Personne n’est à l’abri. C’est la conclusion que la plupart des spécialistes de la sécurité informatique ont tirée de la vague d’attaques par déni de service, qui a récemment paralysé les plus grands sites américains de commerce électronique. Et, de fait, le 8 février dernier, même préparés au pire, Amazon. com, Yahoo!, eBay ou E*Trade n’ont pas su juguler le flot de données qui se déversait sur leurs serveurs (près de 1 Gbit/s de transfert pour Yahoo! au plus fort de l’attaque). “S’ils peuvent faire tomber Yahoo!, ils peuvent faire tomber n’importe qui “, commentait, au lendemain de l’offensive, un spécialiste d’ISCA. net, une société spécialisée dans la sécurité des sites Internet.
Des protocoles n’offrant aucun système d’authentification fiable
La méthode utilisée, appelée Distributed Denial of Service (DDoS), consiste à fédérer la bande passante de dizaines, voire de centaines ou même de milliers de serveurs répartis sur Internet, afin qu’ils la concentrent sur une cible unique (lire encadré). Au préalable, ces serveurs sont piratés et utilisés de force, à l’insu de leurs administrateurs respectifs. En effet, à l’aide de logiciels disponibles sur Internet, tels TFC, Trin00 ou Stacheldraht, les pirates peuvent installer des logiciels serveurs sur chaque hôte piraté à travers le monde, et les piloter à l’aide d’une console d’administration unique. “Il n’y a rien à faire du côté de la victime, explique Peter Tippett, directeur technique d’ISCA. net. Le problème vient des protocoles utilisés sur le net [TCP/IP, ICMP… Ndlr], qui n’offrent aucun système d’authentification fiable.”
De fait, la majorité des spécialistes de la sécurité n’ont qu’une solution à proposer pour l’instant. Elle consiste en une meilleure gestion des serveurs, au niveau des administrateurs système, et en une meilleure collaboration entre opérateurs et fournisseurs d’accès. “Certains réseaux sont très mal configurés et autorisent, par exemple, des attaques de déni de service par amplification. C’est aux administrateurs d’être vigilants quant à la configuration des réseaux dont ils ont la charge. Cela implique de faire une veille active, de se tenir en permanence informé des nouveaux risques “, explique Sébastien Gioria, directeur technique de l’hébergeur FranceNet. Et c’est également aux administrateurs système de veiller à ce que leurs serveurs ne soient pas accessibles aux pirates, qui s’empresseraient alors de les utiliser pour lancer une attaque. “La plupart des attaques sont automatisées, même pour la partie piratage des serveurs. On peut estimer que tous les logiciels serveurs, TFC ou Trin00, sont installés sur des hôtes compromis par des failles de sécurité très largement connues, pour lesquelles des correctifs existent depuis plusieurs mois “, explique Mixter, l’auteur de TFC, dans une interview donnée au magazine CNet. Une opinion que partage Nacira Guerroudji, consultante senior en sécurité chez CF6 : “Il faut avoir une démarche préventive pour éviter que ses serveurs ne soient la base d’une attaque : se tenir au courant des failles, les réparer, conna”tre les derniers outils d’attaque disponibles.”
Réagir rapidement aux brusques augmentations de trafic
Aujourd’hui, la solution est claire : il faut empêcher que les serveurs ne soient les hôtes involontaires des agents Trin00, TFC et consorts. Il s’agit d’un travail collectif, à réaliser, bien sûr, au niveau des administrateurs système, mais aussi des hébergeurs et des opérateurs, qui doivent être capables de détecter et de réagir très rapidement à de brusques pics de trafic sur une route particulière, ainsi que de filtrer des paquets suspects (fausses adresses source…). “N’importe quel ordinateur relié à Internet peut être lié au problème ou à la solution : il peut être piraté et servir à lancer une attaque, ou il peut résister “, résume à merveille Peter Tippett. De l’avis général, seule une prise de conscience de tous les acteurs permettra de limiter de telles attaques à partir de serveurs majeurs.
Pour l’heure, le FBI a rapidement distribué un logiciel capable de détecter les serveurs à l’origine des principales attaques. Pour sa part, Network Associates propose, sur son site MyCIO. com, Zombie Scan, un outil de test en ligne gratuit capable de détecter les serveurs piratés. Jusqu’à présent, sur 10 000 serveurs ayant fait appel à ce service, 5 utilisations de Stacheldraht, une de TFN et une de Trin00 ont été détectées à travers le monde.Comme toutes les attaques profitant d’une faille dans l’architecture des protocoles, les DDoS ne peuvent être combattus par l’ajout de logiciels supplémentaires. Seule la généralisation d’IPSec, le passage à IPv6 ou à de nouveaux protocoles d’authentification de bas niveau (on parle d’HIP, le Host Identification Protocol) pourront juguler les attaques. En attendant, la solution la plus pragmatique reste de balayer devant sa porte et d’éviter que son serveur soit utilisé lors d’une telle offensive.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
