Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 

ANALYSE


Le réseau ne se protège pas tout seul
Par Hervé SCHAUER (25/07/03)

Photo

Le 17 juillet dernier, l'équipementier Cisco a publié un avis révélant un déni de service distant sur ses produits, routeurs ou commutateurs. Evènement majeur comme l'Internet n'en a pas connu depuis ses débuts, ce déni de service aurait pu avoir un effet dévastateur. L'interopérabilité permet la diversité et cet évènement doit rappeler à ceux qui font de la monoculture un argument de vente les cinglants désavantages de cette monoculture.

Le 17 Juillet, Cisco a publié un avis révélant un déni de service distant sur ses produits.

Ce déni de service est valable sur toutes les version d'IOS inférieures à 12.3, pour tous les types d'équipements, qu'il soient entrée de gamme ou très haut de gamme, routeurs ou commutateurs. Il suffit d'envoyer certains types de paquets à destination du routeur lui-même, en utilisant des protocoles qui n'ont jamais servi, pour que les paquets restent dans la file d'attente et ne soient jamais traités. La taille de la file d'attente étant par défaut de 75 entrées, rapidement l'interface du routeur ne répond plus. Si Cisco a révélé ce problème c'est sans doute qu'il y a été contraint et donc que le problème a du être connu de certains, dont les intentions n'étaient plus sous contrôle.

Ce déni de service aurait pu affecter très grandement l'Internet en étant intelligemment utilisé. Une organisation malveillante aurait pu obtenir un effet dévastateur. C'est donc un évènement majeur comme l'Internet n'en a pas connu depuis ses débuts.

Cisco a prévenu les opérateurs français 48h avant la diffusion de l'avis, peut-être d'autres encore plus tôt, aussi, toute attaque généralisée a été annihilée car non seulement les équipements qui sont au coeur de l'Internet ont été corrigés ou protégés, mais la plupart des opérateurs ont aussi filtré le trafic Internet lui-même qui permet d'attaquer.

Il est en effet facile de se protéger, soit en mettant à jour son IOS, mais quand cette opération est trop délicate il suffit de filtrer le trafic vers le routeur en autorisant par exemple que les protocoles TCP, UDP, ICMP et les protocoles de routage.

Plus difficile à expliquer sont les explications détaillées que Cisco a publié 24h après la diffusion de son premier avis. Le premier avis demandait un travail d'expert pour en déduire l'exploitation de la faille. Le second avis donnait des explications simples sur les listes de contrôle d'accès à implémenter mais a aussi permis en quelques heures la publication d'une exploitation, qui a rendue la situation tendue, même si aucune catastrophe ne s'est produite.

Le problème vient d'une erreur de programmation dans le logiciel IOS, dans une partie jamais implémentée dans le matériel ce qui explique que la faille soit valable pour tous les équipements. C'est une erreur très ancienne qui montre qu'une faille de sécurité logicielle peut rester des années dans un code diffusé à beaucoup d'exemplaires sans que personne ne s'en aperçoive. Un routeur aiguille par principe tous les protocoles, mêmes ceux qui ne servent jamais, mais n'aurait peut-être pas du les traiter quand ils lui sont adressés, le code correspondant n'ayant sans doute jamais été testé.

Le déni de service se réalise très facilement à l'aide d'un utilitaire comme hping. La facilité déconcertante de mise en oeuvre du déni de service laisse présager des usages malveillants futurs. Ainsi, un ver ou un virus arrivant sur un poste de travail pourraient aisément attaquer un réseau interne et y faire tomber les routeurs et commutateurs Cisco. Si l'Internet est désormais protégé, les équipements au coeur des réseau d'entreprise n'auront que trop rarement été mis à jour et n'ont généralement pas de listes de contrôle d'accès pour se protéger.

Enfin, si cette faille dans un logiciel est si grave, c'est que les systèmes d'informations reposent sur un équipement dominant. L'interopérabilité permet la diversité et cet évènement doit rappeler à ceux qui font de la monoculture Cisco un argument de vente de leur compétence les désavantages de cette monoculture.

H.S.

Hervé Schauer dirige le cabinet d'expertise et de conseil Hervé Schauer Consultants. Après des études d'informatique à l'Université Paris 6 (Jussieu), il est un des pionniers de la sécurité informatique en France, avec notamment la publication dès 1987 d'une série d'articles sur la sécurité Unix et la détection d'intrusion. Il fonde son propre cabinet en avril 1989, au sein duquel il a été l'un des inventeurs du relayage applicatif (proxy services), présenté à Usenix Security en 1992, et utilisé par la suite dans les firewalls.

LIENS UTILES :

- Avis de Cisco (mis à jour régulièrement)

 
 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2017 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons