par Christophe Auffray,
pour ZDNet France
La vision actuelle des réseaux de PC zombies et des risques qu’ils représentent est brouillée par une surestimation du nombre de machines infectées basée sur la seule comptabilisation des adresses IP. Très médiatisés, ces chiffres n’en sont pas moins erronés. L’Enisa recommande donc d’autres indicateurs. Du concret et moins de marketing ?
L'Enisa publie un rapport d'analyse consacré aux réseaux de PC zombies, également dénommés botnets. L'agence européenne de sécurité des réseaux et de l'information dissèque les modes de fonctionnement divers des botnets, mais préconise également une approche différente de l'évaluation des risques.
L'Enisa, comme différents experts en sécurité, met en effet en garde contre la tentation de certains acteurs à surévaluer les infections et ainsi à réduire les risques présentés par un botnet au seul nombre de machines infectées le composant.
Torpig : 1,2 million d'IP, mais 180 000 machines hôtes
Or cette communication, notamment de la part des sociétés de sécurité, n'est pas sans incidence. Dans un billet de blog publié sur ZDNet.fr, Pierre Carron cite ainsi l'exemple du botnet Mariposa, qui selon Panda Software, comptait 13 millions de bots.
« L'ennui, c'est que toutes ces informations erronées finissent en bout de chaîne par influer sur les décisions de nos responsables économiques et politiques [...] A long terme, cette surenchère porte le risque de perdre toute crédibilité lors d'alertes légitimes sur de réels incidents de sécurité » s'inquiète ainsi Pierre Caron.
L'Enisa met donc en garde contre ces évaluations basées uniquement sur un comptage des adresses IP uniques. Cette méthodologie conduit à des surestimations, qui par ailleurs tendent à gonfler au fil des jours du fait de l'attribution dynamique d'IP.
Dans le cas du botnet Torpig ce sont ainsi 1,2 million d'IP infectées qui étaient détectées. Mais des chercheurs ont démontré qu'en réalité 180 000 machines compromises composaient Torpig et non 1,2 million comme le total des IP pouvait le laisser penser.
L'agence européenne appelle donc à plus de précaution dans l'évaluation de la taille des botnets, mais aussi à plus de transparence. En ligne de mire le marketing de la peur pratiqué par certains éditeurs de produits de sécurité, parfois très prompts à publier des chiffres d'infection impressionnants - plus à même de leur garantir des reprises dans la presse.
Le risque n'est pas nécessairement proportionné à la taille du botnet
Toutefois les éditeurs ne sont pas les seuls à grossir artificiellement le nombre de machines compromises. En effet, les administrateurs des botnets s'efforcent parfois eux-mêmes de leurrer les chercheurs en sécurité.
Un faux serveur de contrôle a été mis en place par des pirates pour gonfler la taille d'un botnet associé à un groupe baptisé la cyber-armée iranienne, relève par exemple Pierre Caron.
Pour l'Enisa, la seule taille d'un botnet ne peut en aucun cas être un indicateur approprié et fiable pour évaluer la menace représentée par un botnet. Les botnets exploités pour lancer des attaques en déni de service se composent ainsi de centaines de machines, et non de milliers.
Pour autant, ces botnets présentent un risque réel. Cependant, le nombre de zombies est insuffisant pour évaluer la menace. Une analyse de risque pertinente devra par exemple tenir compte de la bande passante dont dispose chaque machine - et donc le botnet.
Afin de mieux appréhender les botnets et les risques qu'ils peuvent présenter, l'Enisa préconise donc différentes approches et techniques, à la fois passives (analyse de trames, flux réseaux, DNS, fichiers de log, spam...) et actives (sinkholing, infiltration, DNS cache snooping, suivi des réseaux Fast-Flux, etc.).
pour ZDNet France
La vision actuelle des réseaux de PC zombies et des risques qu’ils représentent est brouillée par une surestimation du nombre de machines infectées basée sur la seule comptabilisation des adresses IP. Très médiatisés, ces chiffres n’en sont pas moins erronés. L’Enisa recommande donc d’autres indicateurs. Du concret et moins de marketing ?
L'Enisa publie un rapport d'analyse consacré aux réseaux de PC zombies, également dénommés botnets. L'agence européenne de sécurité des réseaux et de l'information dissèque les modes de fonctionnement divers des botnets, mais préconise également une approche différente de l'évaluation des risques.
L'Enisa, comme différents experts en sécurité, met en effet en garde contre la tentation de certains acteurs à surévaluer les infections et ainsi à réduire les risques présentés par un botnet au seul nombre de machines infectées le composant.
Torpig : 1,2 million d'IP, mais 180 000 machines hôtes
Or cette communication, notamment de la part des sociétés de sécurité, n'est pas sans incidence. Dans un billet de blog publié sur ZDNet.fr, Pierre Carron cite ainsi l'exemple du botnet Mariposa, qui selon Panda Software, comptait 13 millions de bots.
« L'ennui, c'est que toutes ces informations erronées finissent en bout de chaîne par influer sur les décisions de nos responsables économiques et politiques [...] A long terme, cette surenchère porte le risque de perdre toute crédibilité lors d'alertes légitimes sur de réels incidents de sécurité » s'inquiète ainsi Pierre Caron.
L'Enisa met donc en garde contre ces évaluations basées uniquement sur un comptage des adresses IP uniques. Cette méthodologie conduit à des surestimations, qui par ailleurs tendent à gonfler au fil des jours du fait de l'attribution dynamique d'IP.
Dans le cas du botnet Torpig ce sont ainsi 1,2 million d'IP infectées qui étaient détectées. Mais des chercheurs ont démontré qu'en réalité 180 000 machines compromises composaient Torpig et non 1,2 million comme le total des IP pouvait le laisser penser.
L'agence européenne appelle donc à plus de précaution dans l'évaluation de la taille des botnets, mais aussi à plus de transparence. En ligne de mire le marketing de la peur pratiqué par certains éditeurs de produits de sécurité, parfois très prompts à publier des chiffres d'infection impressionnants - plus à même de leur garantir des reprises dans la presse.
Le risque n'est pas nécessairement proportionné à la taille du botnet
Toutefois les éditeurs ne sont pas les seuls à grossir artificiellement le nombre de machines compromises. En effet, les administrateurs des botnets s'efforcent parfois eux-mêmes de leurrer les chercheurs en sécurité.
Un faux serveur de contrôle a été mis en place par des pirates pour gonfler la taille d'un botnet associé à un groupe baptisé la cyber-armée iranienne, relève par exemple Pierre Caron.
Pour l'Enisa, la seule taille d'un botnet ne peut en aucun cas être un indicateur approprié et fiable pour évaluer la menace représentée par un botnet. Les botnets exploités pour lancer des attaques en déni de service se composent ainsi de centaines de machines, et non de milliers.
Pour autant, ces botnets présentent un risque réel. Cependant, le nombre de zombies est insuffisant pour évaluer la menace. Une analyse de risque pertinente devra par exemple tenir compte de la bande passante dont dispose chaque machine - et donc le botnet.
Afin de mieux appréhender les botnets et les risques qu'ils peuvent présenter, l'Enisa préconise donc différentes approches et techniques, à la fois passives (analyse de trames, flux réseaux, DNS, fichiers de log, spam...) et actives (sinkholing, infiltration, DNS cache snooping, suivi des réseaux Fast-Flux, etc.).
Aucun commentaire:
Enregistrer un commentaire