Sécurité
Etat de l'art du hacking "up-to-date", selon le Cert CC
Auteur de nombreux rapports de qualité depuis 1988, la Computer Emergency Response Team dévoile six grandes tendances à la mode côté prise d'assaut des systèmes. Inquiétant, mais pratique pour s'informer et se prémunir. (Jeudi 11 avril 2002)
     

Lire nos questions/réponses sur les failles, les virus

L'année 2002 promet d'être mouvementée sur le terrain des atteintes à la sécurité des systèmes d'informations. Dans un rapport daté du 8 avril, la Computer Emergency Response Team, dépendant de l'institut d'ingénierie logicielle de l'université de Carnegie Mellon aux Etats-Unis, fait le point sur les orientations prises par les hackers dans leurs tentatives d'atteintes à la sécurité des systèmes d'informations. Pour élaborer sa synthèse, le centre de coordination du Cert s'appuie sur son expérience acquise depuis 1988. Nous ne reviendrons pas sur les aspects historiques et vous incitons à télécharger le document au format PDF. Celui-ci contient, en annexe, les liens nécessaires pour approfondir les thèmes des six tendances déclinées, et adopter les moyens de protection appropriés.

Tendance 1: plus vite, plus automatisé
D'après le Cert, l'automatisation et la rapidité d'éxécution ont essentiellement un impact sur quatre stades différents des attaques mais ne sont pas forcément présentes à chacun de ces niveaux.
En un, il s'agit de l'étape de "scan" des victimes potentielles. Les outils utilisés à ces fins sont maintenant plus rapides et dénichent davantage de vulnérabilités. En deux, certains apparaissent capables d'exploiter la vulnérabilité dans la foulée, ce qui rend la propagation plus rapide (pour un ver, par exemple). En trois, vient la propagation elle-même, facilitée par l'enchaînement de techniques. En quatre, enfin, la gestion coordonnée de ces outils va plus loin que leur simple éxécution linéaire. Un ver-virus-cheval de Troie peut lancer une attaque de déni de service, rechercher les victimes potentielles et les compromettre en exploitant plusieurs failles. Exemple: Nimda.

Tendance 2: vers une sophistication accrue
Ici, ce sont trois caractéristiques majeures que le rapport montre du doigt. La première se résume par l'absence de régularité. Certaines techniques exploitées par les attaquants obscurcissent l'intention et la nature des outils utilisés, et les experts mettent plus de temps à les comprendre. La deuxième se traduit par un comportement dynamique, en choisissant de lancer certaines actions plutôt que d'autres soit en fonction de scénarios prédéfinis, soit complètement au hasard. La troisième s'exprime par la modularité. Non cité par le Cert, le ver Hybris qui se met à jour à l'aide de plugins en est un exemple frappant. Le centre de recherche et de veille indique qu'à l'extrême, des codes malicieux deviennent polymorphes et évoluent entre chaque étape de leur progression.

Tendance 3: plus de failles, plus vite exploitées
Le Cert CC rapporte que le nombre de failles qui lui sont rapportées double chaque année. Tous les ans également, de nouveaux types de vulnérabilités sont découverts, et l'on s'aperçoit qu'elles existent dans de nombreux outils du commerce. Or, il n'est pas rare que les hackers un peu chevronnés découvrent ces faiblesses avant que les éditeurs ne les corrigent. Comme la découverte de ces failles peut être automatisée à l'aide d'outils, ceux-ci disposent d'un temps de plus en plus court pour mettre à disposition de leurs clients les fameux correctifs.

Tendance 4: les pare-feux parent de moins en moins
Autrement dit, ils sont plus perméables selon le Cert, même s'ils n'ont pas changé entre temps.
Certains protocoles ont été conçus pour les traverser, comme IPP (Internet Printing Protocol) pour les réseaux d'impression sur IP, ou WebDAV, une extension du protocole HTTP du web pour collaborer sur la publication de documents. D'autres protocoles courants ne sont pas couverts par les configuration par défaut des firewalls. Quant aux codes VBScript, Java et JavaScript, par exemple, ceux-ci viennent s'éxécuter sur l'ordinateur en passant par le web. Pour s'en prémunir, il faudrait les interdire à l'intérieur même des options de sécurité du navigateur. Mais cela restreint souvent les fonctions des sites visités par les internautes.

Tendance 5: l'asymétrie galopante = seul contre tous
Un seul serveur peut être la cible de nombreuses ressources administrées à distance par le hacker. Les PC et même les routeurs zombies sont en voie de reproduction. Avec certains outils automatisés, le hacker peut déployer très facilement les outils qu'il pilotera à distance sur un nombre croissant d'ordinateurs. L'une des conséquences est traitée au paragraphe suivant : les dénis de service distribués (DDOS). Mais il peut s'agir d'autres attaques ayant pour but de masquer une adresse IP au milieu de centaines voire de milliers devenues hostiles pour accomplir un méfait.

Tendance 6: les composants clefs d'Internet à l'index
C'est la partie la plus développée du rapport. Détournements et impacts collatéraux sur les composants d'infrastructure d'Internet sont en nette progression, avec parfois des effets inattendus. Parmi les exemples cités: dénis de service distribués, vers, serveurs de noms de domaine (DNS) et routeurs. A l'occasion de l'éxécution d'un DDOS, le pirate choisit exprès des ordinateurs reliés par liaison à haut débit (ADSL, câble...) pour lancer des attaques plus puissantes. Puis, les vers provoquent parfois des dommages collatéraux (dénis de service...) en raison de leur flux important au début de leur propagation. Les attaques de serveur de noms de domaines peuvent avoir plusieurs objectifs, comme détourner un flux de paquets IP vers une destination sous contrôle du hacker, ou même modifier les données reçues par les internautes. Quant aux routeurs, ils peuvent être détournés de leur fonction primaire afin de repérer des ressources ou de générer des attaques de déni de service. Pour en savoir plus sur ce dernier point, vous pouvez relire notre article publié en octobre dernier, basé sur un autre rapport du Cert.

Lire nos questions/réponses sur les failles, les virus

[Rédaction, JDNet]
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY