Attaque informatique/Différents types d'attaque informatique
Il existe de multiples attaques dites "informatique", mais nous allons nous étudier uniquement les plus répandues.
L'attaque par déni de service
[modifier | modifier le wikicode]L'attaque par déni de service a pour but de rendre inopérant une machine en la saturant. Usuellement, cette attaque est menée contre des serveurs, mais on a déjà vu des vers implémentant un moteur DoS (Denial Of Service, déni de service) contre des clients du réseau local.
Il existe différents moyens pour saturer un ordinateur, mais toutes reviennent au principe d'envoyer plus de requêtes (ping, http,fork, ...) que le système d'exploitation et le logiciels n'en peuvent traiter. Le moyen le plus simple de se prémunir contre ce type d'attaque est d’utiliser un pare-feu intelligent qui bloque les connexions d'une adresse IP si elles sont trop nombreuses (Iptable convient parfaitement).
Actualités: T.C.P. sockstress
[modifier | modifier le wikicode]L'année 2009 a vu l'apparition de nouvelle attaque déni de service, comme l'attaque T.C.P. sockstress: En condition normale, une connexion est fermée au bout d'un certain temps si le client ne répond pas; cependant, en réduisant la fenêtre d'envoi T.C.P. (TCP window: en bref, c’est le débit maximum d'envoi), ou même en la configurant à 0, on peut maintenir une connexion alors même qu'elle est inactive. Des règles de pare-feu existent aussi pour empêcher ces situations. Ainsi, lorsque le serveur aura reçu trop de connexions, il va arrêter de répondre, même aux requêtes valables. Cette attaque est une attaque dérivée de l'attaque SYN ("SYN flooding", arrosage avec des SYN), qui fonctionne sur le même postulat: si j'ouvre trop de connexions en même temps, alors je provoquerai un déni de service. Seules les méthodes pour y arriver changent. (Dans le cas de l'attaque SYN, le pirate envoie de nombreuses requêtes SYN, qui ouvrent une connexion, mais n'envoie ensuite aucun autre ordre: le serveur maintient la connexion un certain temps, pensant que le pirate va répondre; ainsi, il est possible d'ouvrir un grand nombre de connexions pendant ce laps de temps.)
Déni de service distribué
[modifier | modifier le wikicode]Lorsque le pirate contrôle plusieurs machines "zombie" (botnet) à ses ordres, et qu’il leur ordonne de faire une attaque DoS, on parle de déni de service distribué (DDoS, Distribued Denial Of Service).
Conséquences
[modifier | modifier le wikicode]Un serveur victime d'une attaque DoS va ralentir (meilleur cas), redémarrer (plantage), ou ouvrir un accès à l'attaquant (pire des cas).
L'attaque par exploitation de faille
[modifier | modifier le wikicode]Si un attaquant parvient à utiliser une faille, ou un bogue, dans un logiciel pour exécuter ses desseins, alors on parle d'attaque par exploitation de faille. Pour empêcher ce type d'attaque, mettez votre système à jour souvent, ainsi, si la faille est colmatée, l'attaque sera sans effet.
Buffer overflow: dépassement de tampon
[modifier | modifier le wikicode]Une des failles les plus courantes est le dépassement de tampon. Son principe est expliqué très clairement sur la page wikipedia Dépassement de tampon; en bref, suite à une action d'un pirate (ou un incident), un programme écrit en mémoire hors de l'espace prévu à cet effet: par exemple, s'il reçoit trop de données, il va dépasser la limite prévue, et écrire sur d’autres données. En créant des données spécifiques, le pirate pourra faire exécuter celle-ci (dangereux).
Conséquences
[modifier | modifier le wikicode]Les attaques par failles sont à prendre au sérieux: elles sont plus répandues que l’on ne pense, et peuvent mener à l'exécution de code arbitraire sur la victime.