Flux RSS
Intrusion / hacking / pare-feu
718 documents trouvés, affichage des résultats 321 à 330.
| < Les 10 documents précédents | Les 10 documents suivants > |
(10/01/2011 16:18:32)
Craquer les mots de passe WiFi avec le cloud d'Amazon
Il y a quelques mois, certains experts en sécurité prédisaient l'utilisation des ressources du cloud pour craquer certains mots de passe. C'est chose faite. Thomas Roth, chercheur en sécurité à l'université de Cologne, a indiqué dans un entretien à nos confrères de Reuters, qu'il a élaboré un logiciel pour casser les protections par mot de passe des réseaux WiFi. L'originalité de la méthode est de se reposer sur les fonctionnalités du cloud d'Amazon qui fournit de la puissance de calcul en location. Grâce à cette prestation sur le mode « force brute », le logiciel est capable d'analyser jusqu'à 400 000 mots de passe par seconde. Le scientifique alerte les utilisateurs donc contre le choix de mots de passe trop simples pour protéger les réseaux sans fils. Pour Amazon, un porte-parole a estimé que cette utilisation des services AWS ou EC2 était contraire au règlement d'usage. Il a cependant indiqué que beaucoup de personnes utilisent le cloud d'Amazon dans un environnement de test, y compris pour des questions sécuritaires. Mais accéder à un réseau tiers avec l'appui du cloud d'Amazon demeure interdit.
Démonstration à la conférence Black Hat
Le logiciel proposé par Thomas Roth doit être présenté à la conférence Black Hat qui se déroule du 16 au 19 janvier prochain à Washington. Celui-ci indique qu'il a réussi à améliorer son programme et 6 minutes sont maintenant nécessaires pour casser le protocole de sécurité WiFI WPA-PSK au lieu de 20 minutes habituellement. En utilisant les ressources d'Amazon, cet exploit ne lui coûte que 4,32 euros. Derrière les effets d'annonce, le chercheur souhaite que les responsables informatiques notamment en entreprise prennent conscience des faiblesses des réseaux sans fils et milite pour une meilleure protection.
Crédit Photo: DR
(...)(05/01/2011 14:00:49)Microsoft confirme un nouveau bug zero-day dans Windows
Evoquée une première fois le 15 décembre lors d'une conférence sur la sécurité qui s'est tenue en Corée du Sud, la faille a suscité davantage d'attention mardi, quand la boîte à outils Open Source Metasploit servant à faciliter les tests d'intrusion a livré un exploit conçu par le chercheur Joshua Drake. Selon Metasploit, en cas de succès, des attaques peuvent infecter les ordinateurs victimes, et introduire des logiciels malveillants en vue de piller les machines, soutirer des renseignements ou les enrôler dans un réseau de zombies criminels. La vulnérabilité a été identifiée dans le moteur de rendu graphique de Windows, et notamment dans la façon dont il gère les vignettes des dossiers. En particulier, celle-ci peut être activée quand l'utilisateur consulte avec le gestionnaire de fichiers de Windows un dossier contenant une vignette détournée, ou lorsqu'il ouvre ou visualise certains documents Office. Microsoft, qui a reconnu le bug dans un avis de sécurité, précise que seuls Windows XP, Vista, Server 2003 et Server 2008 sont concernés par cette vulnérabilité, mais pas les derniers systèmes d'exploitation Windows 7 et Server 2008 R2.
« Les attaquants pourraient transmettre aux utilisateurs des documents PowerPoint ou Word malveillants contenant une vignette infectée, qui, s'ils sont ouverts ou même simplement prévisualisés, donneraient un accès pour exploiter leur PC, » a déclaré Microsoft. Selon le scénario, les pirates peuvent détourner les PC s'ils réussissent à pousser les utilisateurs à afficher une vignette infectée sur un dossier ou un disque partagé en réseau, ou encore via un système de partage de fichiers en ligne WebDAV. « Cette vulnérabilité permet l'exécution de code à distance. Un attaquant qui parviendrait à l'exploiter pourrait prendre le contrôle total du système infecté, » indique le document de sécurité de Microsoft. « Pour exploiter la vulnérabilité, dans la table des couleurs du fichier image, le nombre des index de couleur est changé en un nombre négatif, » a expliqué Johannes Ullrich, directeur de recherche à l'Institut SANS.
Une solution attentiste de la part de Microsoft
En attendant la publication d'un correctif, l'éditeur recommande une solution de contournement temporaire pour protéger les PC contre des attaques éventuelles. Elle consiste à ajouter plus de restrictions au fichier « shimgvw.dll », le composant qui gère la prévisualisation des images dans Windows mais oblige les utilisateurs à saisir une chaîne de caractères lors d'une invite de commande. Cela signifie également que « les fichiers multimédia habituellement gérés par le moteur de rendu graphique ne seront pas affichés correctement, » comme l'indique la firme de Redmond.
« Alors que Microsoft déclare ne pas savoir si des attaques actives sont menées pour profiter de cette faille, voilà un bug de plus à ajouter à une liste croissante de vulnérabilités non corrigées, » a déclaré Andrew Storms, directeur de la sécurité chez nCircle Security. « Il y a déjà cet énorme bug « zero-day » d'Internet Explorer » plus ce bug dans WMI Active X au sujet duquel Secunia a publié un avertissement le 22 décembre. Et maintenant ce bug dans la gestion des images. Voilà une année qui commence bien pour Microsoft... » a t-il commenté. Il y a deux semaines, Microsoft confirmait en effet un bug critique dans IE. Et dimanche dernier, Michal Zalewski ingénieur chargé de la sécurité chez Google disait avoir la preuve que des pirates chinois s'attaquaient à une autre faille dans le même navigateur. « Microsoft vient de clôturer l'année avec son plus grand correctif, et 2011 ne s'annonce pas meilleure,» a dit Andrew Storms. En 2010, l'éditeur a atteint le record de 106 bulletins de sécurité pour corriger un nombre record de 266 vulnérabilités. Le prochain Tuesday Patch régulier est prévu pour le 11 janvier. Si l'entreprise maintient son rythme normal de développement et de tests, il est fort peu probable qu'elle émette un correctif cette semaine.
Crédit Photo: Metasploit
(...)(05/01/2011 11:49:27)Dell acquiert SecureWorks, spécialiste des services de sécurité managés
Les éléments financiers n'ont pas été rendus publics, mais Dell a annoncé l'acquisition de SecureWorks, spécialiste des services de sécurité managés. L'opération ainsi réalisée s'effectue dans un segment de marché en pleine croissance. En Amérique du Nord, les services de sécurité managés ont représenté 1,8 milliards de dollars de revenus en 2009 et ce nombre devrait s'élever à 2,3 milliards de dollars cette année, selon un récent rapport de Gartner.
Avec ce rachat, Dell concurrence plus directement des fournisseurs de services de sécurité tels que Websense et Symantec. Il est probable que cette opération profite à d'autres acquisitions récentes de Dell, comme la société de stockage Compellent.
De belles références
SecureWorks gère plus de 13 milliards d'évènements de sécurité et recense plus de 30 000 types de malwares chaque jour, selon un communiqué. Sa clientèle comprend environ 2 900 clients dont plus de 1.500 institutions financières et plus de 15% des entreprises du classement Fortune 500. 700 personnes travaillent au sein de la société basée à Atlanta et prévoit un chiffre d'affaires de 120 millions de dollars pour son exercice 2010, précise Dell et d'ajouter que l'ensemble des activités actuelles seront maintenues.
SecureWorks a grandi par croissance organique en rachetant notamment l'activité de services managés de sécurité de VeriSign il y a quelques mois, mais aussi en acquérant DNS Limited en 2010. Cette dernière opération lui a permis d'accéder au marché européen. Dell et SecureWorks se connaissent bien et sont partenaires depuis longtemps. Plus tôt cette année, les sociétés ont annoncé des plans pour offrir un ensemble de services de sécurité pour les petites et moyennes entreprises.
(...)(04/01/2011 12:35:53)
IDC : le marché de la sécurité reprend des couleurs en 2011
Le marché global de la sécurité, qui comprend à la fois le matériel et les logiciels proposant des fonctionnalités de pare-feu, VPN, prévention et détection d'intrusion, ainsi que de solutions de gestion unifiée des menaces, devrait atteindre 8,16 milliards de dollars en 2011. C'est 8,1% de plus que les revenus 2010 estimés en novembre par IDC à 7,54 milliards de dollars. Bien que les chiffres définitifs relatifs à 2010 sont encore en cours de traitement, elle est considérée comme une année de stabilisation des revenus pour l'industrie de la sécurité après la difficile année 2009, qui a vu son chiffre d'affaires baisser de près de 1% par rapport à l'année précédente à environ 7,16 milliards de dollars.
Les prévisions d'IDC sur ce marché anticipent une croissance plus soutenue des logiciels par rapport aux solutions matérielles. Les premiers devraient représenter « plus de 26% du marché en 2014, » lorsque le marché global atteindra 9,5 milliards de dollars de revenus. Pourtant, les appliances matérielles se taillent encore la part du lion des recettes avec 6,58 milliards de dollars en 2011, pour atteindre 7 milliards en 2014.
La virtualisation en plein boom
Le cabinet d'analyse prévoit une forte croissance des revenus issus de la vente de solutions à destination des hyperviseurs utilisés dans le cadre de la virtualisation, passant d'environ 256,1 millions de dollars en 2011 à 413,3 millions en 2014. Le modèle Software as a Service (SaaS) va progressivement montée en puissance, notamment pour prendre en compte le développement du cloud. Le chiffre d'affaires sur ce marché sera de 170,2 millions de dollars en 2011 et 259,4 millions de dollars en 2014.
Le rapport IDC « Worldwide Network Security 2010-2014 Forecast and 2009 vendor shares » ne donne pas le palmarès des fournisseurs de solutions de sécurité en termes de revenus pour cette année, mais il indique que Cisco devrait obtenir une meilleure position qu'aujourd'hui, suivi par Check Point, Juniper, McAfee et IBM. (...)
WikiLeaks : Le FBI s'invite chez des FAI en Allemagne et aux Etats-Unis
Les Autorités américaines ont fait intrusion chez quelques fournisseurs d'accès Internet, aux Etats-Unis et en Allemagne, dans l'espoir de débusquer les hackers qui ont lancé des attaques en déni de service (DDoS, distributed denial of service) contre des sites web tels que Visa.com, PayPal.com et Mastercard.com au début du mois.
Dans plusieurs documents adressés mercredi au site Smoking Gun, le FBI (U.S. Federal Bureau of Investigation) a décrit le chemin complexe que son enquête avait suivi alors qu'il recherchait les ordinateurs ayant centralisé les attaques.
Après la visite de la police criminelle allemande chez le fournisseur d'accès Host Europe, ils ont fait le lien entre l'un des serveurs IRC (Internet Relay Chat) et un FAI du nom de Tailor Made Services, situé à Dallas (Texas). Deux disques durs ont été saisis chez ce dernier le 16 décembre, rapporte le Smoking Gun. Un autre serveur IRC a été retrouvé à Fremont, chez le Californien Hurricane Electric. Aucun de ces deux FAI n'avait encore pu être joint hier par notre confrère d'IDG News Service.
PayPal avait fourni les adresses IP de huit serveurs IRC
Les attaques perpétrées début décembre faisaient partie d'une campagne baptisée « Operation Payback » dont l'objectif visait à mettre la pression sur les entreprises qui avaient coupé les relations avec le site WikiLeaks (du Suédois Julian Assange) après la publication de télégrammes classés confidentiels émanant du Ministère américain des Affaires étrangères. Cette opération PayBack est orchestrée par un groupe anonyme qui a déjà lancé par le passé des attaques similaires contre l'Eglise de scientologie et la Motion Picture Association qui défend les intérêts de l'industrie du cinéma américain.
Si ces attaques furent importantes, elles n'ont toutefois pas causé d'interruption majeure. Elles ont fait tomber les sites visés, mais elles n'ont pas touchés les systèmes transactionnels de ces cibles. En revanche, elles ont bénéficié d'une bonne dose de publicité. Les meneurs de ces opérations ont incité des utilisateurs volontaires à télécharger un logiciel destiné à submerger certains sites web par un trafic Internet inutile, afin de les faire tomber. Parmi leurs victimes ont figuré aussi des sites critiques envers WikiLeaks, celui de Sarah Palin et du bureau du Parquet suédois, ce dernier poursuivant Julian Assange, fondateur de WikiLeaks pour agression sexuelle.
L'enquête du FBI se concentre sur les serveurs IRC utilisés pour coordonner les attaques. Le bureau fédéral a lancé ses recherches le 9 décembre, PayPal leur ayant alors fourni les adresses IP de huit serveurs IRC utilisés par le groupe anonyme. Le 9 décembre, la police néerlandaise a arrêté un adolescent de 16 ans ayant des liens avec ces attaques.
Hadopi validera bientôt une liste de logiciels espions
Le décret relatif à la labellisation des moyens de sécurisation que pourront utiliser les internautes pour protéger leur accès à Internet a été publié au Journal officiel, dimanche 26 décembre. Ce texte va permettre à la Haute autorité pour la diffusion des oeuvres et la protection des droits sur Internet (Hadopi) de labelliser les outils de sécurité, une fois les spécifications que ces derniers devront remplir seront publiées.
Ces logiciels espions d'un genre particulier - validés et labellisés par l'Hadopi - sont censés indiquer que l'accès à Internet d'un abonné n'a pas été utilisé par un tiers non autorisé pour télécharger et partager de manière illégale des oeuvres protégées (musique, films, etc.).
(...)(24/12/2010 10:47:19)Des chercheurs révèlent une attaque zero-day sur IE
« Microsoft enquête sur une nouvelle menace rendue publique d'une éventuelle vulnérabilité dans Internet Explorer,» a déclaré Dave Forstrom, directeur du groupe Trustworthy Computing Group de l'éditeur dans un communiqué. « Actuellement, aucun élément ne nous permet de penser que des attaques en cours tentent d'utiliser cette vulnérabilité ni qu'elle peut avoir une conséquence sur les produits Microsoft utilisés par nos clients. »
La faille, mise à jour pour la première fois début décembre par l'entreprise de sécurité informatique française Vupen, a été découverte dans le moteur HTML de IE. Elle pourrait être exploitée pendant l'exécution, par le navigateur, d'un fichier CSS (Cascading Style Sheets) comprenant des commandes « @import.» Celles-ci permettent aux concepteurs de sites web d'importer des feuilles de style externes dans un document HTML existant. Le 9 décembre, Vupen avait émis un avis, confirmant la vulnérabilité dans IE8 sous Windows XP, Vista et 7, et dans IE version 6 et 7 sous XP. Les pirates pourraient activer le bug depuis une page web falsifiée, puis détourner le PC pour y déposer des logiciels malveillants ou y voler des informations confidentielles. Vupen, qui a mis au point et exécuté son exploit, a utilisé le code d'attaque uniquement pour réaliser des tests de pénétration auprès de ses propres clients. Mais mardi d'autres chercheurs ont rendu le bug IE public. Abysssec Security Research a ainsi publié une courte vidéo de démonstration détaillant l'attaque, et le chercheur en sécurité Joshua Drake a ajouté un exploit fonctionnel au kit de tests de pénétration du projet Metasploit. Il crédite aussi un blog de sécurité chinois pour avoir révélé la vulnérabilité le mois dernier.
Contourner les barrières existantes
Contrairement à d'autres bugs récents affectant Internet Explorer, celui-ci peut être exploité sur la dernière version 8 du navigateur tournant sur l'OS le plus récent de Microsoft, Windows 7. Surtout il parvient à détourner les dernières barrières de défenses anti-exploit DEP (Data Execution Prevention) et ASLR (randomisation des zones d'adressage). Selon HD Moore, chef de la sécurité chez Rapid7 et créateur de Metasploit, le code de Joshua Drake fonctionne de manière fiable avec IE8 sous Windows 7, mais est légèrement moins fiable sur le navigateur sous Windows XP.« La façon dont le programme contourne DEP et ASLR est remarquable » a ajouté HD Moore. En effet, celui-ci s'appuie sur une faille dans Windows qui permet aux pirates de forcer le système d'exploitation à charger des bibliothèques de liens dynamiques (DLL) en .Net obsolètes qui n'ont pas d'ASLR. « C'est le .Net qui est utilisé par le programme pour contourner l'ASLR et le DEP, » a précisé HD Moore. « C'est une technique solide qui s'appliquera à des exploits à venir, sauf si Microsoft bloque le chargement des anciennes bibliothèques .Net. »
La stratégie d'attaque .Net a été présentée en août dernier par deux chercheurs de McAfee, Xiao Chen et Jun Xie, lors de la conférence sur la sécurité XCON qui s'est tenue Beijing. HD Moore crédite Xiao Chen pour la découverte de la technique .Net. Même si Microsoft a beaucoup travaillé les défenses ASLR et DEP, l'éditeur a reconnu que les chercheurs avaient trouvé des moyens de les contourner en exploitant des faiblesses de l'ASLR. Dave Forstrom de Microsoft n'a pas donné de date de sortie pour le patch qui corrigera cette vulnérabilité. Il indique simplement que Microsoft prendra « les mesures appropriées » une fois qu'elle aura bouclé son enquête. Le prochain Patch Tuesday régulier est prévu pour le 11 janvier 2011. Mais étant donné que la firme de Redmond sort traditionnellement une mise à jour de son navigateur tous les deux mois, et que la dernière mise à jour est intervenue la semaine dernière, il n'est pas impossible qu'il faudra patienter jusqu'au mois de février pour disposer du patch corrigeant cette faille.
Des chercheurs montent un botnet pour comprendre son fonctionnement (MAJ)
Les botnets sont complexes et les grands systèmes distribués consistant en plusieurs milliers, voire parfois en plusieurs millions d'ordinateurs, sont souvent exploités par les cybercriminels pour mener des actions nuisibles : cela va de l'envoi massif de spam, au lancement d'attaques par déni de service DDoS, en passant par l'installation de logiciels espions. « Pratiquement tous les utilisateurs d'Internet ont subi les effets néfastes des botnets. Par exemple quand ils reçoivent des quantités massives de spams, quand leurs informations confidentielles sont volées, ou quand ils perdent l'accès à des services Internet critiques, » écrivent les chercheurs pour résumer leurs résultats.
Afin de mieux comprendre ce que les chercheurs qualifient comme « l'une des menaces les plus inquiétantes de la sécurité informatique,» l'expérience a recréé, en l'isolant, une version du botnet Waledac. Ce dernier, démantelé par Microsoft cette année, comportait à un moment donné entre 70.000 à 90.000 ordinateurs infectés et était responsable de l'envoi de 1,5 milliards de spams par jour. Pour les besoins de la recherche, environ 3 000 copies de Windows XP ont été chargées sur un cluster de 98 serveurs hébergé dans les locaux de l'Ecole Polytechnique de Montréal. Les noeuds ont été infectés par le ver Waledac, introduit depuis un DVD, et non par connexion avec d'autres machines.
Trouver un remède
Les chercheurs ont pris soin de toujours maintenir le réseau infecté hors connexion de tout autre réseau. Les machines du réseau créé pour l'expérience pouvaient communiquer les unes avec les autres de la même façon que les ordinateurs le font dans un système informatique distribué, avec un serveur de commande et de contrôle pour envoyer des instructions à certaines machines chargées elles-mêmes de les relayer à d'autres machines. La méthode qu'utilise un botnet pour ajouter toujours plus d'ordinateurs zombies à son réseau.
L'objectif était de recueillir des informations sur le réseau de zombies pour comprendre aussi bien que possible son architecture et ses modes de fonctionnement. L'équipe de chercheurs s'est particulièrement intéressée aux protocoles de communication et aux formats des messages, au processus d'authentification pour accéder au botnet, mais aussi à son architecture de commande et de contrôle. Les chercheurs ont également lancé ce qu'ils appellent une attaque « sybil » contre le botnet, en ajoutant des bots pour voir quel impact cela pouvait avoir sur le réseau de zombies. Ils ont constaté que leur attaque avait réussi grâce aux caractéristiques particulières du protocole P2P maison que le réseau a utilisé pour envoyer ses ordres et effectuer son contrôle. « Parce que l'adresse IP d'un bot ne doit pas être unique (les robots sont principalement identifiés par leur ID 16-bits), il est possible de générer un grand nombre de « sibyls » - avec des identifiants uniques, mais avec la même adresse IP, tout en utilisant peu de machines, ce qui rend cette attaque relativement facile à monter, » indiquent les chercheurs dans leurs résultats. Selon les chercheurs, « en une heure, l'attaque a réussi à stopper le botnet, l'empêchant de continuer à envoyer des emails. »
Bilan Sécurité 2010 : entre perfectionnement et consolidation
Un avant et un après Stuxnet
Dans le développement des différentes attaques, l'année 2010 a été marquée par l'avènement d'un ver, baptisé Stuxnet, qui s'attaque à des processus industriels tournant sur des systèmes de type Scada, développés par Siemens. Ce programme avait probablement comme cible, une centrale de retraitement d'uranium en Iran. A la différence d'autres attaques similaires, Stuxnet est très élaboré et plusieurs observateurs estiment qu'un Etat pourrait en être à l'origine. Utilisant des failles de Windows de type « zero day », les analystes estiment que ce ver devrait dans les prochains mois provoquer encore des dégâts, car plusieurs industries reposent sur des systèmes obsolescents et non sécurisés.
Le perfectionnement se retrouve aussi dans les tentatives de phishing avec l'apparition du Trojan Zeus. Ce dernier réunit beaucoup de qualité. Il est disponible, abordable, fonctionne et son développement le rend modifiable facilement. Le cheval de Troie Zeus vole les noms d'utilisateurs et mots de passe des PC fonctionnant sous Windows. Les criminels peuvent ainsi s'en servir pour transférer illégalement de l'argent depuis les comptes des victimes. Les autorités policières et judiciaires ont mené quelques coups de filet en Angleterre, aux Etats-Unis et en Ukraine, mais cela n'a rien empêché.
Des failles et des patchs
Système d'exploitation, navigateur, solutions de bureautique, langage de développement, aucun service informatique n'échappe aux problèmes de sécurité. 2010 aura montré une recrudescence des publications de correctifs des failles de sécurité. On peut citer les patchs Tuesday de Microsoft qui voit leur volume prendre de l'embonpoint. Adobe a aussi au mois d'octobre dernier proposé 23 correctifs. Même Oracle a diligenté le téléchargement de 81 correctifs. Cette recherche de failles est par ailleurs devenue une activité lucrative, car la plupart des éditeurs ont mis en place des programmes rémunérant les chercheurs. Ainsi, Google a payé 7 500 dollars en prime pour la découverte de 11 bugs. En juillet dernier, la fondation Mozilla a augmenté ses primes pour la recherche des failles de sécurité dans ses produits.
Une consolidation des acteurs
Avec le développement du cloud computing, la consumérisation de l'IT, la profusion de terminaux connectés, les acteurs de l'informatique ont cherché à acquérir de plus en plus de compétences en matière de sécurité. De grands groupes ont ainsi acquis des sociétés spécialisées dans le domaine, comme HP avec Arcsight et Fortify. Les éditeurs de logiciels devant cette concurrence ont eux aussi participé à cette danse capitalistique, comme le montre les acquisitions de Symantec, PGP et GuardianEdge et surtout l'activité authentification de Verisign. Le rachat le plus symbolique de l'année 2010 reste néanmoins celle de McAfee par Intel pour la somme de 7,7 milliards de dollars. Cette opération suscite d'ailleurs quelques inquiétudes ou laissent perplexes les autorités de la concurrence européenne.
Les représailles DDoS Pro-WikiLeaks surévaluées
C'est l'expert en sécurité Craig Labovitz, spécialiste reconnu en matière de sécurité de l'infrastructure Internet et par ailleurs chercheur chez Arbor Networks (Chelmsford, Massachusetts) qui l'affirme. « Malgré les titres de la presse, les attaques de représailles étaient faibles, de la grenaille, pas plus, » écrit-il dans un long post publié sur le blog d'Arbor Networks. Celui-ci, qui a comparé les attaques par déni de service distribué (DDoS) pro-WikiLeaks avec 5 000 attaques DDoS identifiées pendant l'année 2010, conclut que les attaques du premier étaient « ordinaires ». « Je pourrais comparer cette cyber attaque à une grève des camionneurs en France, » a t-il déclaré dans une interview. « Ce n'était certainement pas une guerre, comme certains journaux l'ont prétendu. C'était une forme de protestation, avec des dommages collatéraux. » Les attaques DDoS visaient des sites appartenant à Amazon.com, MasterCard, PayPal et à l'organisme financier de la poste suisse PostFinance, chaque fois que l'un de ces organismes a bloqué les comptes de WikiLeaks ou suspendu ses services. Ces attaques sont comparables à celles qui ont visé les sites du sénateur américain Joseph Lieberman et de l'ancien gouverneur de l'Alaska Sarah Palin qui ont vivement condamné WikiLeaks pour diffuser les câbles diplomatiques du secrétariat d'Etat américain.
Les chiffres parlent d'eux-mêmes
Quand Craig Labovitz a comparé ces attaques avec des statistiques compilées par Arbor Networks - la société fournit des technologies anti-DDoS à environ 75% des fournisseurs mondiaux de services Internet - il a trouvé les campagnes WikiLeaks très surévaluées. Selon lui, ni la série d'attaques ciblées initiale contre WikiLeaks lui-même, ni les attaques DDoS de représailles menées ensuite peuvent être qualifiées de massives ou d'ultra sophistiquée en termes de niveau d'organisation. « Le niveau des requêtes envoyées par LOIC n'étaient pas très sophistiquées, » a déclaré le chercheur, se référant à l'outil gratuit, Low Orbite Ion Cannon (LOIC), qu'ont utilisé bon nombre de participants à l'attaque. « Une attaque dite sophistiquée utilise des requêtes bien ordonnées, un bon registre d'API pour paralyser le système. » Selon lui, les attaques des « hacktivistes » ne comportent ni l'un ni l'autre. Elles n'étaient pas non plus massives. Craig Labovitz estime que les attaques des pro-WikiLeaks ont généré un maximum de 5Gbits/sec du trafic dirigé vers les sites ciblés. C'est très en deçà des 50Gbits/sec, qu'Arbor a observé dans plusieurs autres attaques du même type. Et presque rien, comparé aux 70Gbit/sec de la plus grande attaque menée en 2010. Bien que LOIC a été téléchargé plus de 100 000 fois, le spécialiste en sécurité a établi que les données d'Arbor montrent que le nombre simultané d'attaquant pro-Wikileaks n'a été que de quelques centaines, et pas de plusieurs milliers. « Le nombre d'adresses IP source observé dans les attaques de représailles se situe à un niveau médian, voire en deçà, de celui observé sur les 5 000 attaques DDoS validées l'an dernier, » dit-il sur le blog.
Vers une militarisation de l'Internet
Selon lui, cela laisse penser que, si les « hacktivistes » ont essayé de recruter de grands botnets, ces armées d'ordinateurs sous-contrôle, pour mener leur action, ceux-ci n'ont pas été utilisés. Mais, alors que les attaques WikiLeaksont ont été facilement bloquées par la plupart des sites visés, cela ne veut pas dire pour autant que ce type d'attaque DDoS ne représente pas une menace sérieuse pour l'Internet. « Il est possible de parer à la majorité des attaques, » a t-il déclaré, « mais certains professionnels peuvent, pour des mobiles financiers, investir beaucoup de temps et d'argent pour monter des attaques DDoS très sophistiquées. » Celui-ci, qui hésite à qualifier les raisons spécifiques de ce type d'attaques, indique cependant que certaines « étaient clairement des tentatives d'extorsion » contre les FAI et les entreprises. « Si WikiLeaks et les attaques de représailles ne peuvent représenter le début de la « cyberguerre », ... la tendance à la militarisation de l'Internet et l'utilisation du DDoS comme moyen de protestation, de censure, et d'attaque politique est préoccupant, » écrit-il sur le blog d'Arbor Networks. « Le DDoS, compte tenu du nombre croissant d'adversaires professionnels potentiels, des réseaux de zombies et des outils de plus en plus sophistiqués pour mener des attaques massives, constitue un réel danger pour le réseau et une menace, vu notre dépendance croissante vis à vis de l'Internet. »
| < Les 10 documents précédents | Les 10 documents suivants > |