vendredi 2 avril 2010

Attaques informatiques : une réalité complexe !

L'attaque informatique n'est pas simple !

Bien au contraire et prétendre le contraire serait tout à fait déplacé. Or, pourtant, la tendance actuelle à nommer les attaques en fonction de leur particularisme est une vraie forme de simplification. Ainsi en est-il de "Opération Aurora".

Ce terme désignait initialement les attaques informatiques, qui proviendraient de Chine, et qui avait à la fois visé certains comptes mails de google - appartenant à des contestataires du régime chinois - mais également plusieurs autres entreprises américaines. La présence du terme "Aurora" dans le code source aurait conduit l'éditeur anti-virus McAfee a proposé cette dénomination.

Mal lui en a pris, à priori. En effet, une nouvelle attaque informatique se portant sur des contestataires vietnamiens et plus largement des utilisateurs ayant configuré le jeu de caractère vietnamien. Cette attaque a été révélée par Google, avec à nouveau l'aide de McAfee. L'analyse des machines utilisées afin de piloter le Botnet aurait révélé d'importantes connexions en provenance du Vietnam.

Cependant, d'autres analyses se sont penchés sur la question et cette attention aurait permis de mettre en avant de très fortes similitudes avec les codes retrouvées sur les machines victimes de "Opération Aurora". Depuis, des dénominations différentes ont été proposées :

=> Aurora Lite : les attaques informatiques dites "vietnamiennes" et celles visant à créer ou développer un botnet ont une forme de "signature" dont les éléments auraient été retrouvés, par hasard, sur les machines impliquées dans les attaques sur Google.

=> Aurora proprement dit : les aspects plus sophistiqués qui ont conduit aux attaques sur Google et d'autres compagnes américaines.

Cette complexité qui suit une forme de simplification abusive de la réalité est ainsi commune en matière de lutte informatique. Ainsi, Wired nous rappelle une "histoire" d'attaque rapportée par James Lewis, un membre du CSIS et rédacteur d'un fameux rapport ainsi que de nombreuses interventions. Il aurait ainsi rapporté en 2008 que des systèmes classifiés de la défense américaine aurait été infectés par un malware permettant à un gouvernement étranger de s'y connecter.

Vérification faite, James Lewis a fini par reconnaitre une réalité souvent négligée : les systèmes de la défense américains, et probablement français, ne sont pas inter-connectés avec Internet. A ce sujet, il se trouve cependant que bien qu'isolés, la multiplication des clés USB et autres outils très mobiles permet de faire "voyager" les virus et autres malwares d'un réseau à un autre.

Ces réseaux utilisent certainement une part de protocoles de communication ainsi que des systèmes informatiques relativement proches de ceux utilisés dans le civil. Ce quotient de similitude permet donc à un virus de s'installer sur une machine et d'infecter par divers moyens l'ensemble du réseau. Cela ne veut pas dire qu'un malware aura la possibilité d'envoyer quoi que ce soit à l'extérieur : il ne peut créer une passerelle avec Internet qui n'existe pas.

On le voit donc, l'attaque informatique est un phénomène particulièrement complexe que ce florilège de sources permet de mettre en avant. Certains raccourcis fréquemment employés ne doivent pas empêcher l'analyste et le lecteur de pousser le raisonnement plus loin, notamment en multipliant les sources d'information.

Sources :

http://www.zdnet.fr/actualites/internet/0,39020774,39750548,00.htm#xtor=EPR-105

http://www.darkreading.com/database_security/security/attacks/showArticle.jhtml?articleID=224200972

http://blog.damballa.com/?p=652


http://www.wired.com/threatlevel/2010/03/urban-legend

1 commentaire:

  1. Ça me rappelle un article sur le Pentagone. En gros ils se font attaquer sans arrêt. Une certaine quantité d'attaque se concrétisent et le but du jeu c'est d'y répondre le plus vite possible.

    La sécurité parfaite n'existe pas...

    http://www.theregister.co.uk/2008/03/06/pentagon_breach_assessment/

    Clem said the Pentagon gets 70,000 malicious entry attempts per day, ranging from relatively innocuous probes to more nefarious attacks. Outside hackers can pinpoint new servers or software within minutes of them being deployed and intrusions quickly follow. ®

    RépondreSupprimer