A l'occasion de ce 100ème post, j'en profite pour vous faire part d'une analyse assez large concernant de nouvelles attaques informatiques menées contre des systèmes appartenant à la Corée du Sud.
Ces attaques ont pris la forme d'un Déni Distribué de Service, ou DDoS, forme d'agression tendant non pas à s'introduire dans un système (du moins dans un premier temps)mais bien à le paralyser à et l'empêcher de répondre.
On rappelera le trio de la sécurité des systèmes d'information : Disponibilité, Intégrité et Confidentialité. Ici, il s'agit d'attaques sur la disponibilité des systèmes et éventuellement sur son intégrité : "l'empêcheur de tourner en rond", en saturant le système peut aussi fausser les informations traitées et retransmises.
Selon les informations recueillies par les services de sécurité sud-coréens, une centaine d'adresses IP retracées en Chine aurait été impliquées dans l'attaque. Rappelons que les adresses IP sont enregistrées dans des bases de données (dites "whois") qui permettent d'obtenir des informations légales et parfois sur la localisation. Par ailleurs, des programmes existent, permettant d'identifier tous les intermédiaires rencontrés entre votre machine et l'IP en question : cela permet aussi d'obtenir des informations de localisation de la machine.
En revanche, on répétera,
ad nauseam peut-être, que l'identification par l'IP ne vaut pas grand chose. Par nature, ce type d'attaque préserve les protagonistes qui se camouflent en "rebondissant" sur d'autres machines et en effaçant leurs actions sur la machine victime. Bref, on ne voit plus que la machine-victime utilisée pour perpétrer l'acte répréhensible.
Or, la Chine et plus généralement, l'asie du sud-ouest, sont réputées être dotées d'une parc conséquent de machines vérolées ou mal gérées permettant ainsi aux attaquants de se camoufler plus facilement. Cela n'est pas forcément un souhait ou une volonté propre : ainsi l'Inde, bien qu'un des champions de l'outsourcing (consistant à faire héberger et gérer des applications en dehors de son entreprise)
ne bénéficie pas d'une bonne réputation en matière de sécurité.
C'est d'ailleurs ce qu'on fait les officiels coréens, d'une certaine manière, en impliquant non pas les chinois mais bien l'ennemi traditionnel nord-coréen. A cela, trois raisons principales :
=> l'antagonisme profond entre les deux pays depuis la Guerre de Corée
=>
les tensions accrues par le torpillage d'une corvette sud-coréenne. Bien que non reconnue par la Corée du Nord, une expertise internationale a conclu au torpillage de la corvette par un équipement nord-coréen. Le naufrage avait entrainé la mort de plusieurs marins.
=>
il y a environ un an, la Corée du Sud avait également été victime d'attaques informatiques contre ses systèmes. A l'époque, la Corée du nord avait été pointée du doigt d'autant que des informations avait afflué tendent à prouver l'existence, au sein de la dictature, d'une cellule dédiée à la lutte informatique.
Par ailleurs,
on apprenait il y a peu que la Corée du Nord avait développé un système d'exploitation, basé sur un code source linux (à priori) et dénommé "Red Star".
Ces attaques informatique, en parallèle d'une situation géostratégique tendue, sont désormais communes. Ainsi, après le scandale lié à l'abordage d'un bâtiment transportant, pour Gaza, du fret humanitaire, par les forces spéciales israéliennes, de nombreux sites ont été attaqués et modifiés.
Le plus souvent, ces attaques se bornent à modifier l'aspect extérieur du site ou "défacer". Elles sont perpétrées par des hacktivistes qui souhaitent prendre part à la lutte grâce aux opportunités offertes par Internet.
Quantifier la férocité d'une attaque s'est très longtemps fait en focalisant à tort sur les sites webs modifiés. Bien que limité, cette analyse apportait une notion quantitative (nombre de machines impliqués, nombre de sites défaçés, durée de l'attaque...).
Cependant, défacer un site, bien qu'ennuyeux pour le webmaster, reste un acte uniquement symbolique et peu impactant au final. C'est pourquoi cette analyse n'apportait que des résultats limités.
En revanche, la tendance actuelle est clairement la prégnance des normes dites "web" : le site web d'une entreprise dissimule alors un système d'information lourd, complexe mais qui recèle potentiellement des informations intéressantes ou pouvant causer de lourds impacts s'il est touché.
Ainsi, détruire le site web devient non seulement un impact "business" pour l'entreprise mais également, un impact plus profond pour l'organisation si, via le serveur web, le pirate réussit à s'infiltrer plus profondément dans le système d'information.
C'est pourquoi, alors que la référence aux sites webs défacés paraissait quelque peu légère, elle permet maintenant d'engager une analyse plus profonde et inquiète un peu plus.
Une morale à tout cela : la sécurité EST globale et celle de votre serveur web particulièrement, tout autant que la conception d'une architecture sécurisée !
Source :
http://news.hostexploit.com/cyberwar-news/3970-skorean-government-website-hit-by-cyber-attacks.html
