fw : Présentation (2/5)
Le spoofing désigne le fait de faire croire au pare-feu que la machine depuis laquelle on opère l’intrusion possède une adresse IP appartenant à son réseau sécurisé, ou bien est l’une des adresses IP extérieures autorisées à s’y connecter. Ainsi le firewall laisse-t-il passer les messages, pensant que l’ordinateur qui le sollicite fait partie de son réseau. Les attaques se limitent le plus souvent, dans ce cas, à l’injection de données ou de commandes durant une transaction entre un client et un serveur du réseau attaqué, ou encore à une connexion point à point. Cependant il peut arriver également que cela permette de changer les tables de routage, de manière à rediriger les données vers l’adresse IP spoofée.
Les attaques de mot de passe sont un sport courant, qui nécessitent pour réussir soit la mise en place de Chevaux de Troie, soit une attaque via spoofing ou sniffing, mais s’opèrent le plus souvent par ce qu’on appelle une attaque brute force, caractérisée par des tentatives répétées d’identification d’un compte utilisateur avec diverses combinaisons d’identifiant et de mot de passe. Si celle-ci est réussie, le pirate possède alors les mêmes droits que l’utilisateur dont il usurpe l’identité. Et si cet utilisateur a suffisamment de droits sur la machine, le pirate se crée un accès secret, appelé back door, pour de futures connexions plus discrètes.
La distribution de données sensibles, réalisée par un membre appartenant au réseau interne (ie : un employé dans une entreprise) pourrait apparaître comme un cas à part, voire exceptionnel. Il n’en est rien, c’est même l’une des principales vulnérabilités d’un réseau d’entreprise[[Voir Miller, Stewart S., Secrure Your Data: Web Site Attacks On Te Rise!, Inter@ctive Week, 29 janvier 1996.]]. Un employé acheté par la concurrence lui délivre des informations soit par FTP soit par email, sans quitter son bureau, et avec évidemment tous les droits qui sont les siens sur le réseau.
Les attaques de type man-in-the-middle nécessitent que le pirate ait accès aux paquets transitant sur le réseau. Un cas fréquent est par exemple celui d’un employé de fournisseur d’accès, qui peut facilement observer les paquets transférés entre le réseau et n’importe quel autre. Les nuisances possibles, pour utiliser un euphémisme, vont du vol d’informations sensibles à la prise en main d’une session en cours pour accéder aux ressources internes, jusqu’à l’analyse du trafic et l’introduction d’informations en cours de session.
Si l’on ajoute à cela la nécessité de protéger l’intégrité des données, il faut également ajouter deux types d’attaques possibles :
- le célèbre DoS (Denial of Service),
- les attaques d’application.
Le DoS ne consiste pas à récupérer de données, il consiste simplement à rendre un service inopérant en le submergeant de requêtes. Les serveurs FTP ou HTTP[[Un DoS peut également s’effectuer sur d’autres protocoles comme ICMP ou TCP.]] ainsi sollicités se retrouvent avec l’ensemble de leurs connexions permises ouvertes, empêchant donc d’autres personnes d’y accéder. Yahoo! en fit les frais de façon spectaculaire en son temps.
Les attaques d’application s’opèrent de différentes manières. Le plus souvent il s’agit d’exploiter une faille connue, ou encore inconnue, d’un logiciel standard, comme sendmail, pour obtenir des droits sur le compte qui fait tourner l’application[[C’est pourquoi il est toujours déconseillé de lancer n’importe quelle application via le root – un pirate qui réussirait à exploiter une faille du programme pourrait obtenir les droits du root.]] lequel s’avère souvent en posséder de suffisants pour faire un peu ce qu’on veut ensuite. Les attaques de troyens font également partie de cette catégorie.
Le second cas, celui dans lequel les données se trouvent sur un disque dur ou tout autre média de stockage, est à la fois un corrolaire et un cas particulier du précédent. Corrolaire en ce qu’une attaque réseau réussie place le pirate en situation d’exploiter par exemple les données présentes sur le disque de la machine qu’il attaque ou sur tout volume de réseau auquel il a accès. Et cas particulier parce qu’il concerne notamment l’hypothèse où un particulier se connecte à Internet et se fait attaquer, le réseau privé étant pour la circonstance uniquement constitué d’une machine. Tout Macintosh est sensible à la majorité des attaques sus-mentionnées. Une fois l’IP de la machine repérée, on peut tenter de sniffer ce qui en sort, de la spoofer en lui envoyant des emails qui semblent provenir de quelqu’un qui, en fait, n’a jamais écrit l’email en question, de placer des troyens sur sa machine selon diverses méthodes virales, de la bloquer en la submergeant de requêtes inutiles, et de la « casser » en exploitant une faille d’un des logiciels qu’elle exploite.
C’est pour contrer l’ensemble de ces attaques qu’il est nécessaire d’utiliser un firewall. Cependant la difficulté des défenseurs est d’avoir généralement un train de retard sur les attaquants, c’est pourquoi ces méthodes, pour efficaces et indispensables qu’elles soient, n’en seront pour autant infaillibles que jusqu’au jour où un pirate les aura contournées.
