Une étude révèle que 91% des sites Internet seraient vulnérables à des attaques exploitant des failles. L'exploitation de la faiblesse des identifiants par les pirates monte également en puissance.

Surveiller les attaques informatiques menées depuis Internet n'est pas une première. De nombreux éditeurs de la sécurité se prêtent déjà à cette activité par le biais de sondes et de pots de miel (honeypots). Toutefois, l'université américaine du Maryland s'est, dans une récente étude, bien moins intéressée au volume d'attaques qu'à leurs caractéristiques. La finalité était ainsi d'établir des tendances et d'analyser statistiquement les modes opératoires des pirates.

Les chercheurs souhaitaient notamment étudier les méthodes employées pour s'introduire sur un système et les actions réalisées une fois la compromission couronnée de succès. Et pour réunir ces chiffres, quatre ordinateurs sous Linux, avec des mots de passe volontairement faibles, ont été mis à contribution en novembre et décembre dernier. De prochaines études auront lieu dans un second temps sur des environnements Windows et Unix.

Durant la période d'analyse de 24 jours, les universitaires ont comptabilisé pas moins de 269 262 tentatives d'intrusion, dont 824 ont abouti. Les ordinateurs ont en moyenne été attaqués 2 244 fois par jour et en provenance de 229 adresses IP uniques. Le responsable de l'étude, Michel Cukier, même s'il espérait que la faiblesse des mots de passe jouerait le rôle d'aimant, n'escomptait toutefois pas générer une telle activité.

Sur la base de ces attaques, les chercheurs ont ainsi pu dresser des statistiques comportementales : vérification de la configuration logicielle et matérielle, téléchargement, installation ou exécution d'un programme, modification des codes d'accès, etc. Autant d'observations qui doivent au mieux permettre d'identifier et comprendre les méthodes d'attaque afin de définir des dispositifs de défense efficaces.

Sans grande surprise, l'université du Maryland a noté qu'un grand nombre de pirates utilisaient des attaques par dictionnaire pour deviner les noms d'utilisateurs et les mots de passe. Parmi les identifiants les plus testés figurent notamment Root et admin. Viennent ensuite test, guest, info, adm, user, mysql, oracle, et administrator. Quant aux tentatives pour casser le mot de passe, elles consistaient dans 43% des cas à entrer à nouveau le nom d'utilisateur ou de simples combinaisons telles que le username suivi de "123".

L'étude a également identifié les administrateurs de botnets, ou réseaux de PC zombies, comme les plus actifs. Ainsi la séquence la plus courante consistait à contrôler la configuration de l'ordinateur, à changer les identifiants, puis à vérifier de nouveau la configuration (logicielle et matérielle), avant de finalement télécharger un fichier pour l'installer et l'exécuter.

Les identifiants, s'ils sont une faiblesse reconnue, ne sont toutefois pas les uniques vecteurs d'attaque. Ainsi, Acunetix, spécialisé dans la sécurité des sites Web, s'est intéressé à l'analyse des vulnérabilités des sites. D'après les résultats de l'étude, sur les 3 200 audités, 70% comporteraient des vulnérabilités de nature à les exposer à des actions de piratage.

91% des sites contiendraient au moins une vulnérabilité - quelle que soit sa gravité. Ces dernières iraient de la plus mineure à la plus sérieuse, telles que des failles de type Cross Site Scripting ou celles permettant de faire de l'injection de code SQL. Selon Acunetix, un site compterait en moyenne 66 vulnérabilités, pour un total de 210 000 sur l'ensemble des 3 200 analysés.

Source : jdn solutions