Éditoriaux Défense Sécurité Terrorisme Zones de conflits Logistique Livres de référence Liens
Terre Air Mer Gendarmerie Renseignement Infoguerre Cyber Recherche

Nouvelle page 1

Internet : un réseau fondamentalement non sûr (16)

Le mot "Internet" est apparu le 1er janvier 1983 pour désigner un réseau de réseaux, sans centre névralgique, qui se compose de millions de réseaux interconnectés : réseaux gouvernementaux, militaires ou civils, publics ou privés. Internet transporte un large spectre d'information et permet l'élaboration d'applications et de services aussi variés que le courrier électronique, la messagerie instantanée, le surf sur la toile - le World Wide Web - et la téléphonie. Internet utilise pour cela un ensemble standardisé de protocoles de transfert de données. Si Internet permet de s'affranchir nombreuses contraintes en reliant les hommes transformant notre monde en un village global, les menaces qui pèsent sur ce réseau mondial sont considérables. Chaque jour, on découvre de nouvelles vulnérabilités. Si pour la plupart de ces menaces, des parades existent, leur efficacité toutefois exige aussi de la part des utilisateurs le respect de règles assez strictes. Pour le "grand dossier" de la revue Défense consacré à "la cybercriminalité sous sous toutes ses formes",[1] Vincent Nicomette présente un panorama des différentes attaques et vulnérabilités auxquelles sont exposés les sites interactifs. Ce texte est reproduit ici avec l'accord de la rédaction de la revue. Paris le 15 octobre 2010.©

par Vincent Nicomette (*)

Il est tout d'abord important de souligner que les protocoles qui régissent le réseau Internet aujourd'hui, c'est-à-dire la suite protocolaire TCP/IP, ont été imaginés par des chercheurs américains de la DARPA, dans le milieu des années 1970, pour communiquer entre plusieurs centres de recherche malgré des équipements peu fiables. À cette époque, on n’imaginait pas que des personnes malintentionnées veuillent détourner ces protocoles à des fins malveillantes. Aussi, rien n'a-t-il été prévu, à l'origine, pour garantir la sécurité de ce réseau contre des malveillances. Le problème est qu'aujourd'hui, le réseau Internet utilise toujours cette même suite protocolaire et que, malheureusement, des personnes malintentionnées tentent de profiter de ses vulnérabilités. Et les attaques sont multiples : déguisement (IP spoofing), interception (TCP hijacking), déni de service, etc. Il existe bien une nouvelle version du protocole IP, baptisée IPv6, qui est capable de contrer bon nombre de ces attaques et elle est déjà utilisée dans certaines parties du globe. Malheureusement, elle est loin d'être la version la plus répandue aujourd'hui sur la planète et il ne faut pas s’attendre à ce qu’elle soit déployée partout à court terme. Ainsi, le réseau Internet repose, encore aujourd’hui, sur des protocoles non sûrs.

 

Un autre grave problème de la toile est lié aux applications qui utilisent cette suite protocolaire TCP/IP. Même si elles ont été développées plus récemment et dans un contexte où la sécurité est devenue une préoccupation majeure, ces applications sont elles-mêmes sujettes à de multiples vulnérabilités. Plusieurs facteurs peuvent l’expliquer : 1) la pression constante du « time-to-market » qui conduit à produire des logiciels de mauvaise qualité et 2) le manque de compétence en sécurité informatique des développeurs. Pour se rendre compte de l'ampleur des dégâts, il suffit simplement de se pencher sur les nombreux problèmes de sécurité (Cross Site Scripting, Injections SQL, etc) liés aux diverses technologies utilisées par les serveurs Web. Une des façons les plus efficaces aujourd'hui de mener une attaque est de profiter d’une vulnérabilité d’un site Web quelconque pour modifier une de ses pages et la transformer en « page minée ». De cette façon, il est possible de contaminer n'importe quel utilisateur qui simplement visite cette page. Ce problème est d'autant plus grave que la plupart des entreprises permettent à leurs employés d’accéder à de tels sites pour des raisons professionnelles, mais aussi que les sites Web aujourd'hui sont déployés partout et par tout le monde, y compris par des gens n'ayant aucune compétence en sécurité informatique (quelle association, si petite soit-elle, n'a pas aujourd'hui son propre site Web ?)

L’évolution technologique des programmes malveillants

En parallèle, les programmes malveillants (maliciels ou malware en anglais) qui exploitent ces vulnérabilités ont constamment évolué et progressé technologiquement. L'attaque classique consistant à obtenir ou deviner un couple identifiant/mot de passe (attaque par dictionnaire) d'un utilisateur légitime d'un système informatique, même si elle est malheureusement toujours efficace aujourd'hui, a été complétée par d'autres techniques bien plus avancées. Comme il est impossible, dans cet article, de retracer en détail l'histoire et l'évolution des maliciels depuis leur apparition, nous en donnerons ici simplement les avancées technologiques marquantes des 15 dernières années.

      La découverte et la prolifération de la technique appelée « débordement de tampon mémoire » ou buffer overflow en anglais ont donné lieu a de multiples attaques utilisées par les maliciels les plus connus des années 2000 (Code Red [2] en 2001, Blaster [3] en 2003, Sasser [4] en 2004, etc.). Très brièvement, l'attaque de type débordement de tampon consiste à profiter du fait qu'un logiciel ne valide pas correctement ses entrées pour lui fournir une donnée dont la longueur dépasse largement la place qui lui est réservée en mémoire par le programme. Ainsi, la réception de cette donnée provoque l'écrasement d’une partie de la mémoire par des instructions malveillantes qui seront exécutées par la victime à son insu.

      Les maliciels ne se contentent plus simplement de compromettre une machine une seule fois, mais ils installent des « portes dérobées » (Backdoors), qui leur permettent de se réintroduire plus tard sur la machine compromise (Blaster en 2003, Sasser en 2004, etc.).

      Les maliciels utilisent des techniques d'auto-défense pour mettre en défaut les antivirus et autres logiciels de protection. Ils sont capables par exemple de les désactiver, ou de modifier la configuration du système (base de registres sous Windows) de façon à ne pas être détectés (Confiker en 2008).[5]

     Les maliciels, lorsqu'ils se reproduisent (ils sont alors classifiés en vers ou virus), sont capables de muter de façon à ne pas être reconnus. On assiste alors à la création de multiples variantes d'un même maliciel et on parle de maliciel polymorphe. Bagle,[6] par exemple, est connu pour son grand nombre de variantes. Les maliciels ont également évolué de façon à ne plus se présenter sous la forme d'un seul programme binaire mais sous la forme de multiples injections de code à différents endroits du système infecté.

     On parle alors de rootkits (comme TornKit en 2001).[7] Ces rootkits sont plus difficilement détectables car il faut que les outils de défense soient capables de repérer des modifications minimes à différents endroits du système. Ces rootkits sont encore plus redoutables lorsqu'ils sont capables de s'insérer au cœur même du système d'exploitation, appelé couramment « noyau » du système (on parle alors de rootkits noyaux, comme Adore et Adore-ng de 2000 à 2004).[8]

Concernant la propagation des maliciels, plusieurs techniques sont utilisées :

o   On peut infecter des machines à distance par l’exploitation de vulnérabilités dans certains services présents sur ces machines, souvent à l’insu de leurs utilisateurs. De nombreux maliciels ont par exemple profité de l'existence de multiples vulnérabilités dans le serveur IIS de Windows (Code Red, Nimda,[9] sadmind/IIS,[10] etc).

o   La compromission de sites Web vulnérables permet elle aussi d'infecter de multiples utilisateurs venus simplement visiter ces sites, comme nous l'avons mentionné plus haut.

o   Les nouveaux supports matériels, tels que les clés USB, permettent aussi facilement à un maliciel de se propager. De multiples vulnérabilités concernant les clés USB ont notamment été publiées ces dernières années.[11]

o   Enfin, et c'est une tendance de plus en plus marquée actuellement, les maliciels peuvent se propager simplement en s'insérant en document attaché d'un courriel, dans l'attente que le destinataire du courriel ouvre ce document attaché. Cette méthode s'est avérée très efficace et a été utilisée par de multiples maliciels des années 2000 (Code Red, I love You,[12] etc). 

Les botnets (réseaux de machines compromises)

La professionnalisation du déploiement des maliciels a réellement vu le jour avec l'apparition d'architectures complexes de distribution et de mises à jour de maliciels. Ces architectures sont baptisées botnets. Un botnet est un réseau de machines compromises (bots dans le jargon des hackers), sous le contrôle d'un maître. Le maître du botnet peut envoyer des ordres à ses bots de façon à lancer des attaques massives en déni de service distribué (Distributed Denial of Service, abrégé en DDoS en anglais) ou en campagne de pourriels (SPAM en anglais) par exemple. Ces attaques, menées par des milliers de machines en même temps, peuvent s'avérer particulièrement efficaces. Or on constate aujourd'hui que l'architecture de ces botnets, qui était au départ très simple (une architecture basique en « étoile » entre le maître et ses bots) est devenue aujourd'hui extrêmement complexe pour les botnets récents tels que Storm [13] ou Waledac,[14] avec une infrastructure redondante, utilisant des protocoles pair-à-pair complexes et des techniques de chiffrement. À titre d'exemple, on a estimé le nombre de machines du botnet Storm entre 1 et 50 millions, ces machines ayant été utilisées pour des distributions massives de pourriels. La difficulté d'éradication de ces botnets, outre le fait que leur infrastructure leur permet de se réorganiser très rapidement, réside dans le fait que les bots sont repartis géographiquement dans de multiples pays, ce qui rend difficile toute action de justice.

Les attaques ciblées : Aujourd'hui, on constate une évolution forte vers des attaques « ciblées ». Ces attaques sont souvent référencées par le terme d'harponnage ou Spear Phishing en anglais. Elles sont basées, non pas sur des maliciels relativement génériques visant des systèmes d'exploitation ou des systèmes standard, mais sur des maliciels qui sont développé spécifiquement pour une cible particulière et qui sont donc très difficiles à détecter (surtout du fait de leur très petit nombre d’utilisations). Ainsi, un certain nombre d'articles [15] dans la presse témoignent d'attaques ciblant notamment les services fédéraux américains. Ces attaques ont souvent pour origine un courriel contenant un cheval de Troie, ce courriel ayant été spécifiquement conçu pour du personnel travaillant dans une agence gouvernementale précise (le contenu du courriel semble parfaitement cohérent à la personne qui le lit). De même, l'administration de Mme Merkel a été victime de pirates chinois qui auraient téléchargé plusieurs Gigas Octets de données, à l'aide d'attaques ciblées;[16] Cette nouvelle menace, réellement apparue dans les années 2000, a fait le fruit de plusieurs analyses dont celle de Richard Bejtlich,[17] qui la définit par le terme « Advanced Persistent Threat (APT) ». Cette menace est caractérisée selon lui par 1) une réelle expertise des attaquants capables de fabriquer sur-mesure un maliciel pour leurs besoins, 2) un réel acharnement des attaquants qui ont un but précis et 3) une véritable menace au sens où les attaquants sont aux ordres d'une organisation. Ces attaques ciblées, ont visé tour à tour, selon l’auteur, les agences gouvernementales non militaires, puis les industries de la défense, puis, plus récemment, les riches entreprises privées.

L’utilisation des réseaux sociaux

De façon à pouvoir construire et lancer ces attaques ciblées, il faut bien sûr accumuler au préalable un certain nombre d'informations concernant le contexte des personnes ciblées et/ou de l'entreprise ciblée : si l'attaque prévoit d'utiliser un cheval de Troie attaché dans un courriel, il faut que le courriel soit rédigé de telle façon que la personne ciblée ne se méfie pas, et par conséquent, il faut avoir une certaine connaissance de ses habitudes de travail, de ses collaborateurs, de ses relations en général. Et c'est ici que les réseaux sociaux entrent en jeu. De plus en plus de personnes aujourd'hui sont connectées sur des réseaux sociaux, tels que Facebook ou LinkedLin. Les informations qui sont divulguées sur ce type de réseaux peuvent être très utiles aux attaquants pour réaliser justement des attaques ciblées. À titre d'exemple, aux Etats Unis, l'accès à des informations personnelles d'une personne sur son compte Facebook a permis à des attaquants de réaliser une intrusion dans la société dans laquelle cette personne travaillait.[18] Cet exemple est intéressant car il y a eu utilisation à la fois d'informations sur un réseau social et d'une attaque ciblée. En effet, les attaquants, lorsqu'ils ont eu accès par le réseau social à des informations privées concernant cette personne, ont découvert qu'elle venait de passer un week-end avec des amis, au cours duquel ils avaient pique-niqué. Les attaquants ont ensuite envoyé à cette personne, en se faisant passer pour un de ces amis, un courriel contenant en document attaché des photos du pique-nique. Cette attaque ciblée ne risquait guère d’être identifiée puisque le message semblait parfaitement cohérent. Le document attaché en question était un maliciel, contenant, entre autres, un outil permettant de capturer toutes les informations saisies au clavier par la personne. Ainsi, puisque la personne se connectait à son travail depuis son domicile, il a été possible aux attaquants d'obtenir des informations leur permettant à leur tour de se connecter à la société de cette personne (adresse IP, identifiant et mot de passe).

Le futur ?

Comment prévoir l'évolution des futures menaces et des attaques sur la toile ? Délicate question. On peut néanmoins constater que la tendance est à la professionnalisation des attaques, de par le développement d'infrastructures complexes de déploiement de maliciels, de par la création d'attaques de plus en plus ciblées, et de par le choix des cibles, qui sont de plus en plus sensibles (agences gouvernementales notamment). Pour faire face aux futures menaces, il est également incontournable d'envisager les nouveaux points d'interconnexion du réseau Internet. En effet, le réseau Internet s'ouvre encore plus aujourd'hui avec l'utilisation massive des technologies mobiles au sens large (en particulier les téléphones portables) qui offrent la possibilité, via des protocoles tels que Wifi, BlueTooth, GPRS, etc., de se connecter à la toile avec des débits importants. Les attaques peuvent désormais provenir également de ce type d'appareil, et des maliciels visant des logiciels équipant certains téléphones portables existent déjà.[19] Il est donc très important de prendre en considération ces attaques, d'autant plus que le nombre de personnes équipées de ce type de matériels ne va cesser d'augmenter. Enfin, l'actualité est aussi à « l'Internet des choses », qui fait référence au fait que bientôt, non seulement nos téléphones auront la possibilité de se connecter à Internet, mais aussi d'autres objets de la maison, comme le téléviseur et le lecteur de DVD (c’est déjà le cas aujourd’hui), le système d'alarme, de chauffage, de fermeture des volets, le réfrigérateur, etc. Ici, encore, il faut considérer dès à présent les vulnérabilités qui peuvent affecter ces équipements de façon à pouvoir faire face à ces nouvelles menaces.

(*) Vincent Nicomette est maître de conférence à l'INSA-Toulouse et chercheur au CNRS.

[1] Numéro 147 de Défense (septembre-octobre 2010), revue bimestrielle de l'Union des Associations des Auditeurs de l'Institut des Hautes Études de Défense Nationale (IHEDN), réalisée par des bénévoles, « auditeurs de l'IH ». Abonnements: BP 41-00445 Armées.
[2] http://www.certa.ssi.gouv.fr/site/CERTA-2001-ALE-008
[3] http://www.certa.ssi.gouv.fr/site/CERTA-2003-ALE-002
[4] http://www.certa.ssi.gouv.fr/site/CERTA-2004-ALE-007
[5] http://blogs.technet.com/b/mmpc/archive/2009/01/22/centralized-information-about-the-conficker-worm.aspx
[6] http://www.ossir.org/jssi/jssi2004/1B.pdf
[7] http://www.f-secure.com/v-descs/torn.shtml
[8] http://www.hsc.fr/ressources/breves/adore.html.fr
[9] http://www.certa.ssi.gouv.fr/site/CERTA-2001-ALE-013/CERTA-2001-ALE-013.html
[10] http://www.certa.ssi.gouv.fr/site/CERTA-2001-ALE-007/CERTA-2001-ALE-007.html
[11] http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-006/index.html
[12] http://www.certa.ssi.gouv.fr/site/CERTA-2000-REC-001/
[13] http://www.clusif.asso.fr/fr/production/ouvrages/pdf/CLUSIF-2009-Bots-et-Botnets.pdf
[14] http://www.zdnet.fr/actualites/microsoft-annonce-avoir-decime-le-botnet-waledac-39750205.htm
[15] http://www.businessweek.com/print/magazine/content/08_16/b4080032218430.htm
[16] http://www.timesonline.co.uk/tol/news/world/europe/article2332130.ece
[17] http://searchsecurity.techtarget.com/magazinePrintFriendly/0,296905,sid14_gci1516312,00.html
[18] http://www.usatoday.com/tech/news/computersecurity/2010-03-04-1Anetsecurity04_CV_N.htm
[19]http://www.sstic.org/media/SSTIC2010/SSTIC-actes/Rootkit_Windows_Mobile_6/SSTIC2010-Slides-Rootkit_Windows_Mobile_6-halbronn.pdf

Au sommaire du grand dossier :


Derniers articles

Verdun 2016 : La légende de la « tranchée des baïonnettes »
Eyes in the Dark: Navy Dive Helmet Display Emerges as Game-Changer
OIR Official: Captured Info Describes ISIL Operations in Manbij
Cyber, Space, Middle East Join Nuclear Triad Topics at Deterrence Meeting
Carter Opens Second DoD Innovation Hub in Boston
Triomphe de St-Cyr : le Vietnam sur les rangs
Dwight D. Eisenhower Conducts First OIR Missions from Arabian Gulf
L’amiral Prazuck prend la manœuvre de la Marine
Airmen Practice Rescuing Downed Pilots in Pacific Thunder 16-2
On ne lutte pas contre les moustiques avec une Kalachnikov...
Enemy Mine: Underwater Drones Hunt Buried Targets, Save Lives
Daesh Publications Are Translated Into Eleven Languages
Opération Chammal : 10 000 heures de vol en opération pour les Mirage 2000 basés en Jordanie
Le Drian : Daech : une réponse à plusieurs niveaux
Carter: Defense Ministers Agree on Next Steps in Counter-ISIL Fight
Carter Convenes Counter-ISIL Coalition Meeting at Andrews
Carter Welcomes France’s Increased Counter-ISIL Support
100-Plus Aircraft Fly in for Exercise Red Flag 16-3
Growlers Soar With B-1s Around Ellsworth AFB
A-10s Deploy to Slovakia for Cross-Border Training
We Don’t Fight Against Mosquitoes With a Kalashnikov
Bug-Hunting Computers to Compete in DARPA Cyber Grand Challenge
Chiefs of US and Chinese Navies Agree on Need for Cooperation
DoD Cyber Strategy Defines How Officials Discern Cyber Incidents from Armed Attacks
Vice Adm. Tighe Takes Charge of Information Warfare, Naval Intelligence
Truman Strike Group Completes Eight-Month Deployment
KC-46 Completes Milestone by Refueling Fighter Jet, Cargo Plane
Air Dominance and the Critical Role of Fifth Generation Fighters
Une nation est une âme
The Challenges of Ungoverned Spaces
Carter Salutes Iraqi Forces, Announces 560 U.S. Troops to Deploy to Iraq
Obama: U.S. Commitment to European Security is Unwavering in Pivotal Time for NATO
International Court to Decide Sovereignty Issue in South China Sea
La SPA 75 est centenaire !
U.S. to Deploy THAAD Missile Battery to South Korea
Maintien en condition des matériels : reprendre l’initiative
La veste « léopard », premier uniforme militaire de camouflage
Océan Indien 2016 : Opérations & Coopération
Truman Transits Strait of Gibraltar
Navy Unveils National Museum of the American Sailor
New Navy, Old Tar
Marcel Dassault parrain de la nouvelle promotion d’officiers de l’École de l’Air
RIMPAC 2016 : Ravitaillement à la mer pour le Prairial avant l’arrivée à Hawaii
Bataille de la Somme, l’oubliée
U.S., Iceland Sign Security Cooperation Agreement
Cléopatra : la frégate Jean Bart entre dans l’histoire du BPC Gamal Abdel Nasser
Surveiller l’espace maritime français aussi par satellite
America's Navy-Marine Corps Team Fuse for RIMPAC 2016
Stratégie France : Plaidoyer pour une véritable coopération franco-allemande
La lumière du Droit rayonne au bout du chemin





Directeur de la publication : Joël-François Dumont
Comité de rédaction : Jacques de Lestapis, Hugues Dumont, François de Vries (Bruxelles), Hans-Ulrich Helfer (Suisse), Michael Hellerforth (Allemagne).
Comité militaire : VAE Guy Labouérie (†), GAA François Mermet (2S), CF Patrice Théry (Asie).

Contact