Passer au contenu

Les routeurs, nouveaux outils des attaques par déni de service ?

Un rapport du Cert fait le point sur les méthodes d’attaques par déni de service (DoS). L’organisme de surveillance de la sécurité attire l’attention sur la vulnérabilité des utilisateurs Microsoft, et sur celle des routeurs.

Depuis la première attaque par déni de service en 1999, les techniques fondées sur l’exploitation des failles de sécurité dans les systèmes vulnérables se sont considérablement améliorées. Dans son rapport ” Trend in Denial of Service Attack Technlogy “, gratuitement téléchargeable sur son site, le Cert (ex-Computer Emergency Response Team) relève un accroissement des attaques automatisées contre les routeurs et systèmes Windows.Historiquement, ces attaques visent les systèmes Unix, et dans une moindre mesure, Windows, mais sur le versant serveurs. Cependant, depuis peu, la tendance est de s’en prendre à l’utilisateur final, et donc plus systématiquement aux systèmes d’exploitation Microsoft installés chez les particuliers. En effet, selon ce rapport, les utilisateurs finaux sont moins conscients des failles de sécurité et moins préparés à répondre à ce type d’attaques. De plus, il est facile pour un hacker de repérer un fournisseur d’accès disposant d’un parc d’utilisateurs composé majoritairement de postes clients avec Windows. Enfin, les utilisateurs Windows seraient, toujours selon le Cert, peu réactifs sur les questions de sécurité.

Les systèmes Windows et les routeurs sont mal sécurisés

Autres cibles, plus nouvelles, les failles présentes dans les routeurs. Elles sont faciles à repérer car le plus souvent documentée par les constructeurs. Ces failles permettent aux intrus, par un jeu de commandes assez simple, de modifier la configuration des routeurs, de scanner l’activité, de les utiliser comme proxy pour se connecter à des IRC et, surtout, de les exploiter comme point de départ pour des attaques par déni de service. De plus, les routeurs sont souvent faiblement protégés. Selon le Cert, ces équipements omniprésents sur les réseaux pourraient devenir les rampes de lancement privilégiées pour les prochaines attaques, fondées sur les protocoles mêmes de routage et semant ainsi la panique sur tout le réseau, privé et publique.L’organisme de sécurité constate aussi que le temps qui sépare la découverte d’une faille de son exploitation se réduit de plus en plus. L’automatisation des procédures de contamination et d’attaque fait aussi une avancée spectaculaire. Le Cert recense des outils qui utilisent des scripts pour automatiser le scan des failles sur le réseau, l’exploitation de ces failles et le déploiement des attaques sous forme de ver ou autres. T0rnkit est à ce jour le plus efficace de ces outils.

Le procédé d’infection et de déclenchement des attaques s’automatise

Techniquement, le Cert distingue trois types de propagation : par back-chaining, à partir d’une source centrale et en mode autonome. La première consiste à installer un script pour copier le fichier d’attaque depuis le système source vers le système visé et à initier ensuite le script d’attaque. La seconde consiste à attaquer un hôte, en établissant une connexion directe avec lui, avant de transférer le fichier viral. Enfin, l’attaque autonome, de type Code Red, consiste à injecter le code malicieux directement à l’hôte qui l’étendra à d’autres machines. A noter que, pour le Cert, les attaques par l’intermédiaire d’e-mail ne représentent pas une avancée significative dans le monde de l’intrusion, car ce mode de diffusion est trop fondé sur l’interaction humaine.Le réseau IRC (Internation Relay Chat) de type Efnet, Undernet ou DALnet, devient lui aussi le vecteur privilégié pour les attaques par déni de service. Les réseaux et protocoles de ce type autorisent en effet les agents de DoS à ouvrir une connexion en ouvrant le port 6667, par exemple, en se substituant aux robots transitant habituellement sur ces réseaux. Problème, il est difficile de faire tomber un serveur IRC pour résoudre une attaque par DoS, mais il est toutefois facile pour des experts en sécurité de repérer les agents de DoS, moins pour l’utilisateur final. Quoi qu’il en soit, les réseaux IRC sont de plus en plus utilisés comme dorsale pour constituer un réseau d’agents DoS.

La qualité des produits mis sur le marché montrée du doigt

En conclusion, les hackers utilisent de plus en plus les protocoles et les services des réseaux pour déployer leurs attaques sous couvert de trames légitimes. Ce faisant, les techniques de filtrage ou de limitation de paquets comportant des anomalies deviennent obsolètes. De plus, les attaques largement distribuées, en multipliant le nombre d’hôtes pour les agents dormants, sont de plus en plus difficiles à maîtriser.Mais, si les intrusions ne sont pas directement dommageable, les dommages collatéraux sont eux les plus importants, comme dans le cas de Code Red, la saturation du réseau de par le scan systématique effectué avec le protocole ARP (Adress Resolution Protocol), ou encore les dysfonctionnements de certains équipements de réseau de types imprimantes ou modems DSL.Au final, rien n’a vraiment changé, les vendeurs ont encore des produits contenant des failles de sécurité, les utilisateurs déploient des logiciels et équipements sans corriger ces failles ou sécuriser leurs équipements. Les outils utilisés pour les attaques restent peu ou prou les mêmes depuis trois ans, et les algorithmes de DoS subissent peu de changement. Ce qui a évolué est sans conteste l’automation des agents dattaques, et les vers à propagation autonome croissent sur le terreau fertile des failles logicielles.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Fabrice Frossard