1 Les méthodes d'attaques les plus simples sont efficaces
Si certaines intrusions reposent sur des techniques sophistiquées comme les débordements de tampons (buffer overflow) ou les insertions de code (ex. : PHP-include), les attaques contre les mots de passe faibles restent d'actualité. Un incident récemment traité par le CERTA l'a encore prouvé.
Une attaque par recherche exhaustive, c'est-à-dire en essayant toutes les combinaisons possibles, suffit à trouver le mot de passe, d'autant plus facilement qu'il est court ou simple. L'absence de blocage du compte après un certain nombre d'échecs permet de mener à terme une telle attaque.
Pour se prémunir de cette faiblesse, il convient d'adopter une politique de gestion stricte des mots de passe et des échecs d'authentification.
En complément, une conservation de la trace des échecs de connexion et une analyse régulière des journaux permet de détecter des attaques par dictionnaire ou par recherche exhaustive. Cette détection peut avoir lieu avant que la découverte du mot de passe n'aboutisse ou avant l'exploitation de la découverte du mot de passe.
Documentation
Note d'information du CERTA CERTA-2005-INF-001 :http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-001
2 Attaques indirectes et dissimulation
Dans le bulletin d'actualité CERTA-2007-ACT-025, le CERTA présentait les cadres incorporés dans les pages HTML à l'aide de la balise <IFRAME>. Une utilisation frauduleuse est l'insertion d'un tel cadre pour diriger, de manière invisible, l'internaute qui visite un site légitime vers un site peu recommandable, par exemple hébergeant des logiciels malveillants qui vont tenter de s'installer sur le poste de cet internaute.
La politique d'un organisme, en matière de développement des sites, peut exclure l'utilisation de ces cadres. Un processus automatique peut vérifier constamment la présence de la balise <IFRAME> et son bien-fondé.
Une technique utilisable par les intrus qui insèrent ces cadres de manière malveillante constiste ajouter, non pas le cadre lui-même, mais un script qui « déchiffre » un javascript représenté par un chaîne d'apparence aléatoire. Ce javascript écrit alors le fragment de code HTML qui construit le cadre malveillant. Quelques indices peuvent trahir la présence de tels scripts :
- des suites d'instructions comme <script>document.write(unescape("%3Cscript%3E... ;
- des chaînes de caractères d'apparence aléatoires ;
- le positionnement du code, tout en bas de la page, très à droite pour ne pas être visible sur un écran de largeur ordinaire ;
- une connexion inattendue lors de la consultation du site légitime.
La technique qui transforme le script en chaîne de caractères d'apparence aléatoire est assez simple. Elle permet de créer une multitude de variantes pour un même script. De ce fait, un script identique aura autant d'apparences différentes qu'il y aura de pages modifiées de manière frauduleuse sur un même site. Cette variété freine la détection ciblée de ce script.
Aux recommandations du bulletin d'actualité précité, le CERTA ajoute :
- la désactivation de l'exécution systématique des scripts dans les navigateurs ;
- l'affichage de la barre d'état dans le navigateur et la surveillance de celle-ci. Il faut être vigilant si, lors de la visite d'un site, une connexion vers un site tiers se déclenche.
Les développeurs de sites web peuvent en déduire que l'usage des scripts sur leurs sites est un frein à la protection de l'internaute.
Comme des sites proposent des versions « texte seul », « sans cadre » ou « sans frames », des versions dans diverses langues, des alternatives « HTML ou flash », ils peuvent proposer des versions « sans scripts ».
Documentation
Bulletin d'actualité du CERTA CERTA-2007-ACT-025 :http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-025/
3 Une trace anodine dans les journaux des connexions
Cette semaine le CERTA a mis en évidence et traité deux compromissions grâce aux journaux des connexions. La première compromission est un exemple de la coopération et des liens internationnaux existant entre les CSIRTs (les équipes homologues à celle du CERTA). Lors de l'analyse des journaux des connexions d'un serveur web, le CERTA a relevé une tentative, infructueuse, d'intrusion. Cette tentative provenait en fait d'une machine connectée sur un réseau universitaire à l'étranger. Le CERTA a immédiatement prévenu ses contacts privilégiés dans ce pays. Cette information leur a permis de mettre en évidence une machine compromise faisant partie d'un réseau de machines zombies (Botnet).La seconde compromission a été mise en évidence par la trace, dans un journal des connexions, d'un comportement suspect. Une machine tentait périodiquement de télécharger une application sur un serveur situé à l'étranger. Un tel comportement a attiré l'attention d'autant plus que l'application en question était un virus. L'analyse en cours de cette compromission montre que cette machine, bien que possédant un logiciel antivirus à jour, est hautement compromise par une multitude de virus et autres logiciels malveillants.
Le CERTA rappelle que les journaux des connexions doivent être analysés et surveillés régulièrement. Un comportement inhabituel qui peut paraître anodin doit être relevé afin de mettre en évidence une compromission, une tentative d'attaque ponctuelle ou une attaque étalée dans le temps.
Documentation
Note d'information du CERTA CERTA-2002-INF-002 :http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-002/