24/10/01
Après
les ordinateurs, les routeurs zombies aux ordres des pirates
En septembre 2000, nous publiions
un article intitulé "recrudescence
des ordinateurs zombies aux ordres des pirates"
sur la base d'un rapport de l'organisme américain
Cert
(Computer emergency response team) qui constatait cette
augmentation. Un an et un mois plus tard, le même
centre de coordination au sein de l'entité de recherche
de l'université américaine Carnegie Mellon
rend publique la version 1.0 d'un livre
blanc sur les tendances exploitées par les
auteurs d'attaques de déni de service. Dans ce
texte, une place importante est accordée aux dénis
de service distribués. Pour information, une étude
de l'Université de Californie présentait
un panorama inquiétant de ces attaques (article).
"404 Error": votre site ne répond plus.
Voici l'effet type que produit un déni de service
(DoS) lorsqu'il est provoqué sur le serveur supportant
le site web. Lorsqu'elle est distribuée (DDoS),
l'attaque de déni de service est initiée
à partir de plusieurs postes connectés à
Internet. Ce n'est donc plus un seul flux de paquets qui
parvient à l'ordinateur visé, mais autant
qu'il y a de machines exploitées et synchronisées
entre elles. Celles-ci forment alors ce que les experts
en sécurité logique appellent un réseau
DDoS. Lors du février noir de l'an 2000, un pirate
jeune de 15 ans avait utilisé cette méthode
pour attaquer des sites très en vue comme Yahoo.com
et Ebay.com.
L'inondation
du serveur par un flux de paquets IP
Selon
le Cert, les premières vagues d'attaques de DoS
ont eu lieu en 1999, lors de la distribution de programmes
capables de les éxécuter de façon
évoluée. Mais en 1997, il existait déjà
plus d'une centaine de moutures rudimentaires de ces outils
disponibles dans les archives de scripts mIRC, le logiciel
client IRC (Internet relay chat) phare sous Windows pour
dialoguer en direct sur des forums. Leurs méthodes
pour provoquer de la déconnexion d'un internaute
au gel complet d'un serveur: envoyer des paquets TCP,
UDP ou ICMP (Ping Flood) pour littéralement "flooder"
la cible, c'est à dire l'inonder, en bon français.
Deux principales options accompagnent la diffusion de
ces paquets. Soit ils arrivent en très grand nombre
et dépassent les capacités de traitement
de la machine. Il s'agit alors bel et bien d'une inondation
par un flux IP. Soit leurs en-têtes sont modifiées
pour provoquer intentionnellement une erreur lors de leur
réception par certains environnements d'exploitation,
et l'on parle plutôt d'exploitation de failles.
Souvent, rapporte le Cert, les en-têtes sont également
bidouillées de façon à faire disparaître
tout ce qui pourrait identifier l'auteur de l'attaque.
Le "spoofing", par exemple, remplace l'adresse
IP qui signe la source des paquets par celle d'une autre
machine connectée au réseau.
En 2001, explosion des DDoS sous
forme automatisée
Jusqu'à cette année, les attaques de DoS
et de DDoS étaient essentiellement pratiquées
à la main par les pirates mal intentionnés.
Mais depuis l'an dernier, plusieurs vers embarquant des
agents DDoS ont fait leur apparition, en grande partie
propagés par la messagerie lors de l'ouverture
de pièces jointes. Tel est le cas de liOn
déployé à partir de février
2001.
Or, la dernière tendance de ces vers est à
l'automatisation. A travers CodeRed (lire notre dossier
virus), l'un des premiers à se propager sans
intervention humaine, des dénis de service distribués
ont été provoqués sur une adresse
précise à partir des ordinateurs infectés.
D'autres DoS isolés sont survenus sur des systèmes
présentant certaines conditions, tout comme pour
le plus récent Nimda. Or, si celui-ci avait tout
de suite exploité sa force de frappe pour lancer
une série d'attaques de DDoS, les dégâts
provoqués auraient été faramineux..
En
2002, routeurs détournés pour attaques de
masse ?
A part l'automatisation
de plus en plus présente, et qui rend encore plus
difficile l'identification du coupable, le livre blanc
du Cert observe d'autres tendances encore plus inquiétantes.
Pour mémoire, Code Red attaquait également
les serveurs web Microsoft IIS installés sur certains
routeurs Cisco. Or, l'organisme dit avoir constaté
une augmentation dans l'utilisation détournée
de ces échangeurs des autoroutes de l'information
par des intrus. Plus grave, des rapports circulant dans
des mailing lists font aujourd'hui état de leur
exploitation à distance pour lancer des attaques
de dénis de service. Et là, le Cert s'inquiète
des conséquences de discussions en cours entre
pirates quant à l'attaque par des routeurs de grands
équipements protocolaires de routage qui composent
le maillage essentiel du réseau. Des discussions
qui ont parfois trouvé pignon sur rue dans des
conférences publiques telles que le dernier DefCon
de Las Vegas et les forums de Black Hat.
Mais ce n'est pas là la seule et dernière
tendance constatée par le Cert. De surcroît,
l'organisme observe que le délai se réduit
entre la découverte de la faille et son exploitation
à grande échelle. Du reste, certaines attaques
sont souvent gardées sous silence par un groupe
de hackers pour des raisons de compétition avec
les autres groupes, et apparaîssent d'ores et déjà
répandues quand elles sont découvertes par
les experts en sécurité logique. Donc, plus
que jamais, appliquez les consignes de sécurité
essentielles. Pour les rappeler: mise en place d'une politique
interne et externe, installation d'un système avec
tous ses composants (pare-feux, antivirus, surveillance
et détection d'intrusion en temps réel...),
mise à jour de ce système et application
régulière des correctifs sur les failles
des logiciels utilisés.
|