24 03 2017
Retour a la home
Rubrique Économie
Économie
Rubrique Société
Société
Rubrique Technologies
Technologies
Rubrique Culture
Culture
MOTS CLÉS
 
Tous les mots

DOSSIERS...
 Le projet |  L’équipe |  L’association |  Nos outils  | Actualités |  Sources |  Alertes  
Abonnés : connectez-vous

 
Oubli du mot de passe
TRANSFERT S'ARRETE
Transfert décryptait l'actualité des nouvelles technologies, proposait un fil info quotidien et une série d'outils de veille. Notre agence, refusant toute publicité, dépendait de ses abonnements.
  COPINAGES
Jouez sur iPhone à Lucioles.
Sauvez la planète en lisant Terra Eco.
Et pourquoi pas plonger dans Nautilus ?
Ecoutez Routine.
Chiffre du jour
700 000
dépistages génétiques chaque année en Europe, selon la Commission européenne (...)
Revue de Web
 Lindows harcelé
 Cyberdissidents vietnamiens en appel
 Plus de CO2 = moins d’eau potable
Phrase du jour
"Ce service public que nous assurons a besoin de votre soutien pour perdurer"
L’association Inf’OGM, qui justifie la fin de la gratuité de son bulletin d’information (...)

Dossier
Le nucléaire mis au secret
Dossiers récents
 Racisme en ligne : l’affaire Sos-racaille
 Le fichage des passagers aériens
 La bataille des brevets logiciels
 L’impasse énergétique
 L’hydrogène, une énergie (presque) propre
Tous les dossiers
Spacer
Unes de la semaine

lundi 1er/12 Transfert.net

vendredi 28/11 Économie

jeudi 27/11 Société

mercredi 26/11 Culture

mardi 25/11 Économie

Spacer


4/07/2003 • 16h48

Un concours de piratage veut "défigurer" 6 000 sites en 6 heures dimanche

L’occasion de rappeler quelques grands principes de la sécurité informatique

Un concours international de "defacement" est prévu pour le dimanche 6 juillet : pendant 6 heures, les internautes participant essaieront de faire des graffitis virtuels sur le plus grand nombre de sites web possible en "défigurant" leur page d’accueil, qu’ils remplaceront par un visuel de leur choix. Largement relayé dans la presse anglo-saxonne, cette compétition incite les administrateurs système à revoir les mesures de protection de leurs serveurs. En effet, pour être le plus rapide le jour J, les "pirates" ont déjà commencé à exploiter les failles de sécurité de leurs cibles.

Le site defacers-challenge.com, où l’on pouvait trouver l’annonce du concours, a été fermé ce mercredi par son hébergeur. Alors que le FBI dit prendre l’affaire "très au sérieux", le site est, ce vendredi matin, de nouveau accessible, via une redirection vers une page située chez un hébergeur gratuit : http://anticars.web.aplus.net/ (voir, plus bas, la copie d’écran).

1 point par Windows, 5 par Mac OS X

Les participants sont invités à modifier les pages d’accueil d’au moins 6 000 sites en moins de six heures. Plus le système informatique attaqué est exotique, ou exempt de failles de sécurité connues, plus il permet de remporter de points. Les concurrents remporteront ainsi un point pour tout système piraté tournant sous environnement Windows, deux points pour ceux utilisant Unix, Linux et BSD et trois points pour les systèmes AIX d’IBM. Enfin, prendre le contrôle d’un environnement HP-UX ou Mac OS X rapportera cinq points.

L’heureux gagnant se verra offrir un hébergement gratuit de 500 Mo sur l’adresse web de son choix. Ce prix étant assez peu attractif, les participants se battront donc surtout pour l’honneur.

Plus que les simples sites web, le concours dominical vise particulièrement les hébergeurs qui, s’ils sont piratés, permettent aux concurrents de toucher plusieurs dizaines, centaines voire milliers de sites. Sur les listes de discussion spécialisées, Defacers-Challenge, dont certaines rumeurs disent que c’est un gag potache voire une intox-piège lancée par des forces de police, a mobilisé les professionnels de la sécurité informatique. Ceux-ci en profitent pour encourager les administrateurs système à renforcer les protections de leurs serveurs et rappellent aux victimes potentielles le B-A.BA de la sécurité informatique, ainsi que les risques propres à ce genre d’attaques massives.

Le bon sens en action

Le 1er juillet, l’Office of Cyber Security & Critical Infrastructure Coordination (CSCIC) de l’état de New York a ainsi mis en ligne une "avertissement" concernant le Defacers-Challenge. Dans cette alerte, l’organisme officiel chargé d’aider les sites gouvernementaux à protéger leurs infrastructures informatiques invite les "admins" à vérifier qu’ils ont bien modifié les mots de passe prévus par défaut par certains logiciels et produits informatiques. Cette mesure de bon sens est d’autant plus utile qu’il existe des listes de ces mots de passe disponibles en ligne (sur Cirt.net ou Phenoelit.de, par exemple).

Si ces précautions ne suffisaient pas, le CSCIC conseille également de bien veiller à activer les outils de surveillance et d’archivage des logs (ou données de connexion), de sorte de pouvoir déterminer comment, et quand, le ou les sites auront été piratés. Autre mesure de bon sens : veiller à effectuer une copie pour archive (backup) des données, afin de pouvoir les remettre d’aplomb aussi vite que possible en cas de piratage.

Le décompte du nombre de sites piratés et le classement du concours a été confié au site de référence Zone-H, qui a pris la relève d’attrition.org en tant que base de données d’archivage en temps réel des pages web piratées.

Créé par des professionnels de la sécurité informatique, Zone-H s’est lui aussi fendu d’une série de conseils aux victimes, à commencer par l’installation des mises à jour de sécurité des logiciels utilisés... Ce juge impartial du concours rappelle aussi qu’il convient de fermer les ports non utilisés et d’arrêter tous les services qui ne sont pas nécessaires au fonctionnement des serveurs, afin de laisser le moins de portes d’entrée possibles aux pirates. De même, il peut bien sûr s’avérer utile de lancer un scanner de vulnérabilité sur ses serveurs en vue de détecter les failles potentielles.

Le cauchemar a déjà commencé...

Toutes ces conseils préventifs sont d’autant plus utiles que les pirates ne vont bien évidemment pas attendre dimanche pour commencer à préparer leurs attaques. Zone-H estime que les serveurs qui seront piratés le sont probablement déjà, et que les mesures de précaution recommandées ne suffiront pas.

Il est en effet plus simple d’installer, à l’avance, une porte dérobée (backdoor en VO) ou un rootkit (programme visant à obtenir les droits d’administration d’une machine Unix) sur les systèmes informatiques visés, de sorte de pouvoir lancer les attaques plus rapidement le jour J.

Zone-H conseille donc de vérifier tous les fichiers récemment créés, notamment ceux relatifs aux comptes et mots de passe utilisateurs, afin de repérer d’éventuels intrus. Il convient aussi de chercher les connections suspectes sur les shells (interpréteur de commandes, Ndlr) et ports ouverts, et de lancer un programme de détection des backdoors et autres "chevaux de Troie", ces logiciels apparemment anodins qui permettent de prendre le contrôle d’un ordinateur à distance.

Zone-H rappelle enfin les noms des programmes dont les vulnérabilités sont particulièrement prisées, ces derniers temps, par les "script kiddies", ces adolescents internautes qui aspirent à devenir des hackers mais qui n’en ont ni l’expertise, ni les capacités techniques. Ces derniers chercheront, comme les autres pirates concurrents, à exploiter les failles de sécurité récemment détectées sur Openssl, Samba, Webdav, Frontpage, Sendmail, Phpnuke...

"A en juger par les ’rumeurs’, nous, à Zone-H, prévoyons que le nombre d’attaques se situera autour de 20 000, au minimum", note sobrement le juge de l’épreuve dans son communiqué.

La page d’accueil du concours - 27.2 ko
La page d’accueil du concours

Le site du concours Defacers-challenge:
http://www.defacers-challenge.com

L’avertissement du NYS Office of Cyber Security & Critical Infrastructure Coordination:
http://www.cscic.state.ny.us/adviso...

Le communiqué de Zone-H.org à propos du concours:
http://www.zone-h.org/en/news/read/...

Hackers organize vandalism contest (News.com):
http://news.com.com/2100-1002_3-102...

 
Dans la même rubrique

27/11/2003 • 19h01

Un traité onusien veut obliger les belligérants à nettoyer les "résidus explosifs de guerre"

26/11/2003 • 18h47

Pour les Etats-Unis, les essais nucléaires ne sont pas encore de l’histoire ancienne

20/11/2003 • 19h00

Les technologies de surveillance automatisée tiennent salon au Milipol 2003

19/11/2003 • 16h23

Un logiciel met tous les physiciens à la (bonne) page

17/11/2003 • 18h38

Une pétition européenne met en doute la fiabilité du vote électronique
Dossier RFID
Les étiquettes "intelligentes"
Dernières infos

28/11/2003 • 19h29

Quand le déclin de la production pétrole mondiale va-t-il débuter ?

28/11/2003 • 19h19

Les réserves de pétrole sont dangereusement surévaluées, dénonce un groupe d’experts

28/11/2003 • 18h33

La Criirad porte plainte contre la Cogema pour avoir diffusé des infos sur les déchets nucléaires

27/11/2003 • 17h14

La Cnil met les"étiquettes intelligentes" sur sa liste noire

26/11/2003 • 19h06

"The Meatrix", un modèle de dessin animé militant, hilarant et viral

26/11/2003 • 18h54

Un observatoire associatif pour lutter contre les inégalités

25/11/2003 • 19h13

Les hébergeurs indépendants ne sont toujours pas responsables, pour l’instant

25/11/2003 • 19h04

Les licences Creative Commons bientôt disponibles en français

24/11/2003 • 22h09

EDF refuse d’étudier la résistance de l’EPR à une attaque de type 11-septembre

24/11/2003 • 18h36

La Grèce bannit la biométrie de ses aéroports à un an des Jeux olympiques

24/11/2003 • 18h16

10 000 manifestants réclament la fermeture de la School of Americas

21/11/2003 • 19h36

Deux affaires judiciaires relancent la polémique sur la responsabilité des hébergeurs

21/11/2003 • 19h04

Un anti-raciste poursuivi en justice pour antisémitisme

21/11/2003 • 18h48

Le festival Jonctions confronte art, technologies et éthique

20/11/2003 • 19h28

Un fonctionnaire ne peut utiliser sa messagerie professionnelle à des fins religieuses


Contacts |  Haut de page |  Archives
Tous droits réservés | © Transfert.net | Accueil
Logiciels libres |  Confidentialité |  Revue de presse