Tunisie-SFI : un partenariat renforcé pour stimuler l'investissement    Mondial Volley : Fin de Parcours pour la Tunisie !    Bizerte entre dans l'histoire : le pont du siècle verra le jour en 2027 !    Riadh Zghal: L'indice de développement régional et la persistance des inégalités    Ameur Bahba : les pluies vont se poursuivre quotidiennement jusqu'à la fin de la semaine    Tunis : l'agression d'un agent de nettoyage suscite une vague d'indignation en ligne    Tunisie Telecom acteur de référence en sécurité de l'information    Reconnaître la Palestine : un acte de justice, pas une faveur    Tunisie : vos démarches administratives bientôt 100% en ligne, fini les files d'attente !    Le joueur du PSG Ousmane Dembélé remporte le Ballon d'Or    Paradoxe du marché locatif : les demandes en baisse, mais les prix en hausse    Zenith Energy relève à 572 millions de dollars le montant réclamé à la Tunisie devant le Cirdi    Alerte Météo : pluies intenses et vents violents mardi    Kairouan-Hôpital Chbika : lancement des premières consultations en ligne dans le service de neurologie    Sousse : El Kanaouat investit 15 MD pour booster sa production    Domaine Châal : le gouverneur de Sfax suit les préparatifs de la saison oléicole    Algérie–Tunisie : les nouvelles règles de voyage en train    Tunisie : la violence conjugale en forte hausse, le centre Néjia tire la sonnette d'alarme !    Quasi-collision à Nice : que s'est-il réellement passé entre Nouvelair et EasyJet ?    Flottille Al Soumoud : le député Mohamed Ali témoigne depuis la Méditerranée    Le message obscur de Kaïs Saïed    Kaïs Saïed reçoit Brahim Bouderbala et Imed Derbali    Rencontre entre Kais Saied et Khaled Souheli sur la coopération Tunisie-Koweït    Avis aux Tunisiens : fortes pluies, orages et baisse des températures mardi !    Port de Radès : 10 millions de comprimés de drogue saisis dans un conteneur européen    Le président Kaïs Saïed cible réseaux criminels et pratiques spéculatives    La France reconnaît officiellement l'Etat de Palestine    À Nice : un vol Nouvelair frôle un EasyJet, enquête ouverte et passagers sous le choc    Théâtre de l'Opéra de tunis: ce vendredi, hommage posthume à l'artiste Fadhel Jaziri    Il ne manque plus qu'un militaire à la Kasbah    De la « fin de l'histoire » à la « fin de la mémoire»    Dr Mustapha Ben Jaafar - La reconnaissance de l'Etat de Palestine, étape décisive vers la paix au Moyen Orient    Séisme de magnitude 3,2 dans le gouvernorat de Gafsa    La JSK terrassée par l'ESZ : La défense, un point si faible    Ballon d'Or 2025 : à quelle heure et sur quelle chaîne voir la cérémonie    105 000 visas Schengen délivrés aux Tunisiens en 2024 avec un taux d'acceptation de 60 %    Clôture du festival du film de Bagdad: Le film tunisien « Soudan Ya Ghali » remporte le prix du meilleur documentaire    Séisme de magnitude 4,8 frappe la mer Egée en Turquie    Hasna Jiballah plaide pour un accès facilité des sociétés communautaires au financement    Saint-Tropez sourit à Moez Echargui : titre en poche pour le Tunisien    Incident sur le terrain : Gaith Elferni transporté à l'hôpital après un choc à la tête    Moez Echargui en finale du Challenger de Saint-Tropez    Cinéma : Dorra Zarrouk et Mokhtar Ladjimi sous les projecteurs du Festival de Port-Saïd    Youssef Belaïli absent : La raison dévoilée !    Sfax célèbre l'humour à l'hôtel ibis avec ibis Comedy Club    La Bibliothèque nationale de Tunisie accueille des fonds de personnalités Tunisiennes marquantes    Fadhel Jaziri: L'audace et la norme    Fadhel Jaziri - Abdelwahab Meddeb: Disparition de deux amis qui nous ont tant appris    







Merci d'avoir signalé!
Cette image sera automatiquement bloquée après qu'elle soit signalée par plusieurs personnes.



Les attaques sur le Web
Publié dans WMC actualités le 14 - 05 - 2007


Enjeux & Solutions (2)
Par Mondher GAM*
Les attaques exploitant des vulnérabilités encore inconnues
Les attaques exploitant des vulnérabilités inconnues sont particulièrement dangereuses car les mesures préventives n'ont pas pu être prises en avance.
Un exemple récent est l'attaque du 25 juin 2004 perpétrée par des hackers basés en Russie qui a transformé des serveurs IIS en distributeurs de codes malicieux.
Le nombre de ces zero day exploits, loin d'être négligeable, semble croître rapidement.
Ceci tient à plusieurs raisons :
* De nouvelles vulnérabilités sont régulièrement découvertes dans les composants logiciels tiers utilisés par les applications.
* Les possibilités de manipulation des requêtes sont virtuellement illimitées, ce qui rend les combinaisons d'attaques et les vulnérabilités potentilles impossibles à répertorier. Par exemple, un caractère utilisé dans des attaques injection SQL peut être codé de six manières différentes tout en restant valide pour SQL. Ce qui fait que l'instruction SELECT peut être codée de 86 manières différentes !
* Combinant les différentes techniques d'attaque pour en concevoir de nouvelles, les hackers cherchent constamment à innover afin de contourner les filtres de sécurité mis en place.
Conclusion
Vol de données confidentielles, détournement de transactions, rupture de service, atteinte à l'image de marque : les risques sont bien réels pour les entreprises qui continuent d'ouvrir leurs applications critiques au Web et de déployer des sites Web de plus en plus transactionnels.
Les hackers bénéficient d'un environnement favorable : des applications Web présentant de nombreuses failles potentielles, des possibilités d'interaction à distance via les accès Web, de multiples techniques pour parvenir à déstabiliser, voire prendre le contrôle des applications sans être inquiétés par les firewalls traditionnels en place.
Des contre-mesures ont cependant été développées pour protéger les systèmes d'information vis-à-vis de l'Internet comme, par exemple, des firewalls applicatifs qui suppriment les codes malicieux dans les pages Web. Des correctifs sont régulièrement mis à la disposition des utilisateurs pour protéger leurs systèmes.
Vous pouvez, vous-même, vous protéger en interdisant l'activation de contrôles ActiveX des scripts et en augmentant le niveau de sécurité de votre navigateur Web.
Attaques Dos et DdoS
Il existe cependant des attaques moins ciblées, d'un niveau que nous qualifierons d'inférieur d'un point de vue informatique.
Le pirate ne cherche plus cette fois à prendre contrôle de votre application mais cherche seulement à perturber le fonctionnement de vos serveurs. C'est le Deny of Service (DoS) ou le Distributed Deny of Service (DdoS).
* DoS : le pirate, seul, cherche à perturber votre serveur en envoyant un nombre important de requêtes. Si le nombre est suffisamment important, le serveur sera saturé et s'arrêtera de fonctionner. S'il ne l'est pas alors, l'application sera seulement ralentie.
* DdoS : cette technique est beaucoup plus agressive que la précédente car le pirate n'utilise plus un petit nombre de machines mais des réseaux entiers pour congestionner l'accès au serveur.
Si le réseau d'accès est suffisamment robuste, seul le serveur en souffrira et cessera finalement de fonctionner. Mais si le réseau d'accès n'est pas suffisamment robuste, toutes les machines du réseau sur lequel se trouve le serveur cible en souffriront.
Microsoft et Yahoo ont déjà subi ce genre d'attaque. Il existe heureusement des parades comme, par exemple, de bloquer les adresses IP des machines attaquantes car ce type d'attaque n'est pas discret et se repère facilement sur un réseau. Les IDS peuvent, en outre, remplir cette fonction.
L'usage du Web par browser (juin 2004) :
1. MSIE 6.x
77%
2. MSIE 5.x
17%
3. Mozilla
2%
4. Netscape 7.x
1%
5. Safari
1%

Cela veut dire qu'en moyenne 94% du surf est effectué par un browser de type Internet Explorer mais cela ne signifie pas que 94% du trafic total d'Internet soit du surf.
Ces chiffres ne signifient pas grand-chose si on ne stipule pas que plus de 90% des browsers Web ont la fonctionnalité Java activée et sont par conséquent des cibles potentilles pour certains hackers.
Les attaques par le système d'exploitation
Nous ne cherchons à référencer que les systèmes d'exploitation les plus usuels. Il existe deux types de hackers :
* les occasionnels qui représentent 75% des attaques : ils parcourent l'Internet dans l'intention d'attaquer une machine au hasard en utilisant des failles de sécurité déjà publiées ; ils n'apportent strictement rien jà la communauté informatique, leurs attaques sont simplement faites pour nuire ;
* les déterminés qui représentent 25% des attaques : ils cherchent à attaquer un compagnie ou un système ciblé ; certains permettent de mettre en évidence des failles de sécurité et ainsi améliorent la sécurité générale des systèmes d'information, mais ce n'est malheureusement pas souvent le cas pour la majeure partie d'entre eux qui ont des inten! tions malhonnêtes et souvent à but lucratif.
D'après une étude de Symantec, les systèmes Microsoft représentent à eux seuls 75% des attaques globales avec interruption de service, ce qui est assez conséquent et normal vu la prédominance de Microsoft sur le marché du client/serveur. Ces chiffres sont cependant à nuancer car il est préférable que la machine s'arrête de fonctionner plutôt que de laisser l'attaquant entrer dans son système d'information.
Il faut souligner que les systèmes libres ne sont pas épargnés par les hackers. Des outils, les rootkits, permet de prendre le contrôle de systèmes Unix ou Linux.
Les hakcers déterminent le type d'OS en analysant les temps de réponse et la configuration du protocole TCP/IP. Cette technique est appelée fingerprinting. Il existe aujourd'hui des techniques pour s'en prémunir que ce soit par les firewalls et/ou IDS ou par modification des paramètres de configuration réseau des serveurs.
Notons cependant qu'aujourd'hui la communauté s'accorde à dire que l'OS le plus sécurisé en termes de clients est Darwin (MacOS X), tout simplement parce qu'il est basé sur un OS libre et bien sécurisé de type BSD (Unix Berkeley Software Design).
A cela il faut ajouter qu'il est propriétaire et, par conséquent bénéficie de la sécurité par l'obscurité.
Les attaques combinées
Le phishing
Le phishing, la plus actuelle des menaces, repose sur trois impostures et sur votre naïveté (nous sommes plus de 700 millions de pigeons potentiels connectés sur l'Internet).
* Envoi de l'hameçon : vous recevrez un mél qui a l'air de venir d'un destinataire de confiance, mais provient en réalité de l'attaquant.
*Attente que ça morde : le mél vous demande de cliquer sur un hyperlien qui vous dirige sur un site Web ayant l'air d'être celui d'un site de confiance, d'après son adresse et le look de la page affichée. C'est en réalité celui de l'attaquant.
* Le site Web de l'attaque par phishing, sur lequel vous emmène la deuxième imposture, vous demande, pour préparer la troisième imposture, celle qui fait mal, d'entrer des renseignements tels que votre couple login et mot de passe, vos coordonnées bancaires, notre numéro de carte de crédit… Avec ces renseignements, comme l'attaque est en général &! agrave; but lucratif, l'attaquant usurpe votre identité, en utilisant les renseignements que vous lui avez aimablement fournis, pour vider votre compte bancaire ou attaquer notre réseau.
Le panaché
Citons maintenant la combinaison redoutable entre toutes, fléau des temps modernes qui arrive par la messagerie :

c'est le quartet : spam + mass mailer + ver + phishing, le tout simultanément.
Le ver est là pour installer un logiciel espion, un cheval de Troie ou une porte dérobée sur votre poste de travail, pour exploitation ultérieure.
Par exemple, le ver Bugbear.B, apparu en 2003 et véhiculé par la messagerie, se cache en mode dormant sur votre poste de travail, se fait oublier, mais s'active automatiquement si vous contractez l'une des milliers de banques, dont plusieurs françaises, contenues dans sa liste. Il envoie ensuite l'intégrale des échanges électroniques entre vous et votre banque à on ne sait qui.
* Consultant Senior en Sécurité
Directeur Général Online-Netsecurity
(Email : [email protected])


Cliquez ici pour lire l'article depuis sa source.