Lire nos questions/réponses
sur
les
failles,
les
virus
L'année 2002 promet d'être mouvementée
sur le terrain des atteintes à la sécurité
des systèmes d'informations. Dans un rapport
daté du 8 avril, la Computer
Emergency Response Team, dépendant de l'institut
d'ingénierie logicielle de l'université
de Carnegie Mellon aux Etats-Unis, fait le point sur
les orientations prises par les hackers dans leurs tentatives
d'atteintes à la sécurité des systèmes
d'informations. Pour élaborer sa synthèse,
le centre de coordination du Cert s'appuie sur son expérience
acquise depuis 1988. Nous ne reviendrons pas sur les
aspects historiques et vous incitons à télécharger
le document au format PDF. Celui-ci contient, en
annexe, les liens nécessaires pour approfondir
les thèmes des six tendances déclinées,
et adopter les moyens de protection appropriés.
Tendance
1: plus vite, plus automatisé
D'après le Cert, l'automatisation
et la rapidité d'éxécution ont
essentiellement un impact sur quatre stades différents
des attaques mais ne sont pas forcément présentes
à chacun de ces niveaux.
En
un, il s'agit de l'étape de "scan"
des victimes potentielles. Les outils utilisés
à ces fins sont maintenant plus rapides et dénichent
davantage de vulnérabilités. En deux,
certains apparaissent capables d'exploiter la vulnérabilité
dans la foulée, ce qui rend la propagation plus
rapide (pour un ver, par exemple). En trois, vient la
propagation elle-même, facilitée par l'enchaînement
de techniques. En quatre, enfin, la gestion coordonnée
de ces outils va plus loin que leur simple éxécution
linéaire. Un ver-virus-cheval de Troie peut lancer
une attaque de déni de service, rechercher les
victimes potentielles et les compromettre en exploitant
plusieurs failles. Exemple: Nimda.
Tendance
2: vers une sophistication accrue
Ici, ce sont trois caractéristiques
majeures que le rapport montre du doigt. La première
se résume par l'absence de régularité.
Certaines techniques exploitées par les attaquants
obscurcissent l'intention et la nature des outils utilisés,
et les experts mettent plus de temps à les comprendre.
La deuxième se traduit par un comportement dynamique,
en choisissant de lancer certaines actions plutôt
que d'autres soit en fonction de scénarios prédéfinis,
soit complètement au hasard. La troisième
s'exprime par la modularité. Non cité
par le Cert, le ver Hybris qui se met à jour
à l'aide de plugins en est un exemple frappant.
Le centre de recherche et de veille indique qu'à
l'extrême, des codes malicieux deviennent polymorphes
et évoluent entre chaque étape de leur
progression.
Tendance 3: plus de failles,
plus vite exploitées
Le Cert CC rapporte que le nombre de failles
qui lui sont rapportées double chaque année.
Tous les ans également, de nouveaux types de
vulnérabilités sont découverts,
et l'on s'aperçoit qu'elles existent dans de
nombreux outils du commerce. Or, il n'est pas rare que
les hackers un peu chevronnés découvrent
ces faiblesses avant que les éditeurs ne les
corrigent. Comme la découverte de ces failles
peut être automatisée à l'aide d'outils,
ceux-ci disposent d'un temps de plus en plus court pour
mettre à disposition de leurs clients les fameux
correctifs.
Tendance 4: les pare-feux parent
de moins en moins
Autrement dit, ils sont plus perméables
selon le Cert, même s'ils n'ont pas changé
entre temps.
Certains
protocoles ont été conçus pour
les traverser, comme IPP (Internet Printing Protocol)
pour les réseaux d'impression sur IP, ou WebDAV,
une extension du protocole HTTP du web pour collaborer
sur la publication de documents. D'autres protocoles
courants ne sont pas couverts par les configuration
par défaut des firewalls. Quant aux codes VBScript,
Java et JavaScript, par exemple, ceux-ci viennent s'éxécuter
sur l'ordinateur en passant par le web. Pour s'en prémunir,
il faudrait les interdire à l'intérieur
même des options de sécurité du
navigateur. Mais cela restreint souvent les fonctions
des sites visités par les internautes.
Tendance 5: l'asymétrie
galopante = seul contre tous
Un seul serveur peut être la cible
de nombreuses ressources administrées à
distance par le hacker. Les PC et même les routeurs
zombies sont en voie de reproduction. Avec certains
outils automatisés, le hacker peut déployer
très facilement les outils qu'il pilotera à
distance sur un nombre croissant d'ordinateurs. L'une
des conséquences est traitée au paragraphe
suivant : les dénis de service distribués
(DDOS). Mais il peut s'agir d'autres attaques ayant
pour but de masquer une adresse IP au milieu de centaines
voire de milliers devenues hostiles pour accomplir un
méfait.
Tendance 6: les composants clefs
d'Internet à l'index
C'est la partie
la plus développée du rapport. Détournements
et impacts collatéraux sur les composants d'infrastructure
d'Internet sont en nette progression, avec parfois des
effets inattendus. Parmi les exemples cités:
dénis de service distribués, vers, serveurs
de noms de domaine (DNS) et routeurs. A l'occasion de
l'éxécution d'un DDOS, le pirate choisit
exprès des ordinateurs reliés par liaison
à haut débit (ADSL, câble...) pour
lancer des attaques plus puissantes. Puis, les vers
provoquent parfois des dommages collatéraux (dénis
de service...) en raison de leur flux important au début
de leur propagation. Les attaques de serveur de noms
de domaines peuvent avoir plusieurs objectifs, comme
détourner un flux de paquets IP vers une destination
sous contrôle du hacker, ou même modifier
les données reçues par les internautes.
Quant aux routeurs, ils peuvent être détournés
de leur fonction primaire afin de repérer des
ressources ou de générer des attaques
de déni de service. Pour en savoir plus sur ce
dernier point, vous pouvez relire notre article
publié en octobre dernier, basé sur
un autre rapport du Cert.
Lire nos questions/réponses sur
les
failles,
les
virus
|