Imperva analyse une attaque des Anonymous

le 29/02/2012, par Jean Elyan avec IDG News Service, Sécurité, 781 mots

Une tentative de piratage du site du Vatican a mis en lumière les méthodes du groupe de hacktivistes. Imperva, spécialiste de la sécurité a décortiqué cette attaque et pointe du doigt la vulnérabilité de la couche applicative.

Imperva analyse une attaque des Anonymous

L'entreprise de sécurité Imperva a publié l'analyse détaillée d'une attaque menée par Anonymous contre un de ses clients. Elle livre ainsi un éclairage sur la manière dont agit le groupe de pirates. Notamment, l'analyse souligne la nécessité de mieux surveiller la sécurité de la couche applicative. Selon le New York Times, les Anonymous ciblaient le Vatican. Mais Imperva a refusé de confirmer l'identité de son client.

L'attaque, qui n'a pas porté atteinte au site et n'a pas compromis de données utilisateurs, a été menée en trois phases. Dans un premier temps, qualifié de phase « de recrutement et de communication » dans le document d'Imperva, le groupe a sollicité des soutiens sur les sites de médias sociaux comme Facebook, Twitter et YouTube, afin de justifier son attaque. Ensuite, est venue la phase « de reconnaissance et d'attaques contre la couche d'application ». Elle a impliqué un petit nombre de hackers professionnels lesquels, avec des outils courants, ont évalué les vulnérabilités, sondé les trous de sécurité puis ont lancé des attaques par injection de commandes SQL. Le but était de parvenir à voler des données utiles pour l'attaque finale. Mais, cette tentative de vol de données a échoué, et ces pirates aguerris ont impliqué des personnes « neutres » pour mener à bien une attaque par déni de service distribué (DDoS).

Selon Amichai Shulman, co-fondateur et CTO de Imperva, l'attaque des Anonymous s'inspire très fortement de l'approche de pirates dont le but est d'extorquer de l'argent à leurs victimes. La dizaine ou quinzaine de pirates professionnels ont utilisé des outils standards comme Havij, Acunetix et Nikto pour tester les vulnérabilités et mener des attaques par injection de commandes SQL. Pour le CTO d'Imperva, il ne fait pas de doute que ces hackers sont des professionnels. Ceux-ci connaissent bien les outils de piratage et savent aussi comment masquer leur identité sur le Net en utilisant des services d'anonymat. Comme les pirates n'ont pas réussi à trouver des vulnérabilités, ils ont initié une attaque DDoS avec un logiciel accessible à tous qui permet aux utilisateurs d'attaquer des sites depuis les navigateurs mobiles.

Contrairement à d'autres attaques DDoS traditionnelles sur la couche réseau, celle-ci ciblait la couche applicative dans le but de saturer les ressources du serveur. Anonymous a créé une page web contenant un code Javascript qui tourne en continu, aussi longtemps que la page est ouverte dans un navigateur. Ce type d'attaque est communément appelée LOIC Mobile (Low orbit ion cannon). Pour participer à l'attaque, un utilisateur novice doit simplement se connecter à la page web et la laisser ouverte.

Des motivations plus criminelles que politiques

Amichai Shulman pense que si une entreprise est susceptible d'être la cible d'attaques de la part d'Anonymous, alors elle doit sécuriser sa couche applicative et se protéger contre les attaques DDoS, parce que c'est la première étape mise en oeuvre par les pirates. Cependant, la véritable motivation pour mettre en oeuvre ce type de sécurité, doit être de se protéger contre la fraude financière. « Au cours des deux dernières années, Anonymous a été plus une nuisance qu'autre chose, » a t-il déclaré. « Cependant, le groupe d'hacktivistes utilise les mêmes outils que des pirates ayant des motivations criminelles. Et c'est bien cela qui doit inquiéter les entreprises. » Imperva, qui surveille en permanence les applications d'une quarantaine de clients, affirme que une fois toutes les deux ou trois minutes, elles subissent une attaque sur la couche applicative. « C'est une menace beaucoup plus sérieuse que le piratage d'un site web par Anonymous pour manifester un point de vue politique, » a déclaré le CTO d'Imperva.

Celui-ci a ajouté que, si les attaques d'Anonymous ciblent des entreprises ou des institutions de petite taille en utilisant LOIC ou LOIC Mobile, le groupe a aussi réussi à lancer des attaques massives contre des géants de l'Internet comme American Express ou le FBI. « Dans l'opération Payback, les Anonymous ont utilisé les réseaux de zombies », a déclaré Amichai Shulman. « Ce genre d'opération ne peut pas reposer sur le volontariat. Elle nécessite des outils très différents. Il faut de la puissance de calcul, des financements et une bonne organisation. Alors, qui est derrière tout cela ? Et pour le compte de qui agissent-ils ? C'est encore un mystère. » Le CTO d'Imperva a ajouté que les cybercriminels agissant pour de l'argent sont de plus en plus nombreux à  lancer des attaques par injection de commandes SQL en utilisant des réseaux de zombies, ce qui place le problème à une autre échelle et donne aux attaquants un rayon d'action beaucoup plus large.

Cisco alerte sur des failles dans IOS XE

Cisco a émis une alerte concernant une vulnérabilité critique au niveau de l'interface utilisateur web de son système d'exploitation d'interconnexion réseau IOS XE. Aucun patch n'est pour l'instant disponible...

le 17/10/2023, par Dominique Filippone, 506 mots

Emergency Responder et d'autres produits de Cisco vulnérables

Les dernières vulnérabilités corrigées par Cisco pourraient donner aux attaquants un accès root, permettre un déni de service ou une escalade des privilèges. En fin de semaine dernière, Cisco a corrigé des...

le 10/10/2023, par Lucian Constantin, IDG NS (adaptation Jean Elyan), 593 mots

IBM lance un service de connectivité multicloud basé sur le DNS

Le service NS1 Connect proposé par IBM peut prendre des décisions dynamiques sur l'endroit où envoyer des requêtes Internet pour assurer les meilleures connexions dans des environnements réseau complexes et...

le 27/09/2023, par Michael Cooney, IDG NS (adapté par Jean Elyan), 989 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Céline Polo

DRH du groupe iliad

"Nous recrutons dans des métiers en tension, en particulier sur l'infrastructure réseau, pour lesquels il y a...