Les attaques sur le Web : Enjeux & Solutions (2)

 


Les attaques exploitant des vulnérabilités encore
inconnues
 

secu240140507.jpgLes
attaques exploitant des vulnérabilités inconnues sont particulièrement
dangereuses car les mesures préventives n’ont pas pu être prises en avance. 

Un exemple récent est l’attaque du 25 juin 2004 perpétrée
par des hackers basés en Russie qui a transformé des serveurs IIS en
distributeurs de codes malicieux. 

Le nombre de ces zero day
exploits, loin d’être négligeable, semble croître rapidement. 


Ceci tient à plusieurs raisons :

* De nouvelles
vulnérabilités sont régulièrement découvertes dans les composants logiciels
tiers utilisés par les applications.
* Les possibilités
de manipulation des requêtes sont virtuellement illimitées, ce qui rend les
combinaisons d’attaques et les vulnérabilités potentilles impossibles à
répertorier. Par exemple, un caractère utilisé dans des attaques injection
SQL peut être codé de six manières différentes tout en restant valide pour
SQL. Ce qui fait que l’instruction <SELECT> peut être codée de 86 manières
différentes !
* Combinant les
différentes techniques d’attaque pour en concevoir de nouvelles, les hackers
cherchent constamment à innover afin de contourner les filtres de sécurité
mis en place.

Conclusion 

Vol de données confidentielles, détournement de transactions, rupture de
service, atteinte à l’image de marque : les risques sont bien réels pour les
entreprises qui continuent d’ouvrir leurs applications critiques au Web et
de déployer des sites Web de plus en plus transactionnels.

Les hackers bénéficient d’un environnement favorable : des
applications Web présentant de nombreuses failles potentielles, des
possibilités d’interaction à distance via les accès Web, de multiples
techniques pour parvenir à déstabiliser, voire prendre le contrôle des
applications sans être inquiétés par les firewalls traditionnels en place. 

Des contre-mesures ont cependant été développées pour
protéger les systèmes d’information vis-à-vis de l’Internet comme, par
exemple, des firewalls applicatifs qui suppriment les codes malicieux dans
les pages Web. Des correctifs sont régulièrement mis à la disposition des
utilisateurs pour protéger leurs systèmes. 

Vous pouvez, vous-même, vous protéger en interdisant
l’activation de contrôles ActiveX des scripts et en augmentant le niveau de
sécurité de votre navigateur Web. 


Attaques Dos et DdoS
 

Il existe cependant des attaques moins ciblées, d’un niveau
que nous qualifierons d’inférieur d’un point de vue informatique. 

Le pirate ne cherche plus cette fois à prendre contrôle de
votre application mais cherche seulement à perturber le fonctionnement de
vos serveurs. C’est le Deny of Service (DoS) ou le Distributed Deny of
Service (DdoS).
* DoS : le pirate,
seul, cherche à perturber votre serveur en envoyant un nombre important de
requêtes. Si le nombre est suffisamment important, le serveur sera saturé et
s’arrêtera de fonctionner. S’il ne l’est pas alors, l’application sera
seulement ralentie.

* DdoS : cette
technique est beaucoup plus agressive que la précédente car le pirate
n’utilise plus un petit nombre de machines mais des réseaux entiers pour
congestionner l’accès au serveur.

Si le réseau d’accès est suffisamment robuste, seul le serveur en souffrira
et cessera finalement de fonctionner. Mais si le réseau d’accès n’est pas
suffisamment robuste, toutes les machines du réseau sur lequel se trouve le
serveur cible en souffriront.

Microsoft et Yahoo ont déjà subi ce genre d’attaque. Il existe heureusement
des parades comme, par exemple, de bloquer les adresses IP des machines
attaquantes car ce type d’attaque n’est pas discret et se repère facilement
sur un réseau. Les IDS peuvent, en outre, remplir cette fonction.

L’usage du Web par browser
(juin 2004) :
 

1. MSIE 6.x  

      77%

2. MSIE 5.x  

  17%

3. Mozilla 

   2%

4. Netscape 7.x 

  1%

5. Safari  

    1%

                                                                                                 

Cela veut dire qu’en moyenne 94% du surf est effectué par
un browser de type Internet Explorer mais cela ne signifie pas que 94% du
trafic total d’Internet soit du surf.

Ces chiffres ne signifient pas grand-chose si on ne stipule
pas que plus de 90% des browsers Web ont la fonctionnalité Java activée et
sont par conséquent des cibles potentilles pour certains hackers.


Les attaques par le système d’exploitation

Nous ne cherchons à référencer que les systèmes
d’exploitation les plus usuels. Il existe deux types de hackers :
* les
occasionnels qui représentent 75%
des attaques : ils parcourent l’Internet dans l’intention
d’attaquer une machine au hasard en utilisant des failles de sécurité déjà
publiées ; ils n’apportent strictement rien jà la communauté informatique,
leurs attaques sont simplement faites pour nuire ;
* les
déterminés qui représentent 25%
des attaques : ils cherchent à attaquer un compagnie ou un
système ciblé ; certains permettent de mettre en évidence des failles de
sécurité et ainsi améliorent la sécurité générale des systèmes
d’information, mais ce n’est malheureusement pas souvent le cas pour la
majeure partie d’entre eux qui ont des inten! tions malhonnêtes et souvent à
but lucratif.

D’après une étude de Symantec, les systèmes Microsoft représentent à eux
seuls 75% des attaques globales avec interruption de service, ce qui est
assez conséquent et normal vu la prédominance de Microsoft sur le marché du
client/serveur. Ces chiffres sont cependant à nuancer car il est préférable
que la machine s’arrête de fonctionner plutôt que de laisser l’attaquant
entrer dans son système d’information.

Il faut souligner que les systèmes libres ne sont pas
épargnés par les hackers. Des outils, les rootkits, permet de prendre le
contrôle de systèmes Unix ou Linux. 

Les hakcers déterminent le type d’OS en analysant les temps
de réponse et la configuration du protocole TCP/IP. Cette technique est
appelée fingerprinting. Il
existe aujourd’hui des techniques pour s’en prémunir que ce soit par les
firewalls et/ou IDS ou par modification des paramètres de configuration
réseau des serveurs. 

Notons cependant qu’aujourd’hui la communauté s’accorde à
dire que l’OS le plus sécurisé en termes de clients est Darwin (MacOS X),
tout simplement parce qu’il est basé sur un OS libre et bien sécurisé de
type BSD (Unix – Berkeley Software Design).

A cela il faut ajouter qu’il est propriétaire et, par
conséquent bénéficie de la sécurité par l’obscurité. 


Les attaques combinées
 


Le phishing

Le phishing, la plus actuelle des menaces, repose sur trois
impostures et sur votre naïveté (nous sommes plus de 700 millions de pigeons
potentiels connectés sur l’Internet).

* Envoi de
l’hameçon :

vous recevrez un mél qui a l’air de venir d’un destinataire de confiance,
mais provient en réalité de l’attaquant.

 *Attente
que ça morde :

le mél vous demande de cliquer sur un hyperlien qui vous dirige sur un site
Web ayant l’air d’être celui d’un site de confiance, d’après son adresse et
le look de la page affichée. C’est en réalité celui de l’attaquant.

* Le site
Web de l’attaque par phishing,

sur lequel vous emmène la deuxième imposture, vous demande,
pour préparer la troisième imposture, celle qui fait mal, d’entrer des
renseignements tels que votre couple login et mot de passe, vos coordonnées
bancaires, notre numéro de carte de crédit… Avec  ces renseignements, comme
l’attaque est en général &! agrave; but lucratif, l’attaquant usurpe votre
identité, en utilisant les renseignements que vous lui avez aimablement
fournis, pour vider votre compte bancaire ou attaquer notre réseau.

Le panaché

Citons maintenant la combinaison redoutable entre toutes,
fléau des temps modernes qui arrive par la messagerie :

 


c’est le quartet : spam + mass mailer + ver +
phishing,

le tout simultanément.

Le ver est là pour installer un logiciel espion, un cheval
de Troie ou une porte dérobée sur votre poste de travail, pour exploitation
ultérieure.

Par exemple, le ver Bugbear.B, apparu en 2003 et véhiculé par la messagerie,
se cache en mode dormant sur votre poste de travail, se fait oublier, mais
s’active automatiquement si vous contractez l’une des milliers de banques,
dont plusieurs françaises, contenues dans sa liste. Il envoie ensuite
l’intégrale des échanges électroniques entre vous et votre banque à on ne
sait qui.


* Consultant Senior en
Sécurité
Directeur Général Online-Netsecurity
(Email :

mondher.gam@Online-netsecurity.com
)