Académique Documents
Professionnel Documents
Culture Documents
Qui m'attaque ?
On catégorise parfois les attaquants entre l'étudiant boutonneux dans son garage
s'amusant à pirater des systèmes pendant ses vacances de Noël, jusqu'à l’État
disposant d'une cohorte de soldats numériques, de moyens importants et de temps,
tout cela pour viser un objectif motivé.
Quel impact ?
La plupart du temps, les bonnes pratiques d'architecture et de durcissement de
système permettront de vous prémunir de la majorité des attaques. Ces mesures
sont souvent simples et peu coûteuses… pour peu que vous les prévoyez dès le
départ !
Dans certains cas, l'état de l'art ne suffit pas et il faudra proportionner les mesures
permettant d'atteindre un objectif de sécurité :
Mettre les efforts au bon endroit pour limiter les impacts les plus importants,
Se contenter des mesures génériques pour les systèmes pour lesquels les
impacts sont faibles et acceptables.
L'impact pourra prendre différentes formes en fonction des systèmes, des types
de données manipulées et des finalités métier. Pour donner quelques exemples :
Le déni de service
Un déni de service vise à rendre un système ou un service réseau indisponible. Il
se déroule en deux étapes : épuiser les ressources, puis rendre le système visé
indisponible.
Épuiser les ressources
Au fur et à mesure que les défauts d'implémentation les plus courant sont corrigés,
les attaquants s'adaptent pour rendre le système visé indisponible avec uniquement
des connexions similaires en tout point avec celles de clients légitimes. Or, cela
oblige l'attaquant à avoir une capacité d'envoi de messages, en particulier une
bande passante, supérieure à celle du serveur visé. Cela devient plus difficile sur des
hébergements professionnels.
Déni de service distribué : émettre grâce à de nombreux systèmes compromis
Pour augmenter leur capacité d'envoi, les attaquants lancent des attaques depuis
des milliers de systèmes compromis (souvent appelés « zombies »), ce qui donne un
« déni de service distribué ». Dans ce cas, les systèmes compromis servant à
émettre les requêtes peuvent être des postes de travail, mais aussi des équipements
connectés (IoT). Il arrive par exemple que des attaquent soient effectuées à partir de
caméras connectées sur Internet dont l'interface d'administration était restée avec un
mot de passe par défaut.
Déni de service distribué (ou DDoS en anglais)
Certains dénis de service se montrent plus subtiles, en tirant partie du déséquilibre
entre des requêtes légères et des réponses du serveur plus lourdes, soit en taille,
soit en temps de traitement pour les construire.
Ceci arrive par exemple sur des serveurs de jeux en ligne où le protocole sous-jacent
est UDP. Ça facilite la falsification de la provenance de l'attaquant, avec des
requêtes très petites, mais des réponses du serveur beaucoup plus volumineuses,
ce qui consomme la bande passante d'autant plus rapidement !
Ce type d'attaque peut aussi se produire tout simplement sur des serveurs Web pour
lesquels l'appel à certaines pages ou certaines fonctions vont générer des
traitements importants, par exemple des requêtes lourdes sur une base de données.
Le défacement
Un attaquant qui réalise un « défacement » modifie le contenu d’un site Web, la
plupart du temps pour afficher un message politique, religieux ou contestataire vis-à-
vis des produits de l’entreprise. Pour faire cela, l’attaquant peut mener différentes
attaques :
Rechercher le compte et mot de passe d’accès à une interface
d’administration ou à un service d’échange de fichiers (par exemple FTP ou
WebDav) qui permet de déposer les données du site Web sur le serveur,
Exploiter une vulnérabilité dans le serveur Web, le serveur d’application, le
CMS utilisé ou l’application elle-même,
Compromettre un hébergeur pour défacer les sites de l’ensemble de ses
clients.
Le défacement porte atteinte avant tout à l’image de l’entreprise et à la confiance
que ses clients lui portent.
La compromission d'un site Web
La compromission d’un site Web utilise les même vecteurs d’attaque que le
défacement mentionné précédemment, mais l’attaquant aura d’autres buts. L'impact
ne sera donc pas seulement un défaut d’intégrité du site Web. Parmi les actions
possibles de l’attaquant, on peut mentionner :
En résumé
La typologie de l'attaquant importe peu, il faut d'abord définir quoi protéger,
maintenir un impact acceptable et parer de manière générale aux vecteurs
d'attaque identifiés.
L'impact s'exprime en matière de Disponibilité, Intégrité, Confidentialité et
Traçabilité.
Différents types d'attaque auront des impacts différents :
o un déni de service sur la disponibilité,
o un défacement sur l'intégrité,
o une compromission de site Web à la fois sur la disponibilité,
l'intégrité, la confidentialité et la traçabilité.