|
|
Augmentation des attaques par extraction d’annuaire
Par Ludovic Blin,
secuobs.com
Le 20/01/2006
Résumé : La société Tumbleweed a publié un rapport sur les données collectées par ses « darknet » au cours du troisième semestre 2005. Celui-ci fait apparaître une augmentation de 170% des attaques par extraction d’annuaire de messagerie. - Lire l'article
La plupart des ordinateurs connectés à l’internet recoivent de nombreuses connexions non sollicitées. Ce trafic qui résulte en grande partie d’attaques automatisées peut être collecté et analysé à l’aide d’outils dénommés « Darknets » ou « Honeypot » (pot de miel) à faible interaction.
Il s’agit en fait de placer un socket réseau en écoute sur différents ports (stratégiquement choisis ou exhaustifs) de manière à collecter les informations qu’envoient tous ces robots. Cela peut être simplement réalisé depuis n’importe quelle connexion avec par exemple un système Linux et l’utilitaire Netcat. Il est aussi possible d’assigner à un même hote plusieurs adresses IP de manière à pouvoir observer une part plus importante du réseau.
La société américaine Tumbleweed, notamment spécialisée dans la lutte contre les menaces visant la messagerie électronique, a publié son deuxième rapport d’analyse de ses dispositifs « Darknet ». Celui-ci s’attache a surveiller le port 25, utilisé par le protocole SMTP qui assure le transport des messages électroniques. Il est complété par plusieurs interviews de responsables.
Le trafic sombre représente selon les chercheurs jusqu'à 70% du trafic des emails. Sur la totalité de ce trafic, la part la plus importante revient aux messages adressé à des destinataires n’existant pas (43%) ainsi qu’à des attaques pour récupérer l’annuaire de la société (27%).
Notons que pour déterminer la liste des utilisateurs, il est possible d’essayer de nombreux noms de manière à en trouver certains de valides. 4% de ce trafic correspond par ailleurs à des attaques par Déni de Service (DoS) sur la messagerie, tandis que seulement 17% du trafic valide serait adressé à des utilisateurs existants. Sur ce faible pourcentage, entre 60 et 70% serait classifié comme spam, ce qui fait donc conclure à Tumbleweed que seulement 10% du trafic mail est valide.
La société constate également que 40% des entreprises utilisent le même nom d’utilisateur pour la messagerie que pour l’accès au réseau local. Ce qui peut expliquer l’augmentation de 170% des attaques d’extraction d’annuaires entre le premier et le troisième trimestre 2005.
En ce qui concerne les utilisateurs, les attaques les plus expérimentées au cours de ce trimestre sont l’abondance de spam pour 70% des répondants, et l’infection par un virus pour 67%. Notons ensuite le phishing dont 37% des répondants indiquent avoir répondu à un message de ce type contre 0% lors du précédent rapport. Au niveau des conséquences des attaques, la plupart des utilisateurs indiquent un retard dans l’acheminement des messages (56%) ainsi qu’une surcharge de travail pour l’ équipe technique (33%).
L’augmentation des attaques par extraction d’annuaires parait être une tendance intéressante à remarquer, qui concorde avec d’autres rapports constatant une augmentation des attaques ciblées. En effet, lorsqu’un attaquant à obtenu un nom d’utilisateur, cela peut signifier pour lui un accès au réseau beaucoup plus facile.
Les entreprises sont nombreuses a avoir mis en place des systèmes de SSO (single sign on, identification unique) et les mots de passes ne sont pas toujours bien choisis, ce qui rend possible des attaques par force brute, une fois qu’un nom d’utilisateur valide a été obtenu.
L’utilisation de mots de passe forts est donc plus que jamais a conseiller (au moins 9 caractères alphanumériques et spéciaux, générés au hasard et ne constituant pas un mot, dans aucune langue connue).
- Article suivant : Karma, un environnement pour les attaques sur la sélection automatique de réseau wifi
- Article précédent : Le multiplexage sous Openssh. Pourquoi ? Comment ?
- Article suivant dans la catégorie Tendances : Un nouveau round se prépare sur le thème des brevets logiciels
- Article précédent dans la catégorie Tendances : Augmentation de 48% du nombre codes malveillants en circulation
| Mini-Tagwall des articles publiés sur SecuObs : | | | | sécurité, exploit, windows, attaque, outil, microsoft, réseau, audit, metasploit, vulnérabilité, système, virus, internet, usbsploit, données, source, linux, protocol, présentation, scanne, réseaux, scanner, bluetooth, conférence, reverse, shell, meterpreter, vista, rootkit, détection, mobile, security, malicieux, engineering, téléphone, paquet, trames, https, noyau, utilisant, intel, wishmaster, google, sysun, libre |
| Mini-Tagwall de l'annuaire video : | | | | curit, security, biomet, metasploit, biometric, cking, password, windows, botnet, defcon, tutorial, crypt, xploit, exploit, lockpicking, linux, attack, wireshark, vmware, rootkit, conference, network, shmoocon, backtrack, virus, conficker, elcom, etter, elcomsoft, server, meterpreter, openvpn, ettercap, openbs, iphone, shell, openbsd, iptables, securitytube, deepsec, source, office, systm, openssh, radio |
| Mini-Tagwall des articles de la revue de presse : | | | | security, microsoft, windows, hacker, attack, network, vulnerability, google, exploit, malware, internet, remote, iphone, server, inject, patch, apple, twitter, mobile, virus, ebook, facebook, vulnérabilité, crypt, source, linux, password, intel, research, virtual, phish, access, tutorial, trojan, social, privacy, firefox, adobe, overflow, office, cisco, conficker, botnet, pirate, sécurité |
| Mini-Tagwall des Tweets de la revue Twitter : | | | | security, linux, botnet, attack, metasploit, cisco, defcon, phish, exploit, google, inject, server, firewall, network, twitter, vmware, windows, microsoft, compliance, vulnerability, python, engineering, source, kernel, crypt, social, overflow, nessus, crack, hacker, virus, iphone, patch, virtual, javascript, malware, conficker, pentest, research, email, password, adobe, apache, proxy, backtrack |
|
|
|
|
|
