 |
Ecrivez-moi |
Dossier Sécurité
Retour vers la page Sécurité
Les attaques
Mail bombing
Les exploits
Le Nuking et le Flooding
Le spoofing
Le sniffer
Les scanners de ports
Le déni de servicesLe Mail Bombing consiste à envoyer un nombre faramineux d'emails (plusieurs milliers par exemple) à un ou des destinataires. L'objectif étant de :
saturer le serveur de mails
saturer la bande passante du serveur et du ou des destinataires,
rendre impossible aux destinataires de continuer à utiliser l'adresse électronique.
Les exploits
Un « exploit » est un programme qui « exploite » une vulnérabilité dans un logiciel spécifique. Chaque exploit est spécifique à une version d'une application car il permet d'en exploiter les failles.Il existe différents types d'exploits :
les exploits servant à être root (statut de l'administrateur système sous les systèmes de type UNIX) ;
l'affichage de fichiers protégés du système (par exemple le fichier de mots de passe) ;
l'obtention de fichiers divers sur le système.
La plupart du temps les exploits sont écrits en langage C ou en Perl. Ils peuvent toutefois être écrits avec tout langage pour lequel il existe un interpréteur sur la machine cible. Le pirate utilisant un exploit doit ainsi posséder une connaissance minimale du système cible et des bases en programmation pour arriver à ses fins.
Afin de pouvoir l'utiliser, il doit le compiler dans son répertoire de travail sur la machine qu'il veut prendre d'assaut également appelé « shell » (qu'il aura obtenu bien avant).
Une fois l'éxecution réussie, selon le rôle de l'exploit, le hacker peut obtenir le statut d’administrateur sur la machine distante et donc faire absolument toutes les actions qu'il désire...
Le Nuking et le Flooding
Le nuking consiste à faire planter l'ordinateur de quelqu'un à distance. Soit son écran devient tout bleu, soit il se fige... l'ordinateur peut même se mettre à faire un reboot (redémarrage). Toutes ces choses désagréables peuvent vous arriver si le hacker ennemi a obtenu votre IP. Pour ceux qui ne le sauraient pas, l'IP se présente sous la forme de quatre chiffres compris entre 0 et 255. Votre IP ressemble donc à ça : 171.252.65.2. L'IP est un renseignement très précieux que l'on peut obtenir d'après votre UIN (numéro ICQ), à l'aide de logiciels spécifiques. Ne donnez donc pas votre UIN à tort et à travers ! A part la prudence, la meilleure défense est certainement Nuke Nabber. Ce petit logiciel filtre les messages qui entrent sur votre machine et vous prévient quand une tentative de nuking a été repoussée.
Le flooding consiste à envoyer très rapidement de gros paquets d'informations à une personne, à condition d'avoir un PING (c'est-à-dire le temps que met l'information pour faire un aller-retour entre 2 machines) très court. La personne visée ne pourra plus répondre aux requêtes et le modem va donc déconnecter.
Pour l'éviter une solution consiste à ne pas divulguer son adresse IP.
Le spoofing
Le « spoofing IP » (en français mystification) est une technique permettant à un pirate d'envoyer à une machine des paquets semblant provenir d'une adresse IP autre que celle de la machine du pirate. Le spoofing IP n'est pas pour autant un changement d'adresse IP. Plus exactement il s'agit d'une mascarade de l'adresse IP au niveau des paquets émis, c'est-à-dire une modification des paquets envoyés afin de faire croire au destinataire qu'ils proviennent d'une autre machine.
Ainsi, certains tendent à assimiler l'utilisation d'un proxy (permettant de masquer d'une certaine façon l'adresse IP) avec du spoofing IP. Toutefois, le proxy ne fait que relayer les paquets, ainsi même si l'adresse est apparemment masquée, un pirate peut facilement être retrouvé grâce au fichier journal (logs) du proxy.
La technique du spoofing (difficile à mettre en oeuvre) peut permettre à un pirate de faire passer des paquets sur un réseau sans que ceux-ci ne soient interceptés par le système de filtrage de paquets (firewall). En effet un firewall fonctionne grâce à des règles de filtrage indiquant quelles adresses IP sont autorisées à communiquer avec les machines internes. Ainsi, un paquet spoofé avec l'adresse IP d'une machine interne semblera provenir du réseau interne et sera transmis à la machine cible, tandis qu'un paquet contenant une adresse IP externe sera automatiquement rejeté par le firewall.
Le sniffer
Un « sniffer » (appelé analyseur réseau en français) est un dispositif permettant d'« écouter » le trafic d'un réseau, c'est-à-dire de capturer les informations qui y circulent.
En effet dans un réseau non commuté, les données sont envoyées à toutes les machines du réseau. Toutefois, dans une utilisation normale les machines ignorent les paquets qui ne leur sont pas destinés.
En utilisant l'interface réseau dans un mode spécifique (appelé généralement mode promiscuous) il est possible d'écouter tout le trafic passant par un adaptateur réseau (une carte réseau ethernet, une carte réseau sans fil, ...).
Un sniffer est un formidable outil permettant d'étudier le trafic d'un réseau. Il sert généralement aux administrateurs pour diagnostiquer les problèmes sur leur réseau ainsi que pour connaître le trafic qui y circule. Ainsi les détecteurs d'intrusion (IDS, pour intrusion detection system) sont basés sur un sniffeur pour la capture des trames, et utilisent une base de données de règles (rules) pour détecter des trames suspectes.
Malheureusement, comme tous les outils d'administration, le sniffer peut également servir à une personne malveillante ayant un accès physique au réseau pour collecter des informations. Ce risque est encore plus important sur les réseaux sans fils car il est difficile de confiner les ondes hertziennes dans un périmètre délimité, si bien que des personnes malveillantes peuvent écouter le trafic en étant simplement dans le voisinage.
La grande majorité des protocoles Internet font transiter les informations en clair, c'est-à-dire de manière non chiffrée. Ainsi, lorsqu'un utilisateur du réseau consulte sa messagerie via le protocole POP ou IMAP, ou bien surfe sur internet sur des sites dont l'adresse ne commence pas par HTTPS, toutes les informations envoyées ou reçues peuvent être interceptées. C'est comme cela que des sniffers spécifiques ont été mis au point par des pirates afin de récupérer les mots de passe circulant dans le flux réseau.
Il existe plusieurs façons de se prémunir des désagréments que pourrait provoquer l'utilisation d'un sniffer sur votre réseau :
Utiliser des protocoles chiffrés pour toutes les communications dont le contenu possède un niveau de confidentialité élevé.
Segmenter le réseau afin de limiter la diffusion des informations. Il est notamment recommandé de préférer l'utilisation de switchs (commutateurs) à celle des hubs (concentrateurs) car ils commutent les communications, c'est-à-dire que les informations sont délivrées uniquement aux machines destinataires.
Utiliser un détecteur de sniffer. Il s'agit d'un outil sondant le réseau à la recherche de matériels utilisant le mode promiscuous.
Pour les réseaux sans fils il est conseillé de réduire la puissance des matériels de telle façon à ne couvrir que la surface nécessaire. Cela n'empêche pas les éventuels pirates d'écouter le réseau mais réduit le périmètre géographique dans lequel ils ont la possibilité de le faire.
Les scanners de ports
Un « scanner de sécurité » (parfois appelé « analyseur de réseaux ») est un utilitaire permettant de réaliser un audit de sécurité d'un réseau en analysant les ports ouverts sur une machine donnée afin de déterminer les risques en matière de sécurité. Il est généralement possible avec ce type d'outil de lancer une analyse sur une plage ou une liste d'adresses IP afin de cartographier entièrement un réseau.
Un scanner est capable de déterminer les ports ouverts sur un système en envoyant des requêtes successives sur les différents ports et analyse les réponses afin de déterminer lesquels sont actifs.
En analysant très finement la structure des paquets TCP/IP reçus, les scanners de sécurité évolués sont parfois capables de déterminer le système d'exploitation de la machine distante ainsi que les versions des applications associées aux ports et, le cas échéant, de conseiller les mises à jour nécessaires.
Les scanners de sécurité sont des outils très utiles pour les administrateurs système et réseau afin de surveiller la sécurité du parc informatique dont ils ont la charge. A contrario cet outil est parfois utilisé par des pirates informatiques afin de déterminer les brèches d'un système.
Le déni de services
Les attaques par « Denial of Service » (souvent abrégé en DoS, en français « Déni de service ») consistent à paralyser temporairement (rendre indisponible pendant un temps donné) des serveurs afin qu'ils ne puissent être utilisés et consultés. Les attaques par déni de service sont un fléau pouvant toucher tout serveur d'entreprise ou tout particulier relié à Internet. Le but d'une telle attaque n'est pas de récupérer ou d'altérer des données, mais de nuire à la réputation de sociétés ayant une présence sur Internet et éventuellement de nuire à leur fonctionnement si leur activité repose sur un système d'information en l'empêchant de fonctionner.
D'un point de vue technique, ces attaques ne sont pas très compliquées, mais ne sont pas moins efficaces contre tout type de machine possédant un système d'exploitation Windows (95, 98, NT, 2000, XP, etc.), Linux (Debian, Mandrake, RedHat, Suse, etc.), Unix commercial (HP-UX, AIX, IRIX, Solaris, etc.) ou tout autre système...
En effet, la plupart des attaques par déni de service n'exploitent non pas les failles d'un système d'exploitation particulier, mais celle de l'architecture TCP/IP. Les attaques par déni de service consistent en un envoi de paquets IP de taille ou de constitution inhabituelle, ayant pour cause la saturation ou une mauvaise gestion de la part de la machine victime, qui ne peut plus assurer les services réseaux qu'elle propose (d'où le terme de déni de service). Si cet envoi provient de plusieurs machines (et non plus d’une seule), on parle alors de DDos pour Distributed Denial Of Service et aucun système ne sait lui résister.
Pour se protéger de ce type d'attaque, il faut récupérer sur internet des correctifs logiciels conçus par des groupes spécialisés.
Voici quelques sites :
http://windowsupdate.microsoft.com/
http://www.securityfocus.com/
