Les attaques historiques
Les systèmes d’informations sont aujourd’hui de plus en plus connectés. Une des conséquences est que les vulnérabilités sont alors plus exposés. Ce changement affecte aussi bien les entreprises que les particuliers. En effet, les entreprises souhaitent améliorer leur rendements en utilisant de nouvelles pratiques. En contre partie, elles doivent prendre le risque d’exposer leurs système. Les particuliers quant à eux, prennent le risque d’exposer les informations d’ordre privées, et sont généralement moins conscients des risques encourus.
Motivations
L’éventail des attaques est très large, particulièrement concernant les attaques applicatives, mais ici on ne se contentera que d’étudier les attaques réseaux.
La première question que l’on peut se poser est: quelles sont les motivations que le “pirate”, comme on l’appelle, trouve à exploiter ces vulnérabilités? À en croire les pirates eux-mêmes, la motivation est essentiellement de l’ordre de l’amusement. Bien que minoritaires, les pirates s’introduisant dans un système dans un objectif financier, représentent la hantise des industriels. Néanmoins, les “script-kidies” sont également une grande menace, bien que ne nécessitant pas de compétences pointues, ils représentent 90% des attaques selon Symantec.
Il est possible de dégager plusieurs types de motivations pour un pirate s’introduisant dans un système:
- Vol d’informations
- Récupérations de données bancaires
- Troubler le fonctionnement d’un système
- Utiliser le système comme un “rebond”
- Utilisation des ressources du système
Vol d'informations
Il peut s’agir d’informations diverses: informations intéressantes pour une entreprise concurrente, informations d’ordre de la vie privée, etc.
Récupération de données bancaires
À l’heure de l’e-commerce, la récupération de coordonnées bancaires est une activité clé dans le marché parallèle. Il est aujourd’hui très facile pour un pirate de récupérer ce type d’informations. Il est alors nettement plus rentable et moins risqué de revendre ces informations (une unité de vente peut représenter jusqu’à plusieurs dizaines de coordonnées bancaires) que de les utiliser directement.
Troubler le fonctionnement d'un système
Cette motivation est très populaire dans les mouvements hacktivistes (contraction de hacker et activiste). En effet, une méthode de contestation consiste à mettre hors service un site web, ou un système en général. On appelle cela un déni de service, que l’on détaillera par la suite.
Utiliser le système comme un rebond
Cela consiste à s’introduire dans un système et le faire en attaquer un autre. Ainsi, il est possible de rendre une investigation policière plus complexe voire impossible. Ce type d’attaque est utilisé dans les dénis de service distribués (ou DDOS - Distributed Deni Of Service), détaillé dans la partie suivant.
Utilisation des ressources du système
Il est possible de s’introduire dans un système avec d’en utiliser les ressources. Par exemple pour utiliser sa bande passante, ou bien utiliser l’espace disque pour y placer des contenus illégaux et les partager.
L'attaque Man in the middle
Man in the middle est une attaque historique dans le domaine du réseau. Le principe est de se placer entre deux protagonistes, souvent un client et un serveur, en se faisant passer pour un des protagonistes. Entre outre, le pirate se fera passer pour le serveur devant le client, et pour le client devant le serveur. L’intérêt est de lire les données échangées et éventuellement les modifier.
Plusieurs étapes sont nécessaires pour réaliser cette attaque:
- Détournement du flux entre le client et le serveur.La méthode la plus utilisée est l’ARP Spoofing, consistant à inonder la table ARP de la victime afin de la re-diriger vers le pirate.
- Sniffing (ou l’écoute). Soit avec un simple logiciel comme Wireshark, ou plus éloboré avec Ettercap.
- Modification du flux, ou altération des données.Les outils utilisés sont variés et dépendent de la nature de l’altération souhaitée.
Les dénis de service
Plusieurs types de dénis de service existent. La liste faites ici n’est absolument pas exhaustive, mais sert à donner une idée des grands types de déni existants ou qui ont existé.SYN Flood
Le SYN Flood intervient lors de l’initialisation de la connexion TCP, et a pour objectif de mettre hors service un serveur avec un client malveillant. Le fonctionnement normal consiste à réaliser un three-way-handshake (SYN, SYN ACK, ACK):
Il est à noter qu’à chaque fois que le serveur reçoit un SYN, il ouvre une connexion TCP et réserve les ressources pour ce client. Le principe est alors d’envoyer des requêtes SYN jusqu’à que le serveur ne dispose plus de ressources, il sera alors hors service.
Aujourd’hui ce type d’attaque n’est pratiquement plus possible. En effet, les évolutions en terme de performance, mais également de répartition de charge, rendent difficile cette manoeuvre.
Saturation du réseau
Le but est de saturer le réseau en envoyant des paquets sur une adresse de broadcast par exemple.
Une attaque très connue est l’UDP Flooding, qui consiste à générer un nombre important de paquets UDP et de les envoyer. Cela va entraîner congestion du réseau et le rendre inutilisable.
Un autre exemple de saturation de réseau est le Smurf attack, utilisant le protocole ICMP. Le principe est de créer un paquet ECHO_REQUEST avec comme source l’adresse du client et comme destination une adresse de broadcast. Le client va alors être inondé de paquets ECHO_REPLY.
Déni de service distribué
Compte tenu des performances des serveurs actuels, ainsi qu’un nombre important systèmes de flitrage et de répartition de charge. Les attaques précédentes sont difficilement réalisables. Néanmoins, le déni de service distribué est aujourd’hui une des méthodes d’attaques relativement imparable. Il s’agit de multiplier les sources d’attaques afin que le serveur cible ne puisse pas repérer s’il s’agit d’une attaque ou une utilisation normale de son service.
Cette attaque requiert un grand nombre de machines “zombies”, ce sont des terminaux qui directement lancer l’attaque. Ces machines zombies sont coordonnées par des machines maîtres, qui vont transmettre les ordres d’attaque au machines zombies, le plus souvent en UDP. Le pirate se connecte directement aux machines maîtres pour configurer l’attaque. Les attaques peuvent être des mêmes types que décrits précédemment, ou bien une simple requête HTTP.
De nouvelles attaques
Hijacking
La multiplication des réseaux WiFi publiques et des sites de ventes en ligne a fait augmenter ce type d’attaque. Elle est basée uniquement sur l’erreur humaine. Le but est alors de voler des informations de la victime qui est sur le même réseau local. Plusieurs étapes:
- Attaque de type Man in the middle. Avec un détournement de flux (ARP Spoofing) et une écoute.
- Redirection de la victime sur la version HTTP du site qu’elle consulte afin de voir passer des données en clairs.
- Récupération des informations.
Smartphones
Les smartphones sont aujourd’hui de véritables ordinateurs. Toutes les attaques réseaux peuvent donc s’y appliquer. On voit néanmoins quelques particularités, en particulier au niveau du SMS.
Les attaques par SMS ont pour but de réaliser un déni de service de l’appareil, par exemple en le forçant à redémarrer. Le principe est d’envoyer un SMS mal formés. Cette faille a été repéré récemment sur les Nexus récents, qui étaient vulnérables aux SMS de Type 0 (ou Flash message), ce sont des SMS qui s’affichent automatiquement sans l’accord de l’utilisateur.
VOIP Sniffing
Les entreprises adoptent de plus en plus les techologies VOIP, beaucoup fiables et rentables que les solutions téléphoniques classiques. Il est possible d’intercepter les appels et les écouter. Plusieurs modes opératoires:
- Cheval de Troie
- Envoi du flux sur une machine distante ou bien enregistrement de la conversation sur un fichier audio en local
- Placement d’un boîtier sur le réseau de l’entreprise.
0 commentaires:
Enregistrer un commentaire