Recrudescence des ordinateurs zombies aux ordres des pirates.

Le dernier rapport du centre de coordination du CERT (Computer Emergency Response Team), une organisation chargée de veiller sur les problèmes de sécurité sur internet, constate, entre autres, une recrudescence du nombres de serveurs compromis par des automates d'attaques du type DDoS (Distributed Denial of Service).

Ce type d'attaque, qui a frappé plusieurs sites américains il y a quelques mois, est réalisé grâce à de nombreuses machines envoyant un flux de données vers une cible. Pour réussir une telle attaque, les pirates doivent au préalable prendre le contrôle d'un maximum de machines reliées à internet. Ensuite, ils installent au sein de chaque machine un agent qui leur permettra d'utiliser les capacités de la machine au moment voulu. Puis ils dissimulent les traces de leur passage. Ils disposent ainsi d'un réseau de machines "zombies" obéissant aux ordres d'une ou de plusieurs autres machines dont ils ont le contrôle, et qui servent à coordonner le réseau DDoS. Cette technique permet de disposer d'une puissance très importante permettant de saturer la bande passante de la plupart des sites. Le Cert estime ainsi que celle-ci peut atteindre le gigabit par seconde.

Le Cert a par exemple dénombré en un incident plus de 560 machines réparties sur 220 sites faisant partie d'un tel réseau : le Tribe Flood Network 2000. Le rapport constate aussi que les machines compromises le sont souvent par l'exploitation de deux failles : l'une dans rpc.statd (voir patch) et l'autre dans ftpd (voir patch). Des outils automatisés sont utilisés pour scanner les machines vulnérables, en particulier sur deux services spécifiques : sunrpc (port 111/udp et 111/tcp) et ftp (port 21/tcp). Ensuite, des logiciels du type rootkits sont utilisés, et en particulier l'outil nommé "t0rnkit". Celui-ci, qui selon le Cert est en phase active de développement, effectue plusieurs opérations sur la machine cible: arrêt des logs, mise en place d'un cheval de troie sur le service SSH (communications cryptées), installation d'un sniffer de mots de passe... puis redémarrage des services concernés et des logs. Le Cert constate que en plus de l'installation de ces rootkits, des outils de type DDos sont souvent installés, en particulier TFN, TFN2000 et Stacheldraht 1.666+smurf+yps.

Il est donc recommandé aux administrateurs réseaux et responsables informatiques de s'assurer que leurs machines ne sont pas compromises (voir conseils) par des agents DDoS. De plus, il a été récemment constaté que de plus en plus de machines appartenant aux particuliers et reliés à des réseaux câble et DSL sont utilisées pour ces attaques.
[Ludovic Blin, JDnet]