Portail officiel de la sécurité informatique - ANSSI - République française

• Je suis...
  • Particulier
  • Entreprise
  •  
• Je cherche...
  • Autoformation
  • Fiche technique
  • Guide de configuration
  • Mémento
  • Question/Réponse
  • Une solution pour me protéger
  • Passeport de conseils aux voyageurs
  • Lien
  •  
• Actualités
  • Alertes
  • Faits marquants
  • Technique
  •  

Fiches techniques

Défiguration de site - pour aller plus loin

Introduction

La défiguration (aussi appelée barbouillage ou defacement) de site est une attaque qui consiste à ajouter ou modifier une page sur un site internet.

Plusieurs sites où les barbouilleurs revendiquent leurs actes, offrent une certaine visibilité à cette activité.

Défiguration

Techniques d’attaque

Les barbouilleurs utilisent différentes techniques, mises en œuvre à différents niveaux :

 Fonctionnalités du serveur
Le protocole HTTP 1.1 permet de modifier des pages avec la commande PUT. Des attaques basées sur ces techniques ne sont rendues possibles que par une mauvaise configuration du serveur et du reverse-proxy.
 Pages dynamiques
Sur un serveur de pages dynamiques (CGI, PHP, ASP), plus difficile à sécuriser ou à configurer qu’un serveur statique, l’utilisation de simples URL permet de modifier les pages en lançant des commandes ou en injectant des requêtes sur la base de données).
 Failles de sécurité
Une faille permet au /barbouilleur/ de s’introduire dans le système ; il en profite pour modifier des pages.

Les outils de sécurité

La protection des systèmes d’information est traditionnellement mise en œuvre à l’aide de divers outils tels que :

 des antivirus, des anti-espiogiciels ;
 des pare-feu.

Ces outils sont toutefois impuissants pour lutter contre une attaque sur le port 80/TCP d’un serveur.

Un train peut en cacher un autre

Le CERTA a analysé en détail plusieurs attaques de ce type. L’enseignement principal retiré de ces analyses est que la défiguration n’est que la partie visible d’une attaque.

Exemple d’URL agressive :
http://victime.fr/index.php?command...

Sur un site vulnérable, l’intrusion peut être réalisée par l’exécution de commandes (ici wget) passées dans des URL. Un simple navigateur permet de prendre le contrôle de la machine.

Un agresseur peut utiliser le procédé pour lancer des commandes qui ouvrent une porte dérobée, volent des mots de passe, installent des outils malveillants, etc.

Dans de nombreux cas, la défiguration est le symptôme d’attaques plus profondes, révélant plusieurs agresseurs antérieurs moins voyants.

La communication n’est pas la sécurité

Un site sur l’internet étant souvent la vitrine d’une organisation, la défiguration dégrade son image. L’administrateur de site inexpérimenté est ainsi tenté de restituer au plus vite l’apparence officielle.

Cela est risqué parce que le fait de restituer la page originale détruit souvent des indices utiles si la victime souhaite :

 comprendre toute l’attaque pour prendre les mesures destinées à éviter qu’elle ne se reproduise ;
 éventuellement porter plainte pour intrusion frauduleuse.

Comment lutter ?

Prévention

Une bonne prévention consiste à avoir une politique de sécurité :
 gérer le parc : appliquer les correctifs de sécurité, bien configurer les applications, filtrer (en particulier en sortie) ;
 contrôler l’intégrité (techniquement le meilleur moyen de détecter une défiguration) ;
 avoir des journaux d’évènements (serveurs, pare-feu) ;
 auditer son système ;
 disposer d’une machine de secours et les documents originaux hors ligne.

Les outils de journalisation produisent un réel gain dans la détection des problèmes de sécurité lorsqu’on affecte des ressources humaines suffisantes pour les dépouiller au quotidien.

Réaction

Les délais de réaction sont considérablement réduits lorsque les administrateurs lisent régulièrement les journaux de connexions ou de pare-feu.

Le premier réflexe en cas de découverte ou de signalement d’une défiguration devrait être de contacter une équipe de traitement d’incidents. Cette démarche est le seul moyen d’éviter le risque de destruction d’indices pour garantir toutes les possibilités de réponses.

Sous-traitance

Le CERTA a pu constater que les hébergeurs informent rarement les victimes d’une attaque. Dans le cas d’un traitement de données personnelles, la responsabilité de la victime pourrait être engagée pour des faits dont elle n’a pas connaissance.

L’hébergement mutualisé (plusieurs sites sont hébergés sur une même machine appartenant à l’hébergeur) augmente les risques de défiguration et complique considérablement la réponse. Les risques de défiguration augmentent, parce qu’une seule attaque peut modifier le contenu de tous les sites d’un même serveur. Le niveau de maturité des autres sites sur le serveur peut être insuffisant et peut permettre ce type d’attaque.

Le légitime respect de la confidentialité due aux autres victimes interdit l’accès aux éléments permettant de comprendre la portée de l’attaque, souvent le problème n’est pas vraiment corrigé, d’où de fréquentes récidives.

L’insécurité reste trop souvent le prix à payer pour un système bon marché.

Enfin, confier la réponse à l’incident à l’hébergeur expose au risque de destruction définitive d’indices. Un contrat de sous-traitance devrait donc garantir au client :

 l’accès systématique aux journaux ;
 l’information sans délais de toute attaque ; le client doit seul décider de la nature des suites à donner ;
 le droit d’accéder à la machine en cas d’incident ;
 l’hébergement mutualisé seulement si tous les sites sur le serveur lui appartiennent ;
 un contact technique et administratif joignable rapidement.

Références

 Portail thématique de sécurité des systèmes d’information de l’État
 La liste des CSIRT français
 Obstacles à la résolution d’incidents
 Que faire en cas d’intrusion
 Bonnes pratiques concernant l’hébergement mutualisé