Vous êtes sur le site public du Cert-IST
Windows-XP : Le rêve des hackers ?

Date :11 Juillet 2005

Publication: Article

Dans un article récent publié sur son site Internet, Steve Gibson (consultant en sécurité) alerte l'opinion, à propos des nouvelles fonctionnalités de Windows-XP (le successeur de Windows-2000), et du danger que pourrait représenter ce nouvel OS de Microsoft pour la communauté Internet. Son opinion (ainsi qu'un pointeur sur la réponse de Microsoft) est détaillée sur son site (voir la rubrique "Pour plus d'information" en fin de cet article). Nous la résumons ici.

Les systèmes d'exploitation Windows 9x, Me et NT de Microsoft ne proposent qu'une implémentation partielle de la pile TCP-IP, dans laquelle la fonctionnalité de "raw socket" (permettant aux programmes de générer des paquets IP "à façon") n'est pas présente. De ce fait, il est difficile avec ces systèmes de générer intentionnellement des paquets IP mal formés (à des fins d'attaques).

Le système Windows 2000 inclut dorénavant les "raw sockets". Windows XP offrira également ce service. Du fait de la diffusion "de masse" prévue pour Windows XP (Microsoft le positionne comme un OS commun aux versions professionnelles et grand public de Windows), Steve Gibson craint que cette extension des fonctionnalités de la pile TCP-IP Microsoft ne fasse le "bonheur" des hackers, en multipliant leurs possibilités d'attaques. Elle permettra en effet de réaliser des attaques aujourd'hui réservées à des machines UNIX (difficiles à implémenter sous Windows), comme :

  • le spoofing (la mascarade) de l'adresse source d'un attaquant (les paquets d'attaques semblent alors provenir d'une autre machine),
  • le SYN flooding TCP (attaque par envoi de séquences d'ouverture sessions TCP incomplètes).

Steve Gibson argumente son exposé d'extraits (choisis !) de propos de hackers qui se réjouissent de trouver dans Windows 2000 toute la puissance d'attaque réservée jusque là à Unix. Il est vrai que les outils de DDOS disponibles pour Windows (par exemple "WinTrinoo") ne disposent aujourd'hui que d'un sous-ensemble des fonctions de leurs "grands frères" sur Unix. De même, les ordinateurs "grand public" constituent une cible facile pour les pirates, car ils sont généralement mal protégés.

Pour sa part, Microsoft indique que :

  • un support complet de la pile TCP-IP est souhaitable (mise en conformité de la pile Microsoft),
  • Windows-XP contiendra des mécanismes de protection (par exemple, des fonctions firewall intégrées) qui rendront bien plus difficile la compromission de ces plates-formes (en vue de les utiliser ensuite pour une attaque).

Bien que juste, l'argumentaire de Steve Gibson doit selon nous être relativisé :

  • Oui l'implémentation des " raw sockets " permet des attaques plus sophistiquées,
  • Mais la majorité des hackers ne semblent pas vraiment chercher à dissimuler leurs machines d'attaque (qui sont des machines tierces qu'ils ont compromises). La " course " nous paraît donc plus aujourd'hui à " celui qui compromettra le plus grand nombre de machines ", plutôt qu'à " celui qui élaborera l'attaque la plus sophistiquée ".

Pour plus d'information :

Article "Why Windows XP will be the exploitation tool of choice for Internet hackers everywhere" de Steve Gibson : http://grc.com/dos/winxp.htm