2.2. Les sortes d'attaques
Les attaques réseau consistent
généralement à exploiter une vulnérabilité
du système d'exploitation ou de l'une de ses applications en envoyant
une requête spécifique, non prévue par son concepteur,
ayant pour effet un comportement anormal conduisant parfois à
l'accès au système tout entier. Pour autant les erreurs de
programmation contenues dans les programmes sont habituellement
corrigées assez rapidement par leur concepteur dès lors que la
vulnérabilité a été publiée. Il appartient
alors aux administrateurs (ou utilisateurs, personnels avertis) de se tenir
informé des mises à jour des programmes qu'ils utilisent afin de
limiter les risques d'attaques.
L'informatique étant un domaine très vaste, le
nombre de vulnérabilités présentes sur un système
peut donc être important. Ainsi, les attaques visant ces failles peuvent
être à la fois très variées et très
dangereuses. C'est pourquoi nous allons dans un premier temps analyser ce que
nous appellerons « l'anatomie d'une attaque », puis dans un second
temps, nous caractériserons ces attaques et observerons leur
déroulement.
Enfin, dans la majeure partie des cas le maillon faible est
l'utilisateur lui-même. C'est souvent lui, par méconnaissance ou
dupérie par un interlocuteur malicieux, qui va exécuter un
fichier vérolé, donner des informations personnelles ou
bancaires, etc. Ainsi, aucun dispositif de protection ne peut protéger
l'utilisateur contre les arnaques, seuls bons sens, raison et un peu
d'information sur les différentes pratiques peuvent lui éviter de
tomber dans le piège.
2.2.1. Anatomie d'une Attaque
Fréquemment appelés « les 5 P » dans
la littérature, ces cinq verbes anglophones constituent le squelette de
toute attaque informatique : Probe, Penetrate, Persist, Propagate, Paralyze.
Observons le détail de chacune de ces étapes :
· Probe : consiste en la collecte d'informations par le
biais d'outils comme whois, Arin, DNS look up. La collecte d'informations sur
le système cible peut s'effectuer de plusieurs manières, comme
par exemple un scan de ports grâce au programme Nmap pour
déterminer la version des logiciels utilisés, ou encore un scan
de vulnérabilités à l'aide du programme Nessus. Pour les
serveurs web, il existe un outil nommé Nikto qui permet de rechercher
les failles connues ou les problèmes de sécurité. Des
outils comme firewalk, hping ou SNMP Walk leur permettent de découvrir
la nature d'un réseau ;
· Penetrate : utilisation des informations
récoltées pour pénétrer un réseau. Des
techniques comme le brute force ou les attaques par dictionnaires peuvent
être utilisées pour outrepasser les protections par mot de passe.
Une autre alternative pour s'infiltrer dans un système est d'utiliser
des failles applicatives que nous verrons ci-après ;
· Persist : création d'un compte avec des droits
de super utilisateur pour pouvoir se réinfiltrer ultérieurement.
Une autre technique consiste à installer une application de
contrôle à distance capable de résister à un reboot
(ex : un cheval de Troie) ;
· Propagate : cette étape consiste à
observer ce qui est accessible et disponible sur le réseau
local ;
· Paralyze : cette étape peut consister en
plusieurs actions. Le pirate peut utiliser le serveur pour mener une attaque
sur une autre machine, détruire des données ou encore endommager
le système d'exploitation dans le but de planter le serveur.
Après ces cinq étapes, le pirate peut
éventuellement tenter d'effacer ses traces, bien que cela ne soit
rarement utile. En effet, les administrateurs réseaux sont souvent
surchargés de logs à analyser. De plus, il est très
difficile de supprimer entièrement des traces.
| 
