Au moins la moitié des réseaux menacée par l’usurpation d’identité

Lorsqu’ils communiquent avec un serveur, les ordinateurs envoient des informations comprenant leur adresse IP source, en plus de celle de destination. Un peu à la manière d’une lettre sur laquelle apparaissent les adresses de l’expéditeur et du destinataire. L’usurpation de l’identité d’un ordinateur (adresse IP) est une forme de piratage de plus en plus courante. « En modifiant l’adresse IP d’origine d’une requête, il est possible de faire en sorte que le serveur interrogé envoie sa réponse à un serveur cible choisi, explique Maciej Korczynski, maître de conférences à Grenoble INP – Ensimag et chercheur au LIG. En multipliant le processus, il est possible de noyer le serveur victime sous une telle masse d’informations que tout trafic devient impossible. »

L’une des parades les plus simples contre ce type d’attaque (appelé DDoS – Distributed Denial of Service) est la vérification systématique des adresses sources de tous les « paquets de données » se présentant à l’entrée d’un réseau. Une telle adresse IP source ne doit pas appartenir au réseau dans lequel le paquet entre. Or, malgré les recommandations, très peu de routeurs vérifient si cette règle est satisfaite pour le trafic entrant.
 

4 millions de serveurs potentiellement dangereux

Les chercheurs du LIG ont mis au point une méthode astucieuse pour tester à distance la vulnérabilité des réseaux à ce type d’attaque. L’astuce consiste à utiliser les serveurs DNS de chaque réseau. Uniquement accessible en interne, ce service informatique propre à chaque réseau est utilisé pour traduire les noms de domaines Internet en adresses IP. « Notre méthode consiste à envoyer une requête à toutes les adresses IP du réseau que l’on souhaite tester, explique Maciej Korczynski. Lorsque nous finissons par tomber sur celle du DNS, celui-ci renvoie notre requête au serveur d’autorité que nous contrôlons, créé spécialement par nous. De cette façon, si nous recevons une requête sur notre serveur d’autorité, c’est que notre requête initiale a passé la barrière du routeur à l’entrée sans se faire repérer, et donc que le réseau est dépourvu de système de contrôle de la provenance des paquets entrants. »

Après avoir testé l’ensemble des réseaux dans le monde, les chercheurs du LIG ont fait le constat préoccupant que près de la moitié d’entre eux ne disposent pas d’un système de vérification des adresses entrantes. En outre, il existe plus de 4 millions de serveurs DNS internes qui peuvent être directement attaqués ou utilisés dans des attaques de cybersécurité contre d'autres victimes.

Particulièrement originale, la méthode a fait l’objet d’une présentation à la conférence Passive and Active Measurement Conference en mars 2020.

Pour en savoir plus : https://bit.ly/3lxDEEa