Le CERT dresse un bilan des attaques informatiques

« Le niveau d’automatisation des attaques [informatiques] continue de croître », écrit le CERT (Computer Emergency Response Team), organisme chargé de sécurité informatique et dépendant de l’institut d’ingénierie logicielle de l’université de Carnegie Mellon (Etats-Unis), dans un rapport qui vise à analyser les nouvelles méthodes des pirates. Et ce n’est pas triste. Alors que le nombre d’attaques de machines double chaque année, le centre de coordination du CERT relève six grandes tendances, ou méthodes, pour pénétrer, malmener ou exploiter un système à ses dépens.

La première d’entre elle est l’automatisation des outils nécessaires aux attaques. Non seulement les scanneurs de ports non protégés sont plus rapides et performants qu’avant, mais ils savent désormais exploiter immédiatement une faille détectée sans attendre la fin du scan. Et si auparavant, seule une intervention humaine permettait d’initier une attaque, les outils sont aujourd’hui capables de s’en charger. CodeRed ou Nimda en sont les tristes exemples. Enfin, cerise sur le gâteau, les outils savent désormais se coordonner afin de lancer des attaques en nombre comme les attaques incapacitantes (denial of service ou DoS). Pour cela, ils s’appuient notamment sur les messageries IRC (Internet Relay Chat).

Si les outils ont évolué, les méthodes également. Les outils utilisés par les attaquants sont de plus en plus discrets et savent effacer les traces de leur passage tout en se rendant invisibles aux yeux des antivirus et firewalls. De plus, l’évolution des outils, leur comportement évolutif et dynamique et la vitesse des attaques laissent peu de temps à l’administrateur pour analyser le problème et y répondre efficacement. Les « pirates » savent notamment se fondre dans les flux « normaux » du trafic d’un serveur et il devient alors difficile de repérer l’intrus.

Exploiter les faiblesses des applications

Troisième tendance, les pirates profitent des imperfections des applications avant que les éditeurs n’aient eu le temps de proposer un correctif. D’ailleurs, celui-ci intervient généralement après qu’un incident a été rapporté à l’éditeur. Même les administrateurs les plus sérieux qui appliquent à la première heure les patchs de correction n’ont donc aucune garantie de ne jamais être victimes d’une attaque. La quatrième tendance consiste à exploiter la perméabilité des firewalls dont la configuration par défaut ne protège généralement pas certains protocoles comme l’IPP (Internet Printing Protocol) ou le WebDAV (pour le travail collaboratif en ligne). Un vrai tapis rouge pour les personnes malintentionnées.

Cinquième tendance, l’asymétrie des attaques. Aujourd’hui, ce n’est plus une machine contre une autre mais des dizaines, des centaines voire des milliers contre une seule (un serveur en général). Les outils des pirates leur permettent de piloter à distance PC et routeurs, ce qui permet notamment de lancer des requêtes en grand nombre qui vont saturer le système ciblé. Cette technique n’est autre que le DoS et fait partie des quatre menaces recensées par le CERT. Le ver (qui est capable de s’auto-propager) et les attaques de serveurs de noms de domaine (DNS) et de routeurs sont les autres menaces qui planent régulièrement sur les systèmes informatiques.

Informer pour mieux prévenir

A travers ce rapport inquiétant, l’objectif du CERT n’est pas de recenser le nombre précis d’attaques et encore moins pointer du doigt les systèmes et entreprises les plus faillibles, mais simplement d’informer d’un problème grave de sécurité informatique afin d’y répondre de la meilleure manière. Pour cela, le CERT donne, en fin de rapport, les liens vers des pages qui traitent en profondeur des attaques évoquées. Comme, par exemple, les erreurs de configuration des DNS à éviter. De bonnes adresses, assurément.