[helpc] Le CERT dresse un bilan des attaques informatiques
- From: "Shaka( Rudy)" <strub.rudy@xxxxxxxxx>
- To: <helpc@xxxxxxxxxxxxx>
- Date: Mon, 15 Apr 2002 06:25:36 +0200
Le CERT dresse un bilan des attaques informatiques
Virus, vers, intrusions, détections de ports ouverts..., le nombre des
attaques informatiques ne cesse de croître. Tout comme les méthodes et
outils de leurs auteurs, de plus en plus autonomes et efficaces. C'est
ce que révèle le CERT, organisme chargé de sécurité informatique, dans
un rapport publié le 8 avril. Inquiétant.
"Le niveau d'automatisation des attaques [informatiques] continue de
croître", écrit le CERT (Computer Emergency Response Team), organisme
chargé de sécurité informatique et dépendant de l'institut d'ingénierie
logicielle de l'université de Carnegie Mellon (Etats-Unis), dans un
rapport qui vise à analyser les nouvelles méthodes des pirates. Et ce
n'est pas triste. Alors que le nombre d'attaques de machines double
chaque année, le centre de coordination du CERT relève six grandes
tendances, ou méthodes, pour pénétrer, malmener ou exploiter un système
à ses dépens.
La première d'entre elle est l'automatisation des outils nécessaires aux
attaques. Non seulement les scanneurs de ports non protégés sont plus
rapides et performants qu'avant, mais ils savent désormais exploiter
immédiatement une faille détectée sans attendre la fin du scan. Et si
auparavant, seule une intervention humaine permettait d'initier une
attaque, les outils sont aujourd'hui capables de s'en charger. CodeRed
ou Nimda en sont les tristes exemples. Enfin, cerise sur le gâteau, les
outils savent désormais se coordonner afin de lancer des attaques en
nombre comme les attaques incapacitantes (denial of service ou DoS).
Pour cela, ils s'appuient notamment sur les messageries IRC (Internet
Relay Chat).
Si les outils ont évolué, les méthodes également. Les outils utilisés
par les attaquants sont de plus en plus discrets et savent effacer les
traces de leur passage tout en se rendant invisibles aux yeux des
antivirus et firewalls. De plus, l'évolution des outils, leur
comportement évolutif et dynamique et la vitesse des attaques laissent
peu de temps à l'administrateur pour analyser le problème et y répondre
efficacement. Les "pirates" savent notamment se fondre dans les flux
"normaux" du trafic d'un serveur et il devient alors difficile de
repérer l'intrus.
Exploiter les faiblesses des applications
Troisième tendance, les pirates profitent des imperfections des
applications avant que les éditeurs n'aient eu le temps de proposer un
correctif. D'ailleurs, celui-ci intervient généralement après qu'un
incident a été rapporté à l'éditeur. Même les administrateurs les plus
sérieux qui appliquent à la première heure les patchs de correction
n'ont donc aucune garantie de ne jamais être victimes d'une attaque. La
quatrième tendance consiste à exploiter la perméabilité des firewalls
dont la configuration par défaut ne protège généralement pas certains
protocoles comme l'IPP (Internet Printing Protocol) ou le WebDAV (pour
le travail collaboratif en ligne). Un vrai tapis rouge pour les
personnes malintentionnées.
Cinquième tendance, l'asymétrie des attaques. Aujourd'hui, ce n'est plus
une machine contre une autre mais des dizaines, des centaines voire des
milliers contre une seule (un serveur en général). Les outils des
pirates leur permettent de piloter à distance PC et routeurs, ce qui
permet notamment de lancer des requêtes en grand nombre qui vont saturer
le système ciblé. Cette technique n'est autre que le DoS et fait partie
des quatre menaces recensées par le CERT. Le ver (qui est capable de
s'auto-propager) et les attaques de serveurs de noms de domaine (DNS) et
de routeurs sont les autres menaces qui planent régulièrement sur les
systèmes informatiques.
Informer pour mieux prévenir
A travers ce rapport inquiétant, l'objectif du CERT n'est pas de
recenser le nombre précis d'attaques et encore moins pointer du doigt
les systèmes et entreprises les plus faillibles, mais simplement
d'informer d'un problème grave de sécurité informatique afin d'y
répondre de la meilleure manière. Pour cela, le CERT donne, en fin de
rapport, les liens vers des pages qui traitent en profondeur des
attaques évoquées. Comme, par exemple, les erreurs de configuration des
DNS à éviter. De bonnes adresses, assurément.
Christophe Lagane
--->>>
Shaka( Rudy)
HelPC list owner
shaka.rudy@xxxxxxxxx
Other related posts:
- » [helpc] Le CERT dresse un bilan des attaques informatiques
