Évasion (informatique)

attaque informatique

En sécurité des systèmes d'information, une évasion est une attaque informatique qui va détourner les équipements de détection d'intrusion pour effectuer un exploit informatique ou installer un logiciel malveillant sur une machine ou un système du réseau sans se faire détecter. Les techniques d'évasion sont souvent utilisées pour contourner des systèmes tels que des systèmes de détection d'intrusion (IDS) ou des systèmes de prévention d'intrusion (IPS), mais peuvent aussi servir à contourner des pare-feux. L'un des buts d'une attaque d'évasion est de mettre à mal un système informatique de sécurité (typiquement, les IDS/IPS), afin de le rendre inopérant dans la perspective d'attaques futures.

Description

modifier

Les évasions sont particulièrement dangereuses dans la mesure où une évasion réussie peut permettre à des sessions entières d'être transmises via des flux qui échappent au contrôle d'un IDS. Ce genre d'attaques se déroulera à l'insu du responsable de la sécurité des systèmes d'information (RSSI) et des administrateurs système.

Les systèmes de sécurité sont rendus inopérants lors de ce genre d'attaques, de la même manière qu'un soldat furtif peut déjouer les radars et autres dispositifs de sécurité.

La reconnaissance de motifs pendant une conversation téléphonique (du type "pénétrons le système X") est une bonne analogie aux attaques par évasion. Une évasion simple peut consister à parler dans une autre langue que le français, mais que les deux parties peuvent comprendre, et si possible, un langage que peu de personnes peuvent parler.

Attaques par évasion

modifier

Diverses attaques de ce genre ont été menées depuis le milieu des années 1990 :

  • Un papier tentant pour la première fois de décrire les attaques de ce type a été publié en 1997[1]. Il traite principalement de différentes méthodes de programmation de type "shell scripting" pour tromper une sonde IDS.
  • L'une des premières descriptions compréhensibles de ces attaques a été formulée par MM.Ptacek et Newsham dans un papier de 1998[2].
  • En 1998, un article de Phrack Magazine a décrit des moyens de contourner un système de détection d'intrusions sur un réseau[3]. (Ces deux derniers rapports traitent plus d'exploits sur le protocole TCP/IP, d'évasions diverses) ;
  • Des discussions plus récentes sur les évasions sont résumées dans le papier de Kevin Timm[4].

Protection contre les évasions

modifier

Le défi de protéger les serveurs d'une architecture réseau des évasions est de modéliser l'hôte final visé via l'équipement de sécurité informatique. En d'autres termes, la sonde doit être capable de connaître la manière dont la machine interprétera le trafic, et notamment si le flux est potentiellement dangereux. Une solution envisageable est de normaliser le trafic entre le réseau et la sonde : les paquets suspects seraient alors directement jetés[5].

En 2009, les chercheurs dans le domaine de la sécurité informatique ont tenté de mettre l'accent sur ces techniques d'évasion. Une présentation sur Hack.lu a traité de nouvelles techniques d'évasion, mais surtout de la manière d'appliquer ces techniques pour contourner les équipements réseaux actuels[6].

Références

modifier
  1. 50 Ways to Defeat Your Intrusion Detection System
  2. Ptacek, Newsham: Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection, Technical report, 1998.
  3. Defeating Sniffers and Intrusion Detection Systems
  4. IDS Evasion Techniques and Tactics
  5. M. Handley, V. Paxson, C. Kreibich, Network intrusion detection: evasion, traffic normalization, and end-to-end protocol semantics, Usenix Security Symposium, 2001.
  6. Advanced Network Based IPS Evasion Techniques

Voir aussi

modifier