Un concours de piratage veut "défigurer" 6 000 sites en...

macinside

Membre vénérable
Club iGen
20 Février 2000
35 805
3 283
25
lu sur transfert.net

L'occasion de rappeler quelques grands principes de la sécurité informatique

Un concours international de "defacement" est prévu pour le dimanche 6 juillet : pendant 6 heures, les internautes participant essaieront de faire des graffitis virtuels sur le plus grand nombre de sites web possible en "défigurant" leur page d'accueil, qu'ils remplaceront par un visuel de leur choix. Largement relayé dans la presse anglo-saxonne, cette compétition incite les administrateurs système à revoir les mesures de protection de leurs serveurs. En effet, pour être le plus rapide le jour J, les "pirates" ont déjà commencé à exploiter les failles de sécurité de leurs cibles.

Le site defacers-challenge.com, où l'on pouvait trouver l'annonce du concours, a été fermé ce mercredi par son hébergeur. Alors que le FBI dit prendre l'affaire "très au sérieux", le site est, ce vendredi matin, de nouveau accessible, via une redirection vers une page située chez un hébergeur gratuit : http://anticars.web.aplus.net/ (voir, plus bas, la copie d'écran).

1 point par Windows, 5 par Mac OS X
Les participants sont invités à modifier les pages d'accueil d'au moins 6 000 sites en moins de six heures. Plus le système informatique attaqué est exotique, ou exempt de failles de sécurité connues, plus il permet de remporter de points. Les concurrents remporteront ainsi un point pour tout système piraté tournant sous environnement Windows, deux points pour ceux utilisant Unix, Linux et BSD et trois points pour les systèmes AIX d'IBM. Enfin, prendre le contrôle d'un environnement HP-UX ou Mac OS X rapportera cinq points.

L'heureux gagnant se verra offrir un hébergement gratuit de 500 Mo sur l'adresse web de son choix. Ce prix étant assez peu attractif, les participants se battront donc surtout pour l'honneur.

Plus que les simples sites web, le concours dominical vise particulièrement les hébergeurs qui, s'ils sont piratés, permettent aux concurrents de toucher plusieurs dizaines, centaines voire milliers de sites. Sur les listes de discussion spécialisées, Defacers-Challenge, dont certaines rumeurs disent que c'est un gag potache voire une intox-piège lancée par des forces de police, a mobilisé les professionnels de la sécurité informatique. Ceux-ci en profitent pour encourager les administrateurs système à renforcer les protections de leurs serveurs et rappellent aux victimes potentielles le B-A.BA de la sécurité informatique, ainsi que les risques propres à ce genre d'attaques massives.

Le bon sens en action
Le 1er juillet, l'Office of Cyber Security & Critical Infrastructure Coordination (CSCIC) de l'état de New York a ainsi mis en ligne une "avertissement" concernant le Defacers-Challenge. Dans cette alerte, l'organisme officiel chargé d'aider les sites gouvernementaux à protéger leurs infrastructures informatiques invite les "admins" à vérifier qu'ils ont bien modifié les mots de passe prévus par défaut par certains logiciels et produits informatiques. Cette mesure de bon sens est d'autant plus utile qu'il existe des listes de ces mots de passe disponibles en ligne (sur Cirt.net ou Phenoelit.de, par exemple).

Si ces précautions ne suffisaient pas, le CSCIC conseille également de bien veiller à activer les outils de surveillance et d'archivage des logs (ou données de connexion), de sorte de pouvoir déterminer comment, et quand, le ou les sites auront été piratés. Autre mesure de bon sens : veiller à effectuer une copie pour archive (backup) des données, afin de pouvoir les remettre d'aplomb aussi vite que possible en cas de piratage.

Le décompte du nombre de sites piratés et le classement du concours a été confié au site de référence Zone-H, qui a pris la relève d'attrition.org en tant que base de données d'archivage en temps réel des pages web piratées.

Créé par des professionnels de la sécurité informatique, Zone-H s'est lui aussi fendu d'une série de conseils aux victimes, à commencer par l'installation des mises à jour de sécurité des logiciels utilisés... Ce juge impartial du concours rappelle aussi qu'il convient de fermer les ports non utilisés et d'arrêter tous les services qui ne sont pas nécessaires au fonctionnement des serveurs, afin de laisser le moins de portes d'entrée possibles aux pirates. De même, il peut bien sûr s'avérer utile de lancer un scanner de vulnérabilité sur ses serveurs en vue de détecter les failles potentielles.

Le cauchemar a déjà commencé...
Toutes ces conseils préventifs sont d'autant plus utiles que les pirates ne vont bien évidemment pas attendre dimanche pour commencer à préparer leurs attaques. Zone-H estime que les serveurs qui seront piratés le sont probablement déjà, et que les mesures de précaution recommandées ne suffiront pas.

Il est en effet plus simple d'installer, à l'avance, une porte dérobée (backdoor en VO) ou un rootkit (programme visant à obtenir les droits d'administration d'une machine Unix) sur les systèmes informatiques visés, de sorte de pouvoir lancer les attaques plus rapidement le jour J.

Zone-H conseille donc de vérifier tous les fichiers récemment créés, notamment ceux relatifs aux comptes et mots de passe utilisateurs, afin de repérer d'éventuels intrus. Il convient aussi de chercher les connections suspectes sur les shells (interpréteur de commandes, Ndlr) et ports ouverts, et de lancer un programme de détection des backdoors et autres "chevaux de Troie", ces logiciels apparemment anodins qui permettent de prendre le contrôle d'un ordinateur à distance.

Zone-H rappelle enfin les noms des programmes dont les vulnérabilités sont particulièrement prisées, ces derniers temps, par les "script kiddies", ces adolescents internautes qui aspirent à devenir des hackers mais qui n'en ont ni l'expertise, ni les capacités techniques. Ces derniers chercheront, comme les autres pirates concurrents, à exploiter les failles de sécurité récemment détectées sur Openssl, Samba, Webdav, Frontpage, Sendmail, Phpnuke...

"A en juger par les 'rumeurs', nous, à Zone-H, prévoyons que le nombre d'attaques se situera autour de 20 000, au minimum", note sobrement le juge de l'épreuve dans son communiqué.



 
A se demander qui est derrière tout ça... Si c'est de l'info ou de l'intox... Et si tout n'est pas monté pour faire passer les idées ultra sécuritaires du Gouvernement américain et de Microsoft.
 
en tout cas OS X a l'air d'être aprecier, il vaut 5 points
laugh.gif
 
WebOliver a dit:
Et si tout n'est pas monté pour faire passer les idées ultra sécuritaires du Gouvernement américain et de Microsoft.

La seule mesure ultra-sécuritaire que doit prendre le gouvernement américain c'est de passer tout le monde sur Mac OS X. Déduction logique puisque système le plus sur.
Alors?
smile.gif
laugh.gif
 
Dark Templar a dit:

Alors ils ont signé un contrat d'un demi-milliard de dollars avec micro$oft.
crazy.gif
frown.gif

Rassurant quand on pense que Bush a un QI de 91
laugh.gif
laugh.gif
laugh.gif


Ils sont vraiment naïf...
crazy.gif
Enfin pas au pentagone où ils passent tous sur nunux
wink.gif
 
Dark Templar a dit:

Le test de QI, c'est pas sur ça que je me base pour juger une personne.
crazy.gif
laugh.gif

Dans le cas de deuhbeuliou c'est la stats qui confirme l'impression général que tu avais déjà
laugh.gif


Et effectivement faut pas se baser sur le QI pour le juger mais bon s'il est très inférieur à la moyenne on peut se poser des questions
tongue.gif
laugh.gif
 
huexley a dit:
en fait le texte original indique que plus le système est difficile et exotique plus on a de points.. c'est pour ca que OS X en a 5
crazy.gif

Ah ok
wink.gif


Exotique alors? Arf
Mac OS X est si différent des autres systèmes Unix?
confused.gif
 
Donc demain plus de site McGé ? Les forums sont sur un autre Mac, non ?
 
et pas de blagues !!!
blush.gif
mad.gif
y a des ultraflooder's qui n'ont pas envie de perdre leurs 8000 posts sur MacG !!!
laugh.gif
laugh.gif


celà dit ce genre de concours est désespérant ....
crazy.gif

Y en a qui n'ont vraiment que çà à foutre de leur vie de pirater des trucs et des machins.... tout çà pour quoi ? pour en tirer une quelquonque gloire, un maigre honneur et une sombre reconnaissance de la part de ses pairs qui lui diront : ouais bravo t'es un des notres !!! T'as réussi à pirater le site des fans de Dorothée
laugh.gif
laugh.gif


Sur ce ...

Ursinement votre
wink.gif
 
J'espère qu'ils se limiteront aux US et que les sites Macs (hébergés sur Mac) seront épargnés. Finn a raison, c'est vraiment un concours stupide, comme si on organisait un concours de lancer d'avion sur des tours ...

J'espère que Benjamin a fait les sauvegardes (en référence à l'an dernier). S'il a besoin d'espace disque, on lui en prête volontier.
wink.gif
 
huexley a dit:
si ce n'est qu'un défacage ce n'est pas trop "grave" car ils prennent la peine de deplacer l inrégralité du site dans un repertoire de backup, si c est de la destruction.. je me demande ce que fou le FBI
mad.gif

Le FBI n'est qu'un organisme interne aux USA. Il faut une agence plus internationale et ça ne concerne pas que les américains (même s'il faut reconnaitre qu'il sont quasiment les seuls à avoir les moyens).