Enjeux & Solutions (2) Par Mondher GAM* Les attaques exploitant des vulnérabilités encore inconnues Les attaques exploitant des vulnérabilités inconnues sont particulièrement dangereuses car les mesures préventives n'ont pas pu être prises en avance. Un exemple récent est l'attaque du 25 juin 2004 perpétrée par des hackers basés en Russie qui a transformé des serveurs IIS en distributeurs de codes malicieux. Le nombre de ces zero day exploits, loin d'être négligeable, semble croître rapidement. Ceci tient à plusieurs raisons : * De nouvelles vulnérabilités sont régulièrement découvertes dans les composants logiciels tiers utilisés par les applications. * Les possibilités de manipulation des requêtes sont virtuellement illimitées, ce qui rend les combinaisons d'attaques et les vulnérabilités potentilles impossibles à répertorier. Par exemple, un caractère utilisé dans des attaques injection SQL peut être codé de six manières différentes tout en restant valide pour SQL. Ce qui fait que l'instruction SELECT peut être codée de 86 manières différentes ! * Combinant les différentes techniques d'attaque pour en concevoir de nouvelles, les hackers cherchent constamment à innover afin de contourner les filtres de sécurité mis en place. Conclusion Vol de données confidentielles, détournement de transactions, rupture de service, atteinte à l'image de marque : les risques sont bien réels pour les entreprises qui continuent d'ouvrir leurs applications critiques au Web et de déployer des sites Web de plus en plus transactionnels. Les hackers bénéficient d'un environnement favorable : des applications Web présentant de nombreuses failles potentielles, des possibilités d'interaction à distance via les accès Web, de multiples techniques pour parvenir à déstabiliser, voire prendre le contrôle des applications sans être inquiétés par les firewalls traditionnels en place. Des contre-mesures ont cependant été développées pour protéger les systèmes d'information vis-à-vis de l'Internet comme, par exemple, des firewalls applicatifs qui suppriment les codes malicieux dans les pages Web. Des correctifs sont régulièrement mis à la disposition des utilisateurs pour protéger leurs systèmes. Vous pouvez, vous-même, vous protéger en interdisant l'activation de contrôles ActiveX des scripts et en augmentant le niveau de sécurité de votre navigateur Web. Attaques Dos et DdoS Il existe cependant des attaques moins ciblées, d'un niveau que nous qualifierons d'inférieur d'un point de vue informatique. Le pirate ne cherche plus cette fois à prendre contrôle de votre application mais cherche seulement à perturber le fonctionnement de vos serveurs. C'est le Deny of Service (DoS) ou le Distributed Deny of Service (DdoS). * DoS : le pirate, seul, cherche à perturber votre serveur en envoyant un nombre important de requêtes. Si le nombre est suffisamment important, le serveur sera saturé et s'arrêtera de fonctionner. S'il ne l'est pas alors, l'application sera seulement ralentie. * DdoS : cette technique est beaucoup plus agressive que la précédente car le pirate n'utilise plus un petit nombre de machines mais des réseaux entiers pour congestionner l'accès au serveur. Si le réseau d'accès est suffisamment robuste, seul le serveur en souffrira et cessera finalement de fonctionner. Mais si le réseau d'accès n'est pas suffisamment robuste, toutes les machines du réseau sur lequel se trouve le serveur cible en souffriront. Microsoft et Yahoo ont déjà subi ce genre d'attaque. Il existe heureusement des parades comme, par exemple, de bloquer les adresses IP des machines attaquantes car ce type d'attaque n'est pas discret et se repère facilement sur un réseau. Les IDS peuvent, en outre, remplir cette fonction. L'usage du Web par browser (juin 2004) : 1. MSIE 6.x 77% 2. MSIE 5.x 17% 3. Mozilla 2% 4. Netscape 7.x 1% 5. Safari 1%
Cela veut dire qu'en moyenne 94% du surf est effectué par un browser de type Internet Explorer mais cela ne signifie pas que 94% du trafic total d'Internet soit du surf. Ces chiffres ne signifient pas grand-chose si on ne stipule pas que plus de 90% des browsers Web ont la fonctionnalité Java activée et sont par conséquent des cibles potentilles pour certains hackers. Les attaques par le système d'exploitation Nous ne cherchons à référencer que les systèmes d'exploitation les plus usuels. Il existe deux types de hackers : * les occasionnels qui représentent 75% des attaques : ils parcourent l'Internet dans l'intention d'attaquer une machine au hasard en utilisant des failles de sécurité déjà publiées ; ils n'apportent strictement rien jà la communauté informatique, leurs attaques sont simplement faites pour nuire ; * les déterminés qui représentent 25% des attaques : ils cherchent à attaquer un compagnie ou un système ciblé ; certains permettent de mettre en évidence des failles de sécurité et ainsi améliorent la sécurité générale des systèmes d'information, mais ce n'est malheureusement pas souvent le cas pour la majeure partie d'entre eux qui ont des inten! tions malhonnêtes et souvent à but lucratif. D'après une étude de Symantec, les systèmes Microsoft représentent à eux seuls 75% des attaques globales avec interruption de service, ce qui est assez conséquent et normal vu la prédominance de Microsoft sur le marché du client/serveur. Ces chiffres sont cependant à nuancer car il est préférable que la machine s'arrête de fonctionner plutôt que de laisser l'attaquant entrer dans son système d'information. Il faut souligner que les systèmes libres ne sont pas épargnés par les hackers. Des outils, les rootkits, permet de prendre le contrôle de systèmes Unix ou Linux. Les hakcers déterminent le type d'OS en analysant les temps de réponse et la configuration du protocole TCP/IP. Cette technique est appelée fingerprinting. Il existe aujourd'hui des techniques pour s'en prémunir que ce soit par les firewalls et/ou IDS ou par modification des paramètres de configuration réseau des serveurs. Notons cependant qu'aujourd'hui la communauté s'accorde à dire que l'OS le plus sécurisé en termes de clients est Darwin (MacOS X), tout simplement parce qu'il est basé sur un OS libre et bien sécurisé de type BSD (Unix Berkeley Software Design). A cela il faut ajouter qu'il est propriétaire et, par conséquent bénéficie de la sécurité par l'obscurité. Les attaques combinées Le phishing Le phishing, la plus actuelle des menaces, repose sur trois impostures et sur votre naïveté (nous sommes plus de 700 millions de pigeons potentiels connectés sur l'Internet). * Envoi de l'hameçon : vous recevrez un mél qui a l'air de venir d'un destinataire de confiance, mais provient en réalité de l'attaquant. *Attente que ça morde : le mél vous demande de cliquer sur un hyperlien qui vous dirige sur un site Web ayant l'air d'être celui d'un site de confiance, d'après son adresse et le look de la page affichée. C'est en réalité celui de l'attaquant. * Le site Web de l'attaque par phishing, sur lequel vous emmène la deuxième imposture, vous demande, pour préparer la troisième imposture, celle qui fait mal, d'entrer des renseignements tels que votre couple login et mot de passe, vos coordonnées bancaires, notre numéro de carte de crédit Avec ces renseignements, comme l'attaque est en général &! agrave; but lucratif, l'attaquant usurpe votre identité, en utilisant les renseignements que vous lui avez aimablement fournis, pour vider votre compte bancaire ou attaquer notre réseau. Le panaché Citons maintenant la combinaison redoutable entre toutes, fléau des temps modernes qui arrive par la messagerie :
c'est le quartet : spam + mass mailer + ver + phishing, le tout simultanément. Le ver est là pour installer un logiciel espion, un cheval de Troie ou une porte dérobée sur votre poste de travail, pour exploitation ultérieure. Par exemple, le ver Bugbear.B, apparu en 2003 et véhiculé par la messagerie, se cache en mode dormant sur votre poste de travail, se fait oublier, mais s'active automatiquement si vous contractez l'une des milliers de banques, dont plusieurs françaises, contenues dans sa liste. Il envoie ensuite l'intégrale des échanges électroniques entre vous et votre banque à on ne sait qui. * Consultant Senior en Sécurité Directeur Général Online-Netsecurity (Email : [email protected])