Les attaques réseau

Cet article décrit les différentes attaques susceptibles d'affecter un réseau et les systèmes qui le composent. Avec la généralisation d'Internet et des moyens de communication modernes, une nouvelle forme d'insécurité s'est répandue, qui s'appuie sur l'utilisation des codes informatiques pour perturber ou pénétrer les réseaux et les ordinateurs.

Les attaques touchent généralement trois composantes suivantes d'un système : la couche réseau, en charge de connecter le système au réseau, le système d'exploitation, en charge d'offrir un noyau de fonction au système, et la couche applicative, en charge d'offrir des services spécifiques.

Toutes ces composantes d'un système constituent autant de moyens de pénétration pour des attaques de toutes nature.

La première partie dresse une classification des attaques orientées réseau, que celles-ci visent directement des systèmes réseau tels que routeurs (et les protocoles qu'ils gèrent), commutateurs (afin de passer outre les réseaux virtuels), points d'accès sans fil (afin d'entrer dans le réseau d'entreprise sans y avoir d'accès physique) ou services critiques tels que le service de nommage ou DNS (Domain Name Service).

Les méthodes et techniques d'intrusion permettant de prendre le contrôle d'un système seront abordées en détail plus loin. Ces attaques reposent sur les faiblesses de sécurité des systèmes d'exploitation des équipements réseau.

Certaines attaques peuvent affecter indirectement le réseau, même si ce n'est pas leur but initial. Tel est le cas du déni de service distribué engendré par des vers informatiques, mais également à moindre échelle, par des virus. Ces attaques indirectes du réseau seront aussi décrites.

Typologie des attaques réseau

Les attaques réseaux sont aujourd'hui si nombreuses qu'il serait illusoire de prétendre les décrire toutes

Il est cependant possible de dresser une typologie des faiblesses de sécurité afin de mieux appréhender ces attaques, qui ont pour point commun d'exploiter des faiblesses de sécurité.

L'objectif ici est de présenter les faiblesses les plus couramment exploitées par les attaques et de détailler les mécanismes de ces attaques. Il est important que vous compreniez les dangers qui menacent les réseaux, et non de vous susciter des vocations de piraterie, qui demeurent réprimandées par la loi.

Les protocoles réseau sont encore jeunes, et aucun d'eux n'a été conçu pour tenir compte des problèmes de sécurité. Le protocole IP, par exemple, ne comporte pas de couche sécurité. La plus part des protocoles utilisés dans un réseau, tels SNMP (Simple Network Management Protocol) pour la supervision ou BGP (Border Gateway Protocol) pour le routage, n'implémentent pas de véritable couche de sécurité et s'exposent à diverses attaques, comme les attaques par fragmentation, déni de services, etc.

De même, les protocoles réseau n'ont prévu aucun mécanisme d'authentification véritable et subissent des attaques qui s'appuient sur ces faiblesses d'authentification, comme les attaques de type spoofing, main-in-the-middle, etc.

Comme tout effet à une cause, les attaques réseau s'appuient sur divers types de faiblesses, que l'on peut classifier par catégorie.

Les faiblesses d'implémentation ou bogues des programmes (système d'exploitation, application de routage, ect.) exposent à d'autres attaques, de loin les plus importantes en nombre. La raison à cela est que le développement des logiciels et des piles réseau se faut de plus en plus rapidement et sans règles strictes. Parmi les innombrables attaques qui utilisent de mauvaises implémentations ou des erreurs de programmation, citons les attaques de types SYN flooding et ping-of-death.

Les faiblesses de configuration des équipement réseaux peuvent provenir d'une mauvaise configuration d'un pare-feu, laissant passer du trafic non autorisé par la politique de sécurité, ou d'un équipement réseau, permettant à un attaquant d'y accéder ect.

En s'appuyant sur ces faiblesses, le pirate peut lancer un ensemble d'attaques permettant d'influencer le comportement du réseau ou de récoler des informations importantes.

Les attaques réseau peuvent être lancées directement, le pirate attaquant sa victime et exposant ainsi son identité.

Les attaques réseau peuvent aussi être lancées indirectement par l'intermédiaire d'un système rebond afin de masquer l'identité (adresse IP) du pirate et d'utiliser les ressources du système intermédiaire. Les paquets d'attaques sont dans ce cas envoyés au système intermédiaire, lequel répercute l'attaque vers le système cible.

Certaines attaques dites indirectes par réponse, offrent au pirate les mêmes avantages que les attaques par rebond. Au lieu d'envoyer l'attaque au système intermédiaire pour qu'il la répercute, l'attaquant lui envoie une requête, et c'est la réponse à cette requête qui est envoyée au système cible.

Gardons à l'esprit qu'un réseau est la composante de plusieurs réseaux, provenant d'opérateurs différents (Internet, infrastructures publiques ect.), à priori indignes de confiance.

Dans cette partie sera décrit un ensemble d'attaques classés en fonction des objectifs des pirates et reposant sur des faiblesses protocolaires, d'authentification ou d'implémentation.

Sachant que la version qui succède IPv4 est IPv6 (déjà mise en œuvre par certains opérateurs) nous décrirons si nécessaire la projection des attaques IPv4 dans un monde IPv6.

Attaques permettant de dévoiler le réseau

Attaque par cartographie du réseau

Les attaques visant à établie la cartographie d'un réseau ont pour but de dresses les artères de communication des futurs systèmes cibles. Elles ont recours pour cela à des outils de diagnostic tels que Traceroute, qui permet de visualiser le chemin suivi par un paquer IP d'un hôte à un autre.

Traceroute utilise l'option durée de vie, ou TTL (Time To Live) du paquet IP pour émettre un message ICMP time_exceeded (temps dépassé) pour chaque routeur qu'il traverse. Sachant que chaque routeur qui manipule un paquet décrémente le champ TTL, ce champ devient un véritable compteur de tronçon et permet de déterminer l'itinéraire précis suivi par les paquets IP vers un système cible.

Traceroute créé un paquet avec les adresses source et destination et une valeur de durée de vie TTL initiale (nombre de passerelles traversées) égale à 1. Ce paquet s'arrête donc au premier routeur rencontré, et le routeur envoie un message d'erreur ICMP (time_exceeded). Traceroute enregistre ces information et créé un nouveau paquet avec un TTL de 2.

La traversée d'un premier routeur met le TTL à 1. Le paquet génère une erreur sur le deuxième routeur. Comme précédemment, le deuxième routeur envoie un message d'erreur ICMP avec son adresse, laquelle est mémorisée par Traceroute. Une fois le système cible atteint, une erreur ICMP est générée par ce système cible, et Traceroute affiche la liste des passerelles traversées ainsi que le RIT (Round Trip Time), ou temps aller-retour, pour chacune d'elles.

Dans le cas le plus fréquent, le pirate utilise plutôt la technique de balayage (scanning) pour construire l'image du réseau, car elle fournit des informations plus rapidement.

Suite à venir....