Un concours international de "defacement" est prévu pour le dimanche 6 juillet : pendant 6 heures, les internautes participant essaieront de faire des graffitis virtuels sur le plus grand nombre de sites web possible en "défigurant" leur page d’accueil, qu’ils remplaceront par un visuel de leur choix. Largement relayé dans la presse anglo-saxonne, cette compétition incite les administrateurs système à revoir les mesures de protection de leurs serveurs. En effet, pour être le plus rapide le jour J, les "pirates" ont déjà commencé à exploiter les failles de sécurité de leurs cibles.
Le site defacers-challenge.com, où l’on pouvait
trouver l’annonce du concours, a été fermé ce mercredi par son hébergeur. Alors que le FBI
dit prendre l’affaire "très au sérieux", le site est, ce vendredi matin, de nouveau
accessible, via une redirection vers une page située chez un hébergeur gratuit : http://anticars.web.aplus.net/ (voir, plus bas, la copie d’écran).
1 point par Windows, 5 par Mac OS X
Les participants sont invités à modifier les pages d’accueil d’au moins 6 000 sites en moins de six heures. Plus le système informatique attaqué est exotique, ou exempt de failles de sécurité connues, plus il permet de remporter de points. Les concurrents remporteront ainsi un point pour tout système piraté tournant sous environnement Windows, deux points pour ceux utilisant Unix, Linux et BSD et trois points pour les systèmes AIX d’IBM. Enfin, prendre le contrôle d’un environnement HP-UX ou Mac OS X rapportera cinq points.
L’heureux gagnant se verra offrir un hébergement gratuit de 500 Mo sur l’adresse web de son choix. Ce prix étant assez peu attractif, les participants se battront donc surtout pour l’honneur.
Plus que les simples sites web, le concours dominical vise particulièrement les hébergeurs qui, s’ils sont piratés, permettent aux concurrents de toucher plusieurs dizaines, centaines voire milliers de sites. Sur les listes de discussion spécialisées, Defacers-Challenge, dont certaines rumeurs disent que c’est un gag potache voire une intox-piège lancée par des forces de police, a mobilisé les professionnels de la sécurité informatique. Ceux-ci en profitent pour encourager les administrateurs système à renforcer les protections de leurs serveurs et rappellent aux victimes potentielles le B-A.BA de la sécurité informatique, ainsi que les risques propres à ce genre d’attaques massives.
Le bon sens en action
Le 1er juillet, l’Office of Cyber Security & Critical Infrastructure Coordination (CSCIC) de l’état de New York a ainsi mis en ligne une "avertissement" concernant le Defacers-Challenge. Dans cette alerte, l’organisme officiel chargé d’aider les sites gouvernementaux à protéger leurs infrastructures informatiques invite les "admins" à vérifier qu’ils ont bien modifié les mots de passe prévus par défaut par certains logiciels et produits informatiques. Cette mesure de bon sens est d’autant plus utile qu’il existe des listes de ces mots de passe disponibles en ligne (sur Cirt.net ou Phenoelit.de, par exemple).
Si ces précautions ne suffisaient pas, le CSCIC conseille également de bien veiller à activer les outils de surveillance et
d’archivage des logs (ou données de connexion), de sorte de pouvoir déterminer comment, et
quand, le ou les sites auront été piratés. Autre mesure de bon sens : veiller à effectuer
une copie pour archive (backup) des données, afin de pouvoir les remettre d’aplomb aussi
vite que possible en cas de piratage.
Le décompte du nombre de sites piratés et le classement du concours a été confié au site de référence Zone-H, qui a pris la relève
d’attrition.org en tant que base de données d’archivage en temps réel des pages web piratées.
Créé par des professionnels de la sécurité informatique, Zone-H s’est lui aussi fendu d’une série de conseils aux victimes, à commencer par l’installation des mises à jour de sécurité des logiciels utilisés... Ce juge impartial du concours rappelle aussi qu’il convient de fermer les ports non utilisés et d’arrêter tous les services qui ne sont pas nécessaires au fonctionnement des serveurs, afin de laisser le moins de portes d’entrée possibles aux pirates. De même, il peut bien sûr s’avérer utile de lancer un scanner de vulnérabilité sur ses serveurs en vue de détecter les failles potentielles.
Le cauchemar a déjà commencé...
Toutes ces conseils préventifs sont d’autant plus utiles que les pirates ne vont bien évidemment pas attendre dimanche pour commencer à préparer leurs attaques. Zone-H estime que les serveurs qui seront piratés le sont probablement déjà, et que les mesures de précaution recommandées ne suffiront pas.
Il est en effet plus simple d’installer, à l’avance, une porte dérobée (backdoor en VO) ou un rootkit (programme visant à obtenir les droits d’administration d’une machine Unix) sur les systèmes informatiques visés, de sorte de pouvoir lancer les attaques plus rapidement le jour J.
Zone-H conseille donc de vérifier tous les fichiers récemment créés, notamment ceux relatifs aux comptes et mots de passe utilisateurs, afin de repérer d’éventuels intrus. Il convient aussi de chercher les connections suspectes sur les shells (interpréteur de commandes, Ndlr) et ports ouverts, et de lancer un programme de détection des backdoors et autres "chevaux de Troie", ces logiciels apparemment anodins qui permettent de prendre le contrôle d’un ordinateur à distance.
Zone-H rappelle enfin les noms des programmes dont les vulnérabilités sont particulièrement prisées, ces derniers temps, par les "script
kiddies", ces adolescents internautes qui aspirent à devenir des hackers mais qui n’en ont ni l’expertise, ni les capacités techniques. Ces derniers chercheront, comme les autres pirates concurrents, à exploiter les failles de sécurité récemment détectées sur Openssl, Samba, Webdav, Frontpage, Sendmail, Phpnuke...
"A en juger par les ’rumeurs’, nous, à Zone-H, prévoyons que le nombre d’attaques se situera autour de 20 000, au minimum", note sobrement le juge de l’épreuve dans son communiqué.
La page d’accueil du concours
Lindows harcelé