Thursday, June 17, 2010

OpenOffice en mode pare-feu : OOwall

Début avril 2009, lors de la création du projet de loi Hadopi, Christine Albanel, notre (ex) ministre de la culture nous apprenait que son ministère était protégé par le pare-feu OpenOffice. A l'époque cet événement a fait un gros buzz sur le net, car des millions de personnes utilisent la suite bureautique OpenOffice, mais personne ne savait comment l'utiliser comme pare-feu (a part Christine).


Depuis hier, la technique utilisée par le ministère de la culture (joke inside) a été révélée par Pierre Chifflier (alias Pollux), un expert en sécurité français.

Pour faire fonctionner ce pare-feu next-gen, on a besoin de :
- OpenOffice qui permet de choisir les ports à filtrer et de générer en temps réel des graphiques récapitulant les paquets bloqués et ceux autorisés
- python-uno pour manipuler OpenOffice
- nfqueue afin de filtrer les paquets en langage de haut niveau
- netfilter

Ci-dessous, un schéma montrant les relations entre les différents composants de ce pare-feu :
Sur le schéma, on peut remarquer une communication client-serveur XML-RPC, elle permet aux outils de la partie "pare-feu" exécutés en root, de communiquer avec la Console d'administration sans que cette dernière ne soit elle-même exécutée en root.

Ci-dessous, un aperçu de l'interface "d'administration" du pare-feu OpenOffice :



Pour ceux qui souhaitent avoir plus d'informations et télécharger les sources d'OOwall, cela se passe sur le blog de Pollux.