Anti-spam service
Anti-virus service
SMTP routing
Daily reports
My blocked messages
Customer administration
The directories
To protect addresses
Links on anti-spam sites
Spam informations

Augmentation des attaques par extraction d’annuaire

Par Ludovic Blin, secuobs.com
Le 20/01/2006

--------------------------------------------------------------------------------

La plupart des ordinateurs connectés à l’internet recoivent de nombreuses connexions non sollicitées. Ce trafic qui résulte en grande partie d’attaques automatisées peut être collecté et analysé à l’aide d’outils dénommés « Darknets » ou « Honeypot » (pot de miel) à faible interaction.

Il s’agit en fait de placer un socket réseau en écoute sur différents ports (stratégiquement choisis ou exhaustifs) de manière à collecter les informations qu’envoient tous ces robots. Cela peut être simplement réalisé depuis n’importe quelle connexion avec par exemple un système Linux et l’utilitaire Netcat. Il est aussi possible d’assigner à un même hote plusieurs adresses IP de manière à pouvoir observer une part plus importante du réseau.

La société américaine Tumbleweed, notamment spécialisée dans la lutte contre les menaces visant la messagerie électronique, a publié son deuxième rapport d’analyse de ses dispositifs « Darknet ». Celui-ci s’attache a surveiller le port 25, utilisé par le protocole SMTP qui assure le transport des messages électroniques. Il est complété par plusieurs interviews de responsables.

Le trafic sombre représente selon les chercheurs jusqu'à 70% du trafic des emails. Sur la totalité de ce trafic, la part la plus importante revient aux messages adressé à des destinataires n’existant pas (43%) ainsi qu’à des attaques pour récupérer l’annuaire de la société (27%).

Notons que pour déterminer la liste des utilisateurs, il est possible d’essayer de nombreux noms de manière à en trouver certains de valides. 4% de ce trafic correspond par ailleurs à des attaques par Déni de Service (DoS) sur la messagerie, tandis que seulement 17% du trafic valide serait adressé à des utilisateurs existants. Sur ce faible pourcentage, entre 60 et 70% serait classifié comme spam, ce qui fait donc conclure à Tumbleweed que seulement 10% du trafic mail est valide.

La société constate également que 40% des entreprises utilisent le même nom d’utilisateur pour la messagerie que pour l’accès au réseau local. Ce qui peut expliquer l’augmentation de 170% des attaques d’extraction d’annuaires entre le premier et le troisième trimestre 2005.

En ce qui concerne les utilisateurs, les attaques les plus expérimentées au cours de ce trimestre sont l’abondance de spam pour 70% des répondants, et l’infection par un virus pour 67%. Notons ensuite le phishing dont 37% des répondants indiquent avoir répondu à un message de ce type contre 0% lors du précédent rapport. Au niveau des conséquences des attaques, la plupart des utilisateurs indiquent un retard dans l’acheminement des messages (56%) ainsi qu’une surcharge de travail pour l’ équipe technique (33%).

L’augmentation des attaques par extraction d’annuaires parait être une tendance intéressante à remarquer, qui concorde avec d’autres rapports constatant une augmentation des attaques ciblées. En effet, lorsqu’un attaquant à obtenu un nom d’utilisateur, cela peut signifier pour lui un accès au réseau beaucoup plus facile.

Les entreprises sont nombreuses a avoir mis en place des systèmes de SSO (single sign on, identification unique) et les mots de passes ne sont pas toujours bien choisis, ce qui rend possible des attaques par force brute, une fois qu’un nom d’utilisateur valide a été obtenu.

L’utilisation de mots de passe forts est donc plus que jamais a conseiller (au moins 9 caractères alphanumériques et spéciaux, générés au hasard et ne constituant pas un mot, dans aucune langue connue).

http://www.secuobs.com/news/20012006-annuaires.shtml


ActiveWeb
Centre Actipole
130 avenue Joseph Kessel
78960 Voisins le Bretonneux

+33 1 39 44 16 36

Hotline :
0 826 003 999 (0.15 €/mn)

Plan of access

Access your customer area
Login :
Password :


Inscription in our NewsLetter :
  (©) CopyRight 1997 - 2017 ActiveWeb. Tous droits réservés - Mentions légales