jeudi 25 juin 2009

Hack : petits DoS, grands profits

Le DoS, ou déni de service, est une forme d’attaque d’une simplicité brutale qui consiste à interdire l’exécution d’un service ou d’un logiciel. Soit en le noyant sous un déluge d’information (attaques SynAck par exemple), soit en le tuant via une faiblesse de conception. Le Dos, en informatique, c’est le coup de Jarnac, une technique peu élégante, un acte de « script kiddy » ou d’adolescent du code, une pratique de barbare dépourvue de subtilité. Car la « belle » compromission, elle, se fait dans la discrétion absolue, l’invisibilité subtile, genre mousse et pampre, avec deux doigts d’imparfait du subjonctif et le petit doigt en l’air. En d’autres termes, un hack de qualité est un hack qui « injecte » un agent plus ou moins dormant, qui exécute à distance, qui détoure des informations à l’insu du plein gré de sa victime. Pour peu, on lui décernerait un satisfecit, on élèverait cette pratique de truand à la hauteur d’un art.

A tel point que bon nombre de bulletins d’alerte affirme qu’une vulnérabilité capable de conduire à un déni de service ne puisse mériter le qualificatif de « critique ». Seule la faille nécessitant doigté et longues recherches est promue au rang des « über failles ».

Dans la vraie vie, il en va tout autrement, nous explique RSnake, sur le blog Ha.ckers. Le déni de service, c’est la base du cracking, et la prétendue simplicité de sa mise en œuvre n’est pas le corolaire d’une efficacité amoindrie. Et, au fil d’une Ode au DoS, l’auteur nous livre quelques unes de ses idées. Un déni de service à l’encontre d’un service Web peut notamment servir à :

- Gagner du temps en interdisant à d’autres personnes de fournir une information, surenchérir lors d’une vente, répondre à un appel d’offre dans les temps impartis.

- Couper du monde des personnes en mission de toute source d’information leur permettant de prendre une décision –et ainsi de les rendre vulnérables-.

- Créer une diversion, en attirant l’attention des experts sur une attaque très visible, qui cachera d’autant mieux une injection ou une intrusion qui aurait été rapidement détectée en période de grand calme.

A ces quelques idées, les lecteurs de RSnake en ajoutent quelques autres, dont le vice qui s’en dégage mérite, pour certains, un coup de chapeau. Mais le résumé initial donne une assez bonne base de départ pour toute spéculation criminalistique. D’ailleurs, sans déni de service, comment pourrait-on conduire une attaque WiFi en « evil twin » par exemple ? Sans ce prélude, nécessaire à l’isolation des postes clients, il serait impossible de monter un faux point d’accès (Rogue A.P.). Si le déni de service n’était qu’une arme d’amateur, pour quelle raison est-il utilisé –et de façon massive- lors des grandes opérations de cyber-guerre ? En témoignent les événements d’Estonie, Géorgie ou, plus récemment, contre Charter 97, un média de Biélorussie. L’analyse technique qu’en fait Jose Nazario d’Arbor Networks montre combien ces vagues de violence binaire sont orchestrées, réfléchies et efficaces.

Le DoS contre les serveurs, c’est presque du classique. Le DoS contre les clients, voilà qui est plus original. Le Sans signale à ce sujet un article du Reg signé Dan Goodin, et qui raconte comment il serait possible de couper l’électricité à des milliers d’américains en exploitant une petite faille affectant leurs compteurs « télé-opérables ». Oh, trois fois rien… une totale absence de chiffrement et d’authentification, explique Josh Pennell, Président d’IOActive et patron du célèbre Dan Kaminsky. Cette fois, le défaut qui autorise le déni de service est la conséquence d’un déploiement trop hâtif, d’une étude mal achevée, le tout saupoudré de quelques considérations électoraliste. Détenir le pouvoir de supprimer une richesse ou de bloquer son acheminement, c’est détenir la richesse elle-même. Qu’elle se présente sous forme de gaz transporté dans un pipe-line, d’électricité régulée par des milliers de compteurs trop intelligents pour être honnêtes, ou d’informations issues d’un unique serveur ou groupe de serveurs.

Aucun commentaire: