Professional Documents
Culture Documents
CENTRE NATIONAL
DE LA RECHERCHE
SCIENTIFIQUE
sécurité informatique avril 2004 - n° 48
suite de la page 1
communautés académique et gouverne- font de la sensibilisation auprès des respon- En plus des notes de vulnérabilités distribuées
mentale eut réussi à contenir le ver, le sables et des utilisateurs. par les équipementiers ou les autres CERT, le
« National Computer Security Center » améri- Les CERT ne se substituent jamais aux autorités CERT-Renater dispose de moyens supplémen-
cain (partie de la célèbre « National Security des organismes, encore moins aux autorités taires de collecte d’informations. Nous aug-
Agency ») organisa une série de rencontres de police ou de justice. Ce sont les sites atta- mentons sans cesse le nombre de ces sources
afin de discuter des façons de prévenir ou de qués qui doivent (s’ils le jugent opportun) faire externes d’informations (sites Internet concer-
répondre à de tels incidents à l’avenir. Peu appel aux autorités de police. Néanmoins, les nant la sécurité Internet, listes de discussion,
après, la « Defense Advanced Research CERT maintiennent des liens de coopération forum de nouvelles (news), discussions IRC).
Projects Agency » annonça son intention de avec ces autorités. Nous pouvons aussi glaner des renseigne-
financer le développement d’un centre de Le CERT-Renater ne déroge pas aux règles et ments susceptibles d’intéresser la commu-
coordination pour les incidents de sécurité sur principes qui régissent la vie des CERT et nauté lors de l’analyse d’incidents, par le biais
Internet. La DARPA choisit alors le « Software assure depuis quelques années, pour la com- d’autres CERT, de relations privilégiées (ou
Engineering Institute » de l’université de munauté Renater, un rôle préventif et un rôle non) avec certains correspondants sécurité
Carnegie Mellon pour héberger ce nouveau curatif. Depuis quelques mois, l’accent a été au niveau des organismes, ou encore lors de
centre. Le CERT/CC, « Computer Emergency mis sur des aspects plus pro-actifs, répondant la vérification d’informations provenant de
Response Team Coordination Center », pre- à la problématique de la détection précoce sources non fiables (réseau de tests d’équipe-
mier CERT au monde, était né [3]. d’incidents de sécurité. ments en cours de déploiement, collabora-
Depuis, d’autres équipes de réponses à inci- tion avec des membres d’autres CERT, etc.).
dents et de sécurité se sont développées à Cette veille technologique des activités sur le
Les avis
■
travers le monde, prenant le nom de CERT ou réseau permet parfois de lancer des alertes
de CSIRT (« Computer Security Incident ou de faire ressortir le niveau critique ou la
Response Team»), dont une grande partie est Dans le domaine de la sécurité, la prévention persistance d’un problème de sécurité.
aujourd’hui membre du FIRST (« Forum of est un domaine souvent négligé mais pourtant Depuis le début de l’année 2000, ces bulletins
Incident Response and Security Team »)[4]. primordial. Se tenir au courant des problèmes sont répartis en quatre catégories :
de sécurité permet en effet d’anticiper bien ● VULN : elles informent les correspondants
des attaques et d’éviter bien des catastrophes. Sécurité des vulnérabilités découvertes sur
Les missions d’un CERT
■
Cette activité requiert notamment une veille les systèmes d’exploitation et les applica-
technologique permanente. La plupart des tions;
La mission d’un CERT est d’assister ses adhé- équipes techniques sur les sites Renater sont ● STAT : elles résument, tous les vendredis,
rents en matière de sécurité informatique, et souvent débordées ou peu formées à la sécu- l’ensemble des incidents traités au cours de
notamment dans le domaine de la préven- rité. Cette collecte d’informations est rarement la semaine écoulée et rappellent quelques
tion, la détection et la résolution d’incidents faite ou du moins pas régulièrement. Le CERT- recommandations appropriées. Le CERT-
de sécurité. Sa fonction première est d’être un Renater se charge donc de diffuser aux sites Renater utilise également les statistiques
point de contact pour la communauté d’utili- Renater des informations jugées pertinentes et concernant les incidents traités comme
sateurs qu’il représente, c’est-à-dire la struc- provenant de sources officielles (listes de diffu- indicateur pour mieux prévoir les évolutions
ture que l’on appelle à l’aide et qui organise sion des éditeurs par exemple). Existent quatre dans les menaces et les failles utilisées;
les secours en cas d’incident. Cette structure types de bulletins : vulnérabilité, alerte, informa- ● INFO : elles décrivent, de la manière la
doit pouvoir centraliser et diffuser l’information tion, statistiques. Ils sont diffusés vers les corres- plus détaillée et pédagogique possible, un
à des interlocuteurs identifiés par des canaux pondants sécurité des sites (désignés par le phénomène lié à un problème de sécurité,
sûrs. chef d’établissement), qui ont la responsabilité mais sans caractère d’urgence;
Les CERT, grâce à leur expérience, établissent de la diffusion en interne, conformément aux ● ALER : elles donnent l’alerte sur un pro-
des recommandations générales (pour les restrictions de diffusion que le CERT-Renater leur blème de sécurité qui touche l’ensemble
administrateurs de machines, de réseaux…) et a communiquées. du réseau ou qui menace de s’étendre
rapidement à un grand nombre de sites.
2
sécurité informatique avril 2004 - n° 48
sûr, ce surcroît de travail n’encourageait pas ont été mis en place. Les messages sont main- cause des sites Renater (AS2200 principale-
de nouveaux correspondants à soumettre tenant envoyés à une adresse spéciale (certs- ment);
régulièrement des traces. Or, pour que ce tra- can@renater.fr), puis enregistrés et stockés ● traiter ensuite les incidents mettant en
vail de surveillance soit un minimum efficace, il dans une base de données. Ils sont consul- cause des systèmes appartenant à des
faut travailler sur un grand nombre de classes tables selon le mode client/serveur depuis le communautés de confiance (couvertes
d’adresse IP, et si possible, bien réparties sur poste de chaque membre de l’équipe. Un par des CERT français, des CERT acadé-
l’ensemble d’adressage IPv4. premier client aux fonctionnalités limitées a miques, des CERT membres de la TF-CSIRT
Au niveau du CERT, les rapports soumis néces- été mis en place pour effectuer des requêtes ou du FIRST);
sitaient aussi une analyse longue et fasti- sur la base. Courant juillet 2003, cet outil a ● traiter ensuite le maximum de cas choisis
dieuse. Qui plus est, il était assez difficile d’af- cédé le pas à un système de consultation par en fonction des dernières vulnérabilités
publiées et des programmes d’attaque mis
à disposition.
3
sécurité informatique avril 2004 - n° 48
suite de la page 3
E
N
sages. Ces choix sont absolument nécessaires réseau, le CERT a entrepris la surveillance des flux de trafic en transit sur le
car la quantité d’informations à passer en réseau Renater. Il ne s’agit pas, bien sûr d’espionner les communications des
revue chaque jour est énorme et par consé- clients Renater, c’est-à-dire de faire une analyse du contenu des paquets en tran-
quent, on ne peut pas tout traiter. sit. Il s’agit plutôt d’essayer de détecter plus d’incidents sur le réseau Renater, de
À l’heure actuelle, le CERT compte 27 contri- réduire le nombre d’activités illicites sur Renater, et de faire respecter la charte
buteurs journaliers, ce qui représente : Renater.
● une couverture de 2 000 classes C (envi- Des informations au format Netflow5 en provenance de l’ensemble des Points de
ron 10% des adresses de Renater) ; Présence (PoP) de Renater sont collectées, traitées et archivées. L’analyse se base
● 150 à 200 messages reçus par jour ; sur la nature du trafic en transit sur les liens Renater : flux, adresses IPs, index de rou-
● en moyenne plus de 10 000 adresses IPs teurs, taille des flux...
source de scans enregistrées par jour ; Une analyse quantitative du trafic permet de repérer des transferts potentiellement
● plus de 100000 adresses destination scan- suspects et des dénis de service. Une analyse de la taille des flux permet de mettre
nées par jour. en évidence des transferts potentiellement illicites. Certains gros transferts peuvent
ainsi être symptomatiques de la présence d’un serveur de transfert de fichiers (FTP)
Les informations collectées sont extraites de pirate ou détourné de sa fonction première, ou bien encore de l’utilisation d’un
fichiers journaux de routeurs. Les rejets de ten- outil P2P. Une analyse par seuil des flux permet aussi de mettre en évidence des
tatives de connexion illicites sont enregistrés dénis de service.
dans ce fichier. Un tri automatique préalable à Les clients/serveurs P2P et les serveurs FTP pirates sont deux moyens très utilisés [1]
l’envoi est nécessaire pour réduire la masse aujourd’hui pour l’échange de fichiers illicites. Dans les deux cas, il s’agit le plus sou-
d’informations à envoyer et écarter d’emblée vent de rapatrier et/ou mettre à disposition des fichiers contenant des jeux ou du
des informations peu pertinentes (réduire le contenu audio ou vidéo protégé par une licence ou des droits d’auteur. Ce type
nombre de faux-positifs). Plusieurs outils sont de trafic n’est pas conforme à la charte de bon usage du réseau Renater. Or, tout
disponibles pour faire ce travail de remontée site connecté à Renater signe cette charte qui stipule que le trafic généré ou reçu
dans un format immédiatement exploitable doit essentiellement être à but éducation/recherche. Qui plus est, la présence de
par les outils du CERT : Detescan [1], Vigilog tels contenus sur des systèmes engage la responsabilité du responsable de ces sys-
[2], Anapirate [3]. tèmes. Or, depuis quelque temps, des associations d’éditeurs se forment et inten-
La mise en place de ces outils est assez simple, tent des actions en justice contre les propriétaires de systèmes engagés dans de
et les bénéfices de la surveillance, inesti- telles activités. En conséquence, dès qu’un transfert suspect est détecté, le CERT
mables. Une fois l’outil choisi mis en place, les Renater se met en contact avec l’administrateur du site Renater concerné, lui
remontées se font de façon automatique et signale l’incident et demande vérification et action lorsqu’il y a lieu. Le CERT
l’administrateur n’est pas constamment solli- Renater est aussi susceptible d’étendre son action et d’indiquer à un certain
cité par ce travail. Le CERT-Renater recom- nombre d’autres sites un problème éventuel de ce type.
mande des remontées quotidiennes, un délai Cette année a été marquée par une croissance importante des incidents concer-
supérieur empêchant un traitement correct nant des systèmes Windows. En effet, depuis l’an 2000 et la vulgarisation de l’utilisa-
des incidents et faussant les statistiques heb- tion de noyaux NT, les systèmes Windows sont très attractifs pour les pirates. Ils sont
domadaires. Outre la détection de machines très largement déployés et leurs nouvelles fonctionnalités permettent de manipuler
compromises, cette collecte permet aussi de à distance le système avec la même souplesse qu’un système de type Unix/Linux.
tirer des statistiques sommaires sur les ten- Obtenir le contrôle d’un tel serveur sur Renater présente plusieurs avantages :
dances d’attaque. Ces chiffres alimentent le ● espace de stockage gratuit et anonyme,
bulletin « STAT» que le CERT-Renater publie tous ● une bande passante souvent importante et à coût nul.
les vendredis.
Le CERT-Renater continue de solliciter les sites Une étude comportementale de ce type de transfert illicite a permis de mettre en
Renater pour augmenter le nombre de contri- évidence une taille de fichiers caractéristique à rechercher, les captures se font
buteurs journaliers. Le but poursuivi est de cou- donc en fonction de ce paramètre. Cette taille correspond à celle du fichier
vrir les attaques survenant sur l’ensemble des image ISO d’un disque compact (CD), découpé grâce à un logiciel de compres-
classes d’adresses de Renater et donc de sion (RAR ou ACE la plupart du temps).
capturer plus d’éléments intéressants, notam- Bien sûr, la masse de trafic capturé abrite aussi des transferts légitimes. La plupart
ment des attaques généralisées et d’obtenir des logiciels P2P n’ont pas été, à l’origine, créés pour permettre la circulation de
des statistiques plus fiables. fichiers pirates. Il existe des utilisations tout à fait licites de ces logiciels : échanges
Kostya Kortchinsky entre chercheurs, etc. Cependant on estime qu’aujourd’hui, ces transferts sont loin
de représenter la majorité des flux capturés (moins de 5% pour être plus précis). La
charge générée constitue donc une occupation non justifiée et non négligeable
[1] Detescan http://www.igh.cnrs.fr/denis.pugnere/detes- de bande passante et, il ne faut pas l’oublier, cela a un coût.
can/detescan.html
[2] Vigilog http://www.ensmp.fr/~martins/vigilog/
[3] Anapirate http://www.orleans.ird.fr/pub/anapirate/ana- [1] « La sécurité réseau au quotidien vue de l’intérieur » et « Témoignage sur un site piraté ». Cf.
pirate-site.html http://www.cnrs.fr/Infosecu/num43.pdf
4
sécurité informatique avril 2004 - n° 48
B
IEN évidemment, la palme médiatique quelqu’un qui a énervé le possesseur d’un
de seuils sur le nombre de flux envoyés ou
des attaques contre les systèmes d’infor- réseau de machines compromises (dans 95%
reçus par un site (attaque par un grand
mation, juste après les virus (et quelque- des cas, cela a un rapport avec IRC d’une
nombre de petits paquets) ou sur le débit
fois liées à eux) revient aux attaques de type façon ou d’une autre). L’intérêt est bien supé-
généré ou absorbé par un site (attaque par
DoS (Denial of Service) et DDoS (Distributed rieur lorsqu’il s’agit d’utiliser une machine
un petit nombre de gros paquets). En cas de
Denial of Service), qui ont rendu le jeune comme source, et les découvertes de BotNets
dépassement des seuils, un mail est envoyé à
mafiaboy tristement célèbre en février 2000, et (réseaux de clients de déni de service fonc-
une personne du CERT, et des flux extraits du
ont fait couler de l’encre plus récemment tionnant sur la base de drones IRC contrôlés)
trafic du site impliqué sont sauvegardés pour
avec MyDoom et ses conséquences atten- sur Renater sont en recrudescence, principa-
analyse ultérieure.
dues sur les sites de SCO et Microsoft (soit dit lement sous systèmes d’exploitation Windows.
Cette méthodologie a permis de mettre à
en passant, il n’y a pas eu la moindre hausse Toujours en s’appuyant sur l’infrastructure de
jour des machines compromises faisant partie
du trafic sur Renater aux dates annoncées). Le Métrologie mise en place au sein du GIP
de réseaux de dénis de service distribués, et
principe en est simple : saturer les ressources Renater, des outils ont été développés afin de
ainsi de démanteler ces derniers.
réseaux ou systèmes d’un organisme afin qu’il signaler en temps réel tout déni de service
Kostya Kortchinsky
ne puisse plus joindre Internet ni être joint :
● les réseaux, en saturant le lien ou le rou-
A
FIN de développer une expertise plus
Renater [1], la sécurité, c’est l’affaire de tous. Ainsi il appartient à chacun d’ap- spécifique dans le domaine de la
porter sa pierre à l’édifice. Plusieurs moyens pour cela. Le premier : nous tenir sécurité des systèmes d’information,
informés de tout incident lié à la sécurité de votre système d’information; de pré- et apporter un peu de nouveauté aux initia-
cieux renseignements se cachent dans toute compromission, que ce soit la métho- tives similaires, nous nous sommes penchés
dologie, les outils utilisés, le but recherché, autant d’éléments qui pourront aider sur quelques activités annexes : les pots de
d’autres sites par la suite. Vous pouvez aussi nous remonter de façon automatisée miel (honeypots), les tests d’intrusion, les for-
vos rapports de scans, les statistiques de vos plateformes antivirales, nous trans- mations (cette année, investigations de
mettre des informations sur des vulnérabilités potentielles, nous envoyer les
disques durs de machines compromises pour analyse, et bien entendu, répondre à machines compromises), la recherche de
nos sollicitations lorsque nous vous contactons. vulnérabilités.
Depuis peu, le CERT Renater est membre du
N’hésitez pas à nous contacter : French HoneyNet Project [1], pendant fran-
- par téléphone : 0153942044 ; çais au projet américain HoneyNet Project.
- par courriel : certsvp@renater ; Le concept d’un honeypot, ou pot de miel
- clé PGP du CERT Renater : en version française, est ludique et intéres-
id d754e8cd fingerprint 021f9a79a180885bcd7a3e94718b34e0 sant : il s’agit de mettre en place des sys-
tèmes ou réseaux de systèmes, virtuels la plu-
[1] Renater en vidéo http://www.renater.fr/Video/CERT/Index.htm ■ part du temps, dont la seule finalité est
d’être compromis. Il est alors possible d’ob-
server le compor- réponse page 6
5
sécurité informatique avril 2004 - n° 48
Conseil et coordination: CNRS - DIST - Jacqueline Leclère • Conception et réalisation: La Souris 0145210961
Il est vrai que sur un plan théorique, si la don- une clé se changent régulièrement). Robert Longeon
suite de la page 5
tement du pirate in vivo, de suivre ses agisse- mettent d’obtenir des accès privilégiés à
ments, de récupérer ses outils. Le CERT des machines importantes, ainsi que l’obten-
Renater participe activement aux initiatives tion d’informations sensibles. S É C U R I T É I N F O R M AT I Q U E
numéro 48 avril 2004
T I O N
sur le sujet. Organisée conjointement avec le CINES, une D E S S Y S T È M E S
D ’ I N F O R M A
S É C U R I T É
Concernant les tests d’intrusion, deux sites de formation CiRen [2] de 3 jours sur le thème
la communauté Renater ont joué aux des investigations de machines compromises Sujets traités : tout ce qui concerne
cobayes pour ce type de prestation qui (investigations « forensiques ») s’est déroulée la sécurité informatique. Gratuit.
Périodicité : 4 numéros par an.
consiste, entre autres, à tenter de s’introduire cette année à Montpellier. Le principe en Lectorat : toutes les formations CNRS.
au sein d’un réseau, et compromettre un était de fournir aux stagiaires des bases dans Responsable de la publication :
grand nombre de machines. Le test d’intru- ce domaine en alliant une partie théorique ROBERT LONGEON
Centre national de la recherche scientifique
sion diffère fondamentalement d’un audit et une partie pratique basée sur l’étude de Service du Fonctionnaire de Défense
de sécurité classique puisque ne prenant en machines compromises issues de nos travaux c/o IDRIS - BP 167. 91403 Orsay Cedex
Tél. 01 69 35 84 87
compte que les aspects techniques de l’ar- sur les HoneyNets. Courriel : robert.longeon@cnrs-dir.fr
chitecture systèmes et réseaux, et en rien les Kostya Kortchinsky http://www.cnrs.fr/Infosecu
aspects humains. Son succès requiert des ISSN 1257-8819
Commission paritaire n° 3105 ADEP
compétences d’autant plus pointues. Les La reproduction totale ou partielle
[1] French HoneyNet Project des articles est autorisée sous réserve
résultats ont été très positifs dans les deux http://www.frenchhoneynet.org/ de mention d’origine
cas, puisque soulignant de nombreux trous [2] Formations CiRen
de sécurité dans les réseaux concernés per- http://www.cines.fr/textes/ciren.html