PRECEDENT… |
Cela consiste à saturer un système en exécutant un processus en boucle de manière à le surcharger (flood), ou en amplifiant l’envoi de paquets en mode diffusion = broadcast (smurf) .
Il existe de nombreuses façons pour faire planter une machine; en fait, on peut s’appuyer sur presque toutes les attaques existantes car en faisant planter la machine cela résultera inévitablement en un déni de service sur cette machine. La différence se situe au niveau des intentions du hacker, c’est-à-dire savoir si le déni de service est intentionnel ou s’il n’est que la résultante d’une attaque plus agressive visant à détruire une machine. Il ne faut plus aujourd’hui négliger cet aspect intentionnel, au vu des sommes qui entrent en jeu. Parmi les attaques propres à créer un déni de service, nous pouvons rappeler entre autres : les buffers overflows (mails, ping of Death…)
Les contre-mesures sont très compliquées à mettre en place et très ciblées vis-à-vis du type de déni de service envisagé. En effet, d’un point de théorique, la plupart des attaques visant à créer des dénis de service sont basées sur des services ou protocoles normaux sur Internet. S’en protéger reviendrait à couper les voies de communications normales avec Internet, alors que c’est bien là la raison d’être principale des machines concernées (serveurs web, etc…). Il reste tout de même la possibilité de se protéger contre certains comportement anormaux (voir les attaques précédentes) comme une tentative de flooding, un trop grand nombre de paquets ou de requêtes de connexion provenant d’un petit nombre de machines. Mais cela implique beaucoup de choses en fait : il faut monitorer le traffic (ce qui est loin d’être simple, du fait de la quantité de données qui transitent), établir des profils types de comportement et des écarts tolérables au-delà desquels on considérera que l’on a affaire à une attaque; il faut également définir les types d’attaques auxquelles on souhaite se protéger (analyses de risques à l’appui) car il est impossible de toutes les prévoir. On est donc loin de la protection absolue; il s’agit de mettre en place une protection intelligente et flexible. C’est ce que l’on retrouve à l’heure actuelle dans la plupart des systèmes de protection contre les dénis de service. Ainsi Cisco propose des produits incluant à différents niveaux des services spécifiques :
Il faut ce rendre à l’évidence : en matière de sécurité informatique, aucun moyen ne permet de, définitivement, se mettre à l’abri des attaques. Plusieurs raisons à cela :
Dès lors, quelques simples conclusions s’imposent :
Conclusions :
La conclusion finale à ces constats est simple. Une entreprise traitant des données sensibles ne peut faire autrement que d’avoir, outre un bon administrateur système, un bureau de recherche et d’étude, de manière à créer ses propres outils (armes devrais-je dire). Tout le monde n’en a pas les moyens. Mais certaines banques, par exemple, ont depuis longtemps adopté cette stratégie. Pour les autres, il faut adapter sa stratégie à l’importance des risques encourus, sachant que le minimum incontournable reste la mise à jour hebdomadaire des systèmes de défense et de contrôle mis en place (antivirus, anti-spyware, firewall voire IDS, paramétrage pointu du navigateur et du logiciel de messagerie). |
Mémoire rédigé en janvier 2000 |
PRECEDENT… |