Attaques des systèmes - Identifier les faiblesses du bastion

Le pirate informatique est et restera encore longtemps une menace sérieuse contre l’entreprise. Si dans les premiers temps cette activité réclamait une capacité réelle dans différents domaines de l’administration et de la programmation des systèmes et des réseaux, elle est maintenant à la portée d’un grand nombre de personnes plus ou moins expérimentées grâce aux innombrables outils qui sont accessibles au public sur Internet. Ces pirates amateurs ne disposant pas des compétences nécessaires, ils sont la principale source de problèmes sérieux pour l’entreprise, car ils peuvent commettre des dégâts irréparables dans le seul but de masquer leurs traces une fois qu’ils ont pénétré le système visé.

Lorsqu’un intrus désire attaquer les systèmes informatiques d’une entreprise, il doit procéder en général en trois étapes principales :

• la première consiste à repérer les machines présentes sur un réseau. Pour cela, il est nécessaire de franchir les obstacles installés par l’entreprise et destinés à protéger ses ordinateurs contre les dangers inhérents à la connexion de son réseau à Internet par exemple. Nous parlons ici de pare-feu Pare-feu, antivirus réseaux Virus informatiques... L’intrus doit donc disposer d’une vision du réseau auquel il s’attaque, et donc de techniques d’identification des rouages de celui-ci Attaques des réseaux. Dans cette étape, l’intrus doit également réussir à rester autant que possible indétecté ;

• dans la deuxième étape, l’intrus, qui a réussi à passer ces barrières, se trouve « face » à l’ordinateur auquel il veut accéder. Il doit donc trouver le moyen de passer de l’extérieur de cette machine à l’intérieur ; il s’agit bien sûr d’une vue logique de la situation. Pour ce faire, l’intrus doit en premier lieu lister les points d’entrée offerts par le système visé, c’est-à-dire les services réseaux et le système d’exploitation. C’est par ces portes qu’il tente de pénétrer ;

• enfin, dans la troisième et dernière étape, l’intrus doit trouver des failles de sécurité exploitables sur les points d’entrée identifiés. Selon le type de faiblesse, l’intrus peut gagner différents niveaux de privilèges. Ainsi, il peut simplement disposer du droit de lister (de l’extérieur) le contenu de n’importe quel fichier du système, réussir à obtenir un interprète de commande d’un utilisateur non privilégié, ou, l’idéal, disposer d’un interprète de commande avec les privilèges de l’administrateur.

Dans ce document, nous nous intéressons essentiellement à la deuxième étape en décrivant les différentes techniques et méthodes, voire outils, utilisés pour identifier les services des réseaux et le système d’exploitation offerts sur une machine. Toutefois, nous rappelons les techniques et méthodes de repérage de systèmes sur le réseau nécessaires à la première étape. Le lecteur désirant approfondir cette première étape trouvera des informations plus précises dans le dossier Attaques des réseaux consacré aux attaques des réseaux. Quant à la troisième étape, elle est traitée dans [H 5 834], dédié à la prise de « contrôle du bastion ».

Enfin, il est important de définir l’environnement de travail. Ce document traite des techniques d’attaque contre les systèmes installés sur des réseaux utilisant le protocole TCP/IP, et dont l’installation est dite « par défaut ». Cela signifie que certaines techniques pourraient être difficilement applicables contre des machines qui auraient été correctement installées, c’est-à-dire sécurisées.

Si nous utilisons cet environnement de travail, ce n’est pas nécessairement pour nous faciliter la tâche, mais surtout parce que, malheureusement, la plupart des systèmes sont installés ainsi, même lorsqu’ils sont sur Internet par exemple, comme le prouvent les centaines de sites Internet « défacés » régulièrement et les différentes affaires criminelles qui font notre actualité quotidienne dans ce domaine.