Attaques réseaux
Lionel Brunie
Institut National des Sciences Appliquées
Lyon, France
Types d’attaques réseaux simples (sur échange C/S)
source destination
Flux normal
Interception
Modification
« Man in the middle » Mascarade
Interruption
Déni de service
Petite cartographie (I)
• L’écoute (sniffing)
• Les chevaux de Troie (« Trojans ») et les bombes logiques
– Pour vivre heureux, vivons cachés ! – Installation (furtive) dans le système
– Evénement déclenchant. Ex : vendredi 13, accès à un site bancaire, activation à distance…
– Contrôle du système, traçage/capture de données…
• Les attaques applicatives, « exploits »
– Trous de sécurité, erreurs de programmation, mauvaises configurations...
– Ex : dépassement de tampon (cf. nop), violation de protocole – Ex : attaques applicatives (clients et serveurs Web notamment) – Ex : injection de code (ex : injection SQL)
• Les vers
– Propagation via le réseau (messagerie, IRC)
– Utilisation de failles au niveau applicatif
Petite cartographie (II)
• Key loggers : monitoring à distance
• Rootkits : détournement de commandes systèmes
• Cryptolockers
• Bots et botnets : réseaux dormants d’espions/chevaux de Troie
• Attaques DNS
• Fast Flux, Double Fast Flux, Triple Fast Flux !
• Bombardement de courriels : répéter un même message à une adresse.
• Spamming : diffusion de messages à large échelle
• Adware/spyware : collecte d’informations à l’insu de l’utilisateur
• Phishing : simulation d’écrans de saisie
• …
Petite cartographie (III)
• Déni de service :
– Déni de service en général : envoi en très grand nombre de requêtes autorisées en vue de saturer le système
– Attaque mono-source ou multi-sources (Distributed DoS, DDoS)
– Ex : inondation de commandes SYN (SYN flooding)
• Envoi en grand nombre de paquets TCP SYN avec des adresses aléatoires (IP spoofing) ou à partir de plusieurs machines (DDoS)
• Le serveur renvoie des SYN ACK et maintient les connexions ouvertes (en attente des ACK) => saturation si débit d’envoi < temps de demi-connexion
– Plus basique : PING flooding
– Ex applicatif : attaques de serveurs Web
– Cf. Anonymous, LOIC
Petite cartographie (IV)
• Un peu d’histoire : ping de la mort (Ping of Death) (av. 1998)
– Envoi d’une requête « echo » du protocole ICMP
– Utilisation d’une taille de données supérieure à la capacité d’un paquet IP => fragmentation
– Lors du réassemblage des données, débordement de tampon interne car la taille totale du paquet est supérieure à la taille max autorisée par IP (65535 octets) => blocage/redémarrage…
• Successeur : INVITE of death (VoIP)
– protocole SIP (2009) : envoi d’une requête INVITE mal formée =>
buffer overflow => état chaotique du serveur (délai, accès non
autorisé, déni de service…)
Petite cartographie (V)
• Historique aussi : Smurf (« attaque par rebond »)
– Utilisation d’un serveur de diffusion
– Mascarade (« spoofing ») d’une adresse IP
– Envoi d’une commande type ping ou echo au serveur de diffusion avec comme adresse expéditrice l’adresse falsifiée
– Chaque machine du réseau de diffusion envoie une
requête réponse à l’adresse falsifiée => saturation de la
machine
Petite cartographie (VI)
• Historique toujours : Teardrop
– Envoi du 1er paquet d’une fragmentation
– Envoi d’un 2ème paquet dont le bit de décalage et la longueur impliquent qu’il est inclus dans le 1er paquet
– Le système ne sait pas gérer cette exception et se bloque
– Dans le même genre, voir l’attaque Land (paquets SYN avec
source = destination (machine attaquée répond donc à elle-
même))
Petite cartographie (VII-1)
• Mascarade TCP/IP (TCP/IP Spoofing)
– Construction de paquets IP avec une fausse adresse source
– Condition : identification d’un client de confiance du serveur qu’on paralyse par une attaque type DoS ; identification de la méthode de génération du numéro de séquence (ISN : numéro de séquence initiale (=> envoi de requêtes test))
– Le pirate répond au serveur en lieu et place du client de confiance
– Objectif : attaques DoS ou créations de backdoors
– Condition : rendre impossible l’identification de la véritable source
• Variantes : mascarades d’adresses courriel, DNS, NFS...
Spoofing d’une session TCP (VII-2)
xxx.xxx.xxx.xxx
1/ Connexions TCP
2/ DoS 4/ SYN ACK
5/ ACK 3/ SYN + spoofing
xxx.xxx.xxx.xxx en source
From Arkoon Inc.
Petite cartographie (VIII)
• « Man in the Middle »
– Ecoute : se placer entre le serveur et le client (entre les deux pairs) et écouter le réseau
– Substitution : se placer entre le serveur et le client, se
faire passer pour le serveur modifier les informations
transmises par le client
Petite cartographie (IX)
• Attaques systèmes, 0-day, Exploit
– Exploitation des failles des systèmes d’exploitation
– Windows et Android loin devant !
– Patcher/Tracer/Filtrer
Petite cartographie (X) : état des lieux
• Panoramas de la cybercriminalité (CLUSIF)
– 2002 : spam, attaque DNS, WiFi
• 1/3 du courriel = spam (aujourd’hui 90%) !
• attaque DDOS sur les serveurs racines DNS… par ping flooding
• le cyber-terrorisme est envisageable !
• il faut sécuriser le WiFi
– 2003 : cyber-criminalité : virus, spam, phishing
• SOBIG, BUGBEAR, NIMAIL… : ciblent échanges banquaires
• apparition du phishing
• recherche de gain, cyber-mafia
– 2004 : professionnalisation, botnets
• virus (dont JPEG)
• robots et botnets
– 2005 : professionnalisation, botnets, rootkits
• keylogger matériel
• kernel/application rootkits
Petite cartographie (XI) : état des lieux
• Panoramas de la cybercriminalité (CLUSIF) (suite)
– 2006 : attaques 0-day : 50 0-day pour MS-Windows, 5700+ avis sur la base Secunia pour Unix (489 Apple), temps moyen sans protection : 22 jours – émergence d’un marché des attaques (20-30 k$)
– 2007 : mondes virtuels, botnets, réseaux mafieux, cyber-guerre
• argent virtuel = argent !
• MPACK et P2P botnets
• fast flux, double fast-flux
• réseaux mafieux : RBN…
• premiers exemples de cyber-guerre : Estonie
– 2008 : routage DNS, attaques matérielles
• cold boot
• routage BGP (Pakistan Telecom)
– 2009 : ANSSI, vie privée et réseaux sociaux, piratage DAB
Petite cartographie (XII) : état des lieux
• Panoramas de la cybercriminalité (CLUSIF) (suite)
– 2010 : Stuxnet, hacktivisme, botnets portables
• Stuxnet : piratage SCADA, cyber-guerre
• hacktivisme
• botnets de téléphones mobiles !
– 2011 : fuite d’information, argent virtuel, botnets mobiles, faille des AC, vie privée, cyber-armées, SCADA
• fuite d’information
• Carrier IQ, HTCLogger : vous êtes surveillés… ou espionnés ?
• bitcoin
• attaques téléphones portables
• faille des AC (attaque de DigiNotar par un hacker iranien)
• cyber-armées
• attaques des systèmes SCADA
Petite cartographie (XIII) : état des lieux
• Panoramas de la cybercriminalité (CLUSIF) (suite)
– 2012 :
• attaque stimulateur cardiaque !
• SCADA, SCADA, SCADA !
• le droit des conflits armés s’applique à la cyber-guerre ; écoles de cyber-guerre, recrutements de soldats-hackers
• cyber-surveillance
• attaques ciblées (NASA, 13 fois ; Verisign…)
• contre-attaques statistiques
• objectifs variés : sabotage industriel (Stuxnet), destruction de systèmes
(Shamoon), vol d’informations classifiées/bancaire/industrielles (Flame, Gauss, Duqu), surveillance…
• marché du hack (html injection, 60$), marché du DDoS (1h : 5$, 1 mois : 900$), Hack-as-a-Service, plates-formes d’exploits
• attaques smartphones++
• ransonwware
Petite cartographie (XIV) : état des lieux
• Panoramas de la cybercriminalité (CLUSIF) (suite)
– 2013 :
• PRiSM
• APT chinoise : 140 entreprises, vol 6To, 1000 serveurs C&C-13 pays
• « waterholing »
• attaques destructives définitives (sabotage – ex : Corée du Sud) ou temporaires (rançon)
• attaques métier (ex : DAB) (réseau Target : 100+ millions comptes ; perte CA : 1Mds$)
• vol de comptes (Adobe : 38 millions comptes)
• attaques Android (passage PC lors synchro)
• ransomware++
• coût cyber-attaques : 300 Mds €
• bitcoin
Petite cartographie (XV) : état des lieux
• Panoramas de la cybercriminalité (CLUSIF) (suite)
– 2014 :
• exagérations (Cybervor : 1,2 milliards de mots de passe (non- ?)volés) !
• Internet des Objets: 1er « thingbot » (botnet d’objets connectés)
• APT SI Sony : 9 mois, 110 To, 75% serveurs touchés, divulgation informations métier secrètes et personnelles (47000 employés), rançon – 8 semaines indisponibilité, 3 class actions en cours, tensions Corée du Nord-Etats-Unis
• fraude au Président (ex : Michelin)
• Heartbleed (erreur programmation OpenSSL) – ShellShock (GNU Bash)
• arrêt de TrueCrypt
• attaque de systèmes déconnectés (air gaps) (AirHopper (FM), BadBIOS (ultrasons), laser…)
• APT++ (dont Babar (DGSE – Iran ?))
Petite cartographie (XVI) : état des lieux
• Panoramas de la cybercriminalité (CLUSIF) (suite)
– 2015 :
• Objets connectés, automobiles
• Attaque ATM par la mafia russe (vrai-fausse annulation de retrait)
• Délits d’initiés via piratage de serveurs d’agences d’information
• Version compromise de Xcode => millions d’iPhone infectés
• Exploitation de liaisons satellites par usurpation d’adresses satellite
• Marché officiel des 0-days : 1 M$ pour une attaque 0-day (offre de Zeodium pour une attaque i0S 9) (1 gagnant)
• Nouvelle Stratégie Nationale pour la Sécurité du Numérique (octobre 2015)
• État d’urgence
– Non-cités par le CLUSIF :
• Equation Group (NSA) : multiples attaques depuis au moins 2000 (ex : Fanny : vol d’informations grâce à une clef USB infectée)
• Stagefright : vol de données sur Android ; diffusion par MMS
• Carbanak/Anunak : attaque moderne de (100+ !) banques (majoritairement russes) ! Phishing des employés de banque, porte dérobée, injection de code, exploitation de failles, remote administration tools, keylogger, captures d’écran ; espionnage, vol de données, accès machines infectées (dont ATM)
Petite cartographie (XVI) : état des lieux
• Panoramas de la cybercriminalité (CLUSIF) (suite)
– 2017
• Attaque plateforme Bitcoin Bitfixnex -70M$ en 3h)
• Attaque 51% sur un petit clone d’Ethereum
• IoT – smart objects : voitures, drones, ampoules, jouets, pompes à insuline, télévisions et même vibromasseurs !
• DDOS géants (DYN DNS : 1,2 Tbits/s, OVH : 1,1 Tbits/s, etc.). Attaques via des objets connectés (ex : caméras connectées). Puissance des DDOS : +216%. Botnet IoT MIRAI
• Android++
• Attaques APT Banques (Bank of Bangladesh, SWIFT)
• Rançongiciels/Cryptolockers
• Élections
Petite cartographie (XVII) : état des lieux
– Autres liens intéressants
• Zeus Tracker, Ransomware Tracker, Feodo Tracker
• carte CISCO des menaces
• RIPE Network Coordination Centre
• MAcAfee Threats Prediction
– 2017 : cloud (authentification, DDOS...), IoT, cloud-IoT, rançongiciels (marché de $1Mds$), ingénierie sociale et apprentissage automatique
– 2016 : systèmes de paiement, cloud, objets connectés, automobiles, marché noir des données personnelles, SCADA, cyber-espionnage, attaques bancaires
– 2015 : espionnage, IoT, privacy, ransomware, attaques sur mobiles
– 2014 : attaques sur mobiles, monnaies virtuelles, advanced evasion techniques, réseaux sociaux, clouds
– 2013 : attaques mobile, rootkits, APT, botnet Citadel, html5, botnets, crimeware, hacktivisme – 2012 : SCADA/industries, embarqué, hacktivisme, monnaie virtuelle, cyber-guerre, mobile (et
banque sur mobile), certificats, DNSSEC, Windows 8, « ransomware »