Tel est pris qui croyait prendre...

19.08.2012 | Réseau Dumac
1469 visiteurs  -  Aucun commentaire
La démocratisation d’internet passe par la vulgarisation des techniques et des outils pour publier de l’information en ligne. De nombreux logiciels, véritables facilitateurs d’édition de contenus en ligne, sont en 2012 extrêmement populaires parmi les communautés de blogueurs. Cette popularité due à une grande simplicité d’utilisation se paie parfois...

Les logiciels Open Source, populaires de par leur modèle de gratuité, sont souvent victimes d’attaques de la part de pirates qui cherchent le plus souvent à se constituer des réseaux de bots (PC zombies) en vue de réaliser des actions à distance depuis des machines leur servant de couverture.

On retrouve parmi les logiciels les plus souvent recherchés et attaques, de nombreux CMS et systèmes de vente en ligne comme Magento (Lire notre article http://reseau.dumac.free.fr/dumaciens/article.php3 ?id_article=153).

Vous trouverez sur ce site des dumaciens de nombreux articles ou brèves relatant les principales failles de sécurité de cms comme Joomla !, Wordpress, mais aussi Prestashop ou encore des bibliothèques comme Ruby on Rails... Rappelons que TOUT LOGICIEL peut être victime d’attaque, il suffit "juste" que le jeu en vaille la chandelle pour le pirate / hacker / cracker... Acrobat Reader, Flash Player, Microsoft Windows, Mozilla Firefox, etc passent tous régulièrement par des mises à jour destinées à corriger des failles de sécurité découvertes...

Les exploits "zero day" sont à ce sujet très prisés de la communauté underground qui a tout intérêt à tirer profit de ces trous de sécurités avant que les correctifs ne soient mis à disposition des utilisateurs.

Depuis les années 2000, une génération de "script kiddies" s’est emparée des sites de téléchargement pour y dénicher des logiciels d’attaque prêts à l’emploi. Nul besoin d’être un informaticien de génie pour les utiliser, en général un paramétrage basique suffit à en lancer l’exécution.

Mais bien évidemment, il faut être bien naïf pour s’imaginer que ces logiciels malveillants sont distribués gratuitement sur le marché sans aucune contrepartie. Car la plupart du temps, ces softs sont eux-même infestés : virus, vers, troyen, malware pour le meilleur, ils exploitent la crédulité de l’internaute pour le piéger, lui qui pense piéger sa cible.

En matière d’internet, la plupart des programmes d’attaque en ligne, de spam ou autre création de profil sont exécutés depuis un serveur en ligne. En effet, personne ne lance ces logiciels depuis son PC via sa connexion internet, cela serait prendre le risque de se voir démasqué.

Donc, le programme malveillant est exécuté depuis un serveur distant, souvent un serveur dédié ou privé qui permet à l’utilisateur d’installer toute une panoplie de ces outils et de les lancer à sa guise, souvent selon des tâches planifiées.

Dans la série "l’empire contre-attaque", un logiciel d’attaque de type DoS (Déni de service, l’attaquant - via son programme - bombarde un site de demandes de pages au delà de ce que ce dernier peut fournir, le faisant finalement capituler c’est à dire ne plus répondre : le site victime est alors indisponible, c’est comme s’il n’existait plus) se trouve piégé à son tour.

Des hackers ont en effet identifié des failles dans la programmation logicielle qui permettent de retourner l’arme contre l’assaillant. Croustillant non ?

Dirt Jumper, c’est le nom du programme qui peut être détourné via son centre de contrôle et de commande Maître (celui qui gère les ordinateurs infectés qu’il va utiliser furtivement pour réaliser son attaque).

Quelques lignes de commandes, un logiciel comme SQLMap et quelques URLS de serveurs hébergeant Pandora sont tout ce qu’il faut pour arroser l’arroseur.

Grâce à une injection SQL qui permet de tirer partie d’un code mal protégé (les saisies utilisateurs ne sont pas filtrées, ce qui rend l’ajout à la volée directement exploitable pour récupérer toutes les informations de connexion au logiciel, puis de l’utiliser à son tour !), les contre-pirates peuvent à leur tour faire plier les sites des malfaiteurs...

Vendu plusieurs centaines de dollars sur les forums underground, Dirt Jumper ne semble pas avoir revu, amélioré et surtout protégé son code dans sa dernière version, ce qui laisse un peu de temps pour qu’une petite cyber-guerre de chat et de la souris se trame sur les réseaux...

Comme on le voit, les failles de sécurité peuvent affecter tous les logiciels, qu’ils soient open source, propriétaires, gratuits ou payants, utiles ou futiles, légitimes ou malhonnêtes...

Et cela concerne la globalité d’Internet, aussi bien les utilisateurs que les acteurs ! Google, depuis son filtre Panda (cf. http://reseau.dumac.free.fr/dumaciens/article.php3 ?id_article=152) scrute le code source des pages et leur contenu afin de déterminer si les domaines reposent sur des gabarits automatisés (synonymes de contenus à faible coût de production, et souvent associé à contenu de faible valeur, voire carrément spam). Ces sites mis en ligne rapidement et alimentés de contenus automatisés sont ainsi détectés et dévalorisés par le moteur qui n’y voit qu’une tentative de manipulation de son algorithme de recherche.

Il n’y alors pas à proprement parler de faille de sécurité, mais plutôt une faille dans le raisonnement des webmasters qui exploitent ce genre de sites en pensant améliorer leur visibilité. Et désormais, Google prend les devants de tous ces CMS qui autorisent les commentaires, en dénonçant les blogs ou les sites de communiqués qui se font spammer. Les propriétaires et éditeurs de tels sites (souvent propulsés par Wordpress ou Dotclear) ont alors intérêt à faire le ménage dans leurs commentaires s’il veulent bénéficier d’une bonne e-reputation dans les pages de résultats du moteur ! CF. http://buzz.marketing.free.fr/spip.php ?article47

Cet article a été rédigé suite à la lecture du billet de blog d’Ars Technica disponible ici http://arstechnica.com/security/2012/08/ddos-take-down-manual/

Dans la même rubrique

Derniers Commentaires

Articles récemment mis à jour

Too Cool for Internet Explorer

Reseau Dumac : le site des anciens étudiants du diplôme universitaire média interactif et ses applications est motorisé par le logiciel libre Spip 1.8.3 associé au squelette graphique BliP 0.91

17 rubriques ... 176 articles ... 2 commentaires ... 63 sites référencés ... 7 visiteurs par jour (133270 au total)

Haut de page | XHTML 1.0 | CSS 2