:: NORMAN :: Antivirus | Firewall

Accueil

Actualités

Produits & services

Virus & sécurité

Support

Téléchargement

Partenaire

Acheter

Choix du pays

Choix du produit

Virus & sécurité » Sécurité : Information » 2006 » Faut-il ou non reporter le fait que l’on a été victime d’une attaque par refus de service

Faut-il ou non reporter le fait que l’on a été victime d’une attaque par refus de service

Ajouter à mes favoris Norman

Informations sur la sécurité - Semaine 19, 2006

Security Information

Introduction - Brève présentation de l’expérience de Norman

Peu après Pâques, l’un des ordinateurs de Norman a été la cible d’une attaque de type Distributed Denial of Service (refus de service réparti) (1).

L’ordinateur visé était le centre d’information Norman Sandbox - serveur web où l’on peut consulter les statistiques relatives au code nocif envoyé à Norman pour l’analyse automatique par Sandbox, etc.

Du strict point de vue de l’agresseur, cette attaque a réussi car le centre d’information Norman Sandbox a dû être désactivé pendant un certain temps suite à la forte charge provoquée par cette action.

Le centre d’information Norman Sandbox a été attaqué par un nombre non négligeable d’ordinateurs employant une technique appelée SYN (2). L’enquête a démontré que ces ordinateurs faisaient partie d’un BOTNET (3).

Norman a contacté son fournisseur d’accès Internet (Ventelo Comnet) - lien vers un site web norvégien), qui a bloqué l’accès au périmètre du centre SandBox. Norman a aussi contacté l’autorité norvégienne de sécurité nationale (Nasjonal sikkerhetsmyndighet - lien vers un site web norvégien), et a contacté, de manière informelle, plusieurs sommités mondiales en matière de sécurité. Tous ont été très positifs et se sont montrés impatients de stopper cette attaque. Des informations de grande valeur et provenant de différentes sources ont ainsi été collectées.

Très peu de temps après, le botnet malveillant était neutralisé.

Cet incident a entraîné une plainte pour crime, déposée par Norman auprès de la police norvégienne. L’enquête est en cours. Le résultat de cette enquête - qui impliquera certainement d’autres pays que la Norvège - n’est pas encore connu au moment où nous rédigeons ce communiqué.

Comment agir dans une telle situation ?

Lorsqu’une société est prise pour cible de telle sorte que, pour une raison quelconque, elle ne peut plus mener ses activités courantes de manière satisfaisante, certains problèmes (conflictuels ?) se posent :

La victime garde le profil bas sur l’incident afin d’éviter les retours négatifs, liés au manque de sécurité, de la part des clients et des médias.
Il est parfois possible de tenir cette ligne de conduite (au moins, jusqu’à un certain point) en obscurcissant les raisons pour lesquelles le service pris pour cible n’était pas disponible, par exemple, avec des messages mentionnant un « arrêt pour maintenance », etc.
Il est nécessaire de pouvoir retrouver et poursuivre les agresseurs.
Il est, évidemment, difficile de signaler un crime si l’on ne reconnaît pas le fait qu’il a été commis.
Il est nécessaire de faire un exemple en ne cachant PAS l’incident.
Toute société concernée par sa sécurité - même si elle a tendance, pour diverses raisons, à agir de la façon mentionnée dans le paragraphe 1 ci-dessus - peut souhaiter donner un exemple aux autres en n’essayant PAS de minimiser l’incident.

La réponse de Norman à l’attaque

Norman a choisi de divulguer le fait que la société a été victime d’une attaque de type DDoS.

Dès que la nature de l’attaque a pu être déterminée, des informations ont été publiées sur le site web principal de Norman (lors des tentatives d’accès au centre Sandbox).

Sandbox center unavailable

C’est une décision politique que Norman a prise. Il semblait important d’être clair sur ce qui s’est passé et, ainsi, d’encourager les autres sociétés et les personnes à agir de même. Norman pense que c’est une façon plus efficace de freiner les individus et les organisations qui planifient et lancent ces types d’attaques contre les autres.

Après tout, certaines des sociétés les plus importantes du monde ont été confrontées à la même expérience, avec des conséquences similaires. Si une personne, dont les intentions sont malveillantes, souhaite consacrer assez de temps et de ressources à une telle attaque, il est, a priori, presque impossible de se défendre contre cela.

Le plus important, dans une telle situation, est de tenter de produire des journaux d’activité qui pourront être employés pour déterminer la cause et l’origine de l’attaque. Ceci est crucial pour pouvoir stopper temporairement l’attaque, puis pour trouver et neutraliser les ordinateurs qui sont vraiment dangereux et stopper définitivement l’agression, et enfin, pour entreprendre une éventuelle action légale contre les personnes ou organisations responsables de cette action.

Pourquoi le centre d’information Norman Sandbox ?

On ne peut que spéculer sur les raisons pour lesquelles le centre d’information Norman Sandbox a été victime d’une telle attaque.

Cependant, le fait est que ce centre est un outil employé dans le monde entier, par des organisations de sécurité et des personnes, pour analyser automatiquement des programmes nocifs et leur comportement. Il est tentant de penser que cela dérange certains créateurs de programmes nocifs, d’où cette attaque.

Le même comportement peut être observé pour les crimes commis dans le monde réel, lorsque les malfaiteurs tentent de désactiver les dispositifs de protection avant de commettre leur forfait.

Les ressources de sécurité de l’Internet sont probablement celles qui sont victimes des attaques les plus sérieuses. Ce sont des attaques provenant d’entités plus dangereuses que celles qui se contentent de propager des scripts puérils, et qui utilisent Internet comme un moyen permettant de gagner d’énormes sommes d’argent grâce à diverses activités plus ou moins légales.

Comme les programmes nocifs ont tendance à se sophistiquer, et comme le crime organisé est le principal responsable de cet état de fait, il est probable que cette tendance va perdurer.

Explication succincte de quelques termes employés dans ces Informations sur la sécurité

(1) Attaque de type DDoS (refus de service réparti)
C’est une attaque dans laquelle plusieurs ordinateurs - voire plusieurs millions - sont impliqués dans une attaque simultanée contre un autre ordinateur ou un réseau. Le but de cette attaque est d’empêcher l’ordinateur ou réseau pris pour cible de mener à bien son activité normale.
(2) Attaque SYN
Type d’attaque au cours de laquelle un ordinateur dont l’adresse IP est usurpée envoie une requête de synchronisation (SYN) à un autre ordinateur (serveur). Le serveur en question répond par l’envoi d’un accusé de réception (SYN-ACK) et attend l’ACK correspondant de la part de l’ordinateur qui procède à l’initialisation. Cependant, l’ACK de l’IP de cet ordinateur n’arrive jamais (par exemple, parce que l’adresse IP d’origine est usurpée).
(3) BOTNET
Ordinateurs d’un réseau contrôlés par un ou plusieurs « bots » (robots). Les ordinateurs d’un botnet ne sont généralement pas conscients du fait qu’ils en font partie, car ils ont été compromis d’une façon ou d’une autre. Un ordinateur compromis ainsi peut, en principe, être employé pour n’importe quelle tâche, par exemple, pour envoyer du spam ou viser d’autres ordinateurs.
La personne qui contrôle le botnet emploie souvent les serveurs IRC (Internet Relay Chat) pour contrôler ses ordinateurs (les zombies). Il n’est pas rare que ce serveur IRC soit lui-même un ordinateur compromis. Comme la chaîne impliquée peut intégrer de nombreuses boucles différentes, il n’est généralement pas banal de retrouver la ou les personne(s) responsable du botnet.

ALERTES VIRALES

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Dernière mise á jour signatures

>>	2009-01-07

Informations sur la sécurité

>>	Summing up 2008 and predictions for 2009
>>	Noël – une période délectable ET redoutable

Conseils pour la sécurité

>>	Mise à jour non planifiée pour Microsoft Internet Explorer
>>	Six mises à jour critiques pour les systèmes Microsoft en décembre 2008

Norman est une des sociétés leader mondial dans le domaine de la sécurité informatique. Des produits tels que les antivirus, le firewall personnel, la solution anti spam en font un acteur important dans le monde informatique.