Passer au contenu

Déceler les intrusions informatiques

Les attaques les plus sophistiquées sont rapides, implacables et semblent brillantes. Toutes commencent par une phase de reconnaissance discrète qui peut prendre plusieurs mois.

Les véritables intrusions dans le réseau d’une entreprise n’arrivent pas par hasard. Les attaques sérieuses sont généralement précédées d’une phase d’observation pouvant s’étaler sur plusieurs mois et qui passe le plus souvent totalement inaperçue. Le pirate cherche en premier lieu à cartographier le réseau de sa victime grâce à la vue dont il dispose depuis Internet (parfois également depuis le réseau téléphonique).

Le pirate cartographie le réseau…

Les routeurs, les serveurs et les passerelles publiques, l’accès par modem ou les PABX sont en effet des points de repère immanquables pour un pirate. À ce stade, son objectif est de réunir un maximum d’informations sur la topologie du réseau (y compris derrière les coupe-feu), et de connaître les modèles des routeurs et les versions des logiciels serveurs utilisés (FTP, HTTP, etc. ). Cette reconnaissance discrète s’appuie sur plusieurs techniques passives et actives. Les premières sont totalement indécelables. Le pirate analyse les en-têtes des courriers ou des messages Usenet reçus, afin de connaître l’adresse de la passerelle SMTP ou NNTP de l’entreprise. Il ne se privera pas non plus de consulter un service d’archivage Usenet afin de lire les messages publiés par des employés du service informatique, pour en déduire les versions des logiciels utilisés en interne. La recherche par un service whois (annuaire) peut également livrer une quantité d’informations utiles (plage d’adresses IP utilisées par l’entreprise, nom et adresse e-mail du responsable du réseau, etc. ).La reconnaissance active vient ensuite. Les deux méthodes les plus couramment employées par le pirate sont le balayage d’adresses IP à l’aide d’un scanner furtif et l’utilisation de la commande traceroute. Celle-ci permet de suivre le chemin emprunté par des données envoyées vers un serveur particulier. Le pirate l’utilise pour répertorier les éléments du réseau (routeurs, passerelles, etc. ) situés entre lui et un serveur public de la société. La cible peut être le serveur web de l’entreprise, mais également une passerelle de courrier, ou NNTP, dont l’adresse a été trouvée dans des en-têtes de messages.

… puis explore la plage d’adresses IP

Cette étape lui permet d’extrapoler la plage d’adresses IP utilisée. Le pirate n’aura plus qu’à l’explorer à l’aide d’un scanner tel NMAP, afin de découvrir d’autres serveurs, routeurs ou passerelles qui ne sont pas révélés publiquement.Avec un peu d’imagination, la commande traceroute peut cependant se révéler largement plus utile. À l’aide d’une technique appelée ” firewalking “, le pirate peut non seulement découvrir quels services ne sont pas filtrés par le coupe-feu, mais dresser aussi la cartographie du réseau derrière le coupe-feu.La méthode repose sur la création de paquets (UDP, TCP ou ICMP), dont la durée de vie est calculée pour être supérieure à celle du nombre de sauts nécessaires pour atteindre le coupe-feu. Lorsque le paquet arrive sur le coupe-feu (ou le routeur filtrant), celui-ci peut l’ignorer ou l’accepter, selon les règles définies par l’administrateur. S’il l’ignore, le pirate sait que le port est fermé. En revanche, si le port est ouvert, le paquet est naturellement autorisé à passer. Il atteint cependant la limite de sa durée de vie et meurt immédiatement après avoir franchi le coupe-feu. Le pirate reçoit alors un message ICMP de type 11 (TTL dépassé). Cette information est très précieuse, puisqu’elle lui permet de reconstruire le jeu de règles de filtrage de tous les dispositifs filtrants de l’entreprise. En connaissant l’adresse d’un hôte derrière le coupe-feu, le pirate peut utiliser la même technique pour cartographier le reste du réseau en ciblant chaque adresse IP derrière le coupe-feu. Il recherche particulièrement les serveurs DNS internes, les passerelles de courrier supplémentaires, les serveurs de bases de données, etc. Cette phase de découverte est généralement effectuée avec précaution pour ne pas alerter d’éventuels logiciels de détection d’intrusions (en espaçant les scans, en fragmentant les paquets, etc. ).Le balayage des hôtes découverts constitue l’étape suivante. C’est le début de la phase offensive. Les pirates consciencieux procèdent à de tels scans sur une période de plusieurs mois, car il s’agit d’une activité hautement suspecte. L’objectif est de déterminer quels services sont disponibles sur les hôtes découverts à travers le réseau (FTP, web, DNS, etc. ).Ce n’est qu’après avoir obtenu une image complète du réseau de l’entreprise, répertorié les versions des serveurs utilisés et avoir identifié les relations de confiance entre certains hôtes qu’il passe à l’attaque.La faille qu’il exploite n’a que peu d’importance. Tout est déjà joué, la reconnaissance a permis d’identifier le maillon faible. Il peut s’agir de la mauvaise configuration d’un hôte, ou d’un serveur qui n’a pas été mis à jour (FTP, HTTP, DNS, etc. ) pour lequel existe une faille connue. Le pirate peut aussi exploiter une relation de confiance entre deux machines.Dans des cas plus rares, l’attaque sera réellement originale. Le pirate pourra détourner une connexion en déterminant à l’avance les numéros de séquence TCP de cette connexion, modifier le cache du serveur DNS interne pour détourner le trafic vers sa machine, voire enregistrer et rejouer une connexion d’un hôte de confiance pour s’y introduire. Mais quelle que soit l’option choisie, l’attaque n’est possible que parce que l’entreprise a laissé son système d’information parler trop librement.









































































































































 Les différentes solutions 
 Produits     Éditeurs     Type     Sites web 
 Tripwire     Tripwire      Contrôle d’intégrité sur les hôtes.     http://www.tripwire.com/products/ 
             
 FireWall-1     Check Point Software     Coupe-feu logiciel.     http://www.checkpoint.com/products/firewall-1/index.html 
             
 Cisco Secure PIX     Cisco     Coupe-feu matériel.     http://www.cisco.com/univercd/cc/td/doc/pcat/fw.htm 
             
 Nokia IP650     Nokia     Coupe-feu matériel.     http://www.nokia.com/securitysolutions/network/firewall.html 
             
 RealSecure     ISS     Détection d’intrusions.     http://www.iss.net/securing_e-business/security_products 
             
 Internet Scanner     ISS     Audit de vulnérabilité.     http://www.iss.net/securing_e-business/security_products 
             
 Solsoft NP     Solsoft     Gestion globale des listes de contrôle d’accès.     http://www.solsoft.com/products/index.html 
 



🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Jérôme Saiz