La vulnérabilité TCP "RESET"

Date : 22 Juin 2005

Par Christophe Guillemin

ZDNet France 21/4/2004

URL: http://www.zdnet.fr/actualites/technologie/0,39020809,39150144,00.htm

Des chercheurs britanniques ont dévoilé une méthode permettant de stopper net, à distance, une connexion entre deux machines sur un réseau de type TCP/IP. Cisco et Juniper proposent déjà des correctifs.

Une importante vulnérabilité a été décelée au sein du TCP (Transmission Control Protocol), principal protocole utilisé pour transférer les données sur les réseaux IP (Internet Protocol), à commencer par le net.

Découverte le 20 avril par des chercheurs du centre britannique de veille informatique, le National Infrastructure Security Coordination Centre (NISCC), elle pourrait être exploitée par un attaquant distant pour couper une connexion réseau TCP en cours entre deux machines et fortement perturber, par exemple, le bon fonctionnement d'un réseau d'entreprise et l'accès à des sites ou services web.

Pour le Cert-IST, centre français de veille informatique réservé aux grandes entreprises, cette faille est "importante" mais pas "critique". Il lui attribue ainsi un indice de dangerosité de 2 (risque moyen) sur une échelle de 4. Un avis d'information est donc prévu mais pas d'alerte de sécurité.

Un niveau expert exigé

"Ce problème est intrinsèque au protocole TCP et a toujours existé. La nouveauté, c'est que le scénario du NISCC démontre qu'il est plus facile que prévu de bloquer une communication", explique-t-on au Cert-IST. Même si ce n'est pas à la portée du premier bidouilleur. Selon le centre de surveillance, il faut un niveau de compétence d'expert pour exploiter cette vulnérabililté.

Concrètement, l'attaque consiste à analyser une communication établie entre deux machines. Pour cela, le pirate doit disposer d'un accès à un "tuyau" utilisé pour cette communication, par exemple depuis un routeur.

Il doit également obtenir l'adresse IP des deux machines, ce qui est le moins compliqué, ainsi que le "numéro de séquence TCP", déjà plus complexe. Ce numéro est en quelque sorte le ticket que prend chaque paquet de données dans la file d'attente des informations transférées.

Sur un réseau IP, les données n'arrivent en effet pas forcément dans l'ordre où elles ont été envoyées. Les paquets ont donc un numéro d'ordre afin de les remettre en place à la réception. La méthode décrite par le NISCC consiste à obtenir ce numéro de séquence sans faire un grand nombre d'essais. Il se base notamment sur la "taille de fenêtre TCP" du destinataire, c'est-à-dire la quantité d'octets qu'une machine est en mesure d'accepter.

Une fois toutes ses informations obtenues, l'attaquant peut insérer dans la communication un paquet de type "Reset", le signal prévu par le protocole TCP pour mettre fin à une connexion.

Tous les équipements réseaux ne sont pas forcément concernés, indique le NISCC dans son alerte. Cisco et Juniper Networks proposent ainsi des correctifs disponibles via leur support technique. Les équipements d'Innovaphone ne sont eux pas vulnérables. Enfin, Hitachi et Nec étudient encore l'impact de cette faille.

Copyright (c) 2004 CNET Networks, Inc. Tous droits réservés. ZDNet France et le logo de ZDNet France sont des marques déposées par CNET Networks, Inc.

 

 

Précedent Précedent Suivant Suivant Imprimer Imprimer