La connexion d’un système d’information à Internet expose irrémédiablement celui-ci à des tentatives d’intrusion, à des attaques et à d’éventuelles malversations. À l’heure de l’informatique communicante, il n’est plus concevable de préserver l’isolation totale des systèmes. La communauté des hackers s’organise, se spécialise et se dote d’outils toujours plus puissants, automatisant notamment les démarches aléatoires de recherche de défaillance de sécurité. Dès lors, la question à se poser n’est plus : “Mon système sera-t-il attaqué ?” mais plutôt “quand le sera-t-il ?”.C’est pourquoi un nombre croissant d’entreprises a opté pour l’emploi de leurres, aussi appelés honeypots (pots de miel) destinés à attirer et à occuper les hackers. On distingue deux domaines d’utilisation des leurres : la protection d’un système de production et la recherche sur les méthodes et les techniques employées par les pirates. Protéger des ressources nécessite de comprendre quelles sont les menaces spécifiques qui les concernent : connaître son ennemi, prévoir ses attaques, détecter ses outils et surtout savoir comment il pourra effacer les traces de son intrusion. Tels sont les objectifs de l’analyse des attaques conduites sur ces leurres.Pour être efficaces, les leurres doivent être de véritables copies de systèmes réels. Les honeypots sont donc construits sur des architectures classiques (coupe-feu, routeurs…), des systèmes d’exploitation standards (Unix, Linux, Windows, etc.) et des services communs (SGBD, serveurs FTP, serveurs de messagerie, DNS, progiciels, etc.). Des leurres plus sophistiqués simulent des applications complexes déployées au sein d’architectures distribuées : échanges de fichiers, courtiers d’objets, appels de composants distants, etc. Le filtrage du trafic réseau, qui permet de détecter les tentatives d’intrusion, doit être mis en ?”uvre discrètement afin de ne pas être aisément détectable. Plus le leurre ressemble à un système de production, plus il est efficace et permet d’atteindre les deux objectifs pour lesquels il est conçu. Il s’agit tout d’abord d’attirer les hackers afin d’étudier leurs méthodes, d’analyser leurs outils et de comprendre leur profil psychologique. Un honeypot n’est réellement utile que s’il est mis à l’épreuve (probed), attaqué ou effectivement compromis. Les leurres ont aussi pour objectif d’occuper les hackers afin de les écarter des véritables ressources de production de l’entreprise.
Deux catégories de pirates
Pour attirer le pirate, on ne fait rien d’autre que de créer un honeypot et d’attendre. La communauté des hackers, très active, ne tardera pas à “tomber”, souvent par hasard, sur le nouveau honeypot. L’utilisation de DNS peut accroître la visibilité des leurres et permet, en outre, de détecter les menaces associées aux serveurs de noms. Il est impératif de ne pas sous-estimer les compétences des pirates et la qualité de leur outillage. En particulier, il faut renoncer à créer des zones artificielles de vulnérabilité ou des faiblesses trop évidentes de sécurité, au risque de n’attirer que les Script Kiddies et non les vrais Blackhats.Car tous les hackers ne se ressemblent pas. Ainsi, Les Script Kiddies ne visent aucune entreprise en particulier et ne recherchent aucune information : ils menacent tout système, qu’il soit commercial, militaire, éducatif, etc. Ils scrutent simplement le réseau à la recherche d’une faille de sécurité aisément reconnaissable et déploient alors les armes qu’ils maîtrisent (easy kill). Tous adoptent la même stratégie, qui débute par la recherche d’adresses IP valides. Cette opération peut être entièrement automatisée par l’emploi d’outils (comme nmap de Fyodor’s ou sscan de JSBach) fonctionnant jour et nuit, et menaçant à chaque instant tous les systèmes connectés à Internet. Le hacker construit une base d’adresses IP associées à des ressources aux caractéristiques identifiées : serveurs Linux ou systèmes hébergeant un serveur FTP, par exemple. Des fichiers, contenant parfois quelques centaines de milliers d’adresses IP associées à autant de systèmes vulnérables, sont souvent échangés, voire même vendus entre pirates. Le nec plus ultra consiste à effectuer la recherche d’adresses IP depuis une machine déjà piratée afin de brouiller les pistes. Lorsqu’un hacker chevronné parvient à contrôler un nombre important de systèmes, il coordonne ces machines à distance pour exécuter des attaques en DoS (deni de service) sur une victime ciblée.La seconde étape de la démarche des Script Kiddies consiste à tester la vulnérabilité de ces ressources. Là encore, de nombreux outils automatisent cette tâche. Lorsqu’un système révèle une faiblesse connue, le pirate utilise généralement des scripts pour le corrompre (imapd_exploit.c sous Linux, par exemple). Se procurer de tels outils est devenu chose aisée et ne nécessite même pas d’en comprendre le mode de fonctionnement.
Blackhat, le pirate expert
Les experts agissent tout autrement. Ils ciblent leurs attaques et emploient des outils de recherche complexes et peu “visibles” (difficilement détectables), qu’ils sont souvent capables de développer eux-mêmes. Leur premier objectif consiste à installer une porte de service (backdoor) au sein d’un système piraté afin de pouvoir y accéder très simplement, essentiellement dans le but de l’utiliser pour brouiller les pistes lors de nouvelles recherches d’adresses IP ou d’autres attaques. Les programmes Trojan vont encore plus loin et permettent à un expert de n’être plus du tout détectable au sein des listes de processus systèmes et des fichiers d’utilisateurs. Détecter les Blackhats et comprendre leurs actions est dès lors indispensable. C’est là le rôle des honeypots et des ingénieurs chargés de la surveillance des réseaux.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
