réception aujourd'hui d'une telle bombe dans un document ou un e-mail sous Windows ne provoquerait aucun dégât. Toutefois, si le document est "imprimé" à l'écran en mode "caractère" le risque existe.

Le pilote (fichier) ANSI.SYS est disponible en standard dans :

• Ms-Dos 5.0 et tous les suivants
  
• Windows 95
  
• Windows 98
  
• Windows NT
  
• Windows 2000
  

• Pour charger cette commande dans Windows 95 ou Windows 98, config.sys doit avoir la ligne de commande :
  device=c:\windows\command\ansi.sys
  
  
• Pour charger cette commande dans Windows 3.x ou Windows NT, config.sys doit avoir la ligne de commande :
  device=c:\dos\ansi.sys