> On Tue, Jan 25, 2011 at 11:49:01AM +0100, > Thomas Samson <kooll...@gmail.com> wrote > a message of 61 lines which said: > >> Un ordinateur est menacé si il est joignable, le numéro de port >> n'indique plus vraiment la 'taille' de la menace, surtout quand le >> but n'est pas de 'rooter' la machine mais de l'ajouter dans un >> botnet. et en faire un relai de spam, une source de ddos, un proxy >> anonymisant. Pas besoin de port en écoute inférieur à 1024, pas >> besoin de droits administrateurs. > > Les attaques les plus courantes sur le PC de M. Michu aujourd'hui sont > en effet par « charge utile » (i.e. par malware dans une page Web), > pas par connexion IP. C'est d'ailleurs pour cela que le refus de > certains d'abandonner le NAT « pour des raisons de sécurité » n'est > pas rationnel (le NAT n'empêche pas ces attaques).
Et pourquoi ces attaques sur les clients web sont-elles devenues les plus courantes ? Tout simplement parce que joindre directement une machine sur Internet est devenu de plus en plus difficile avec le NAT. Derrière une IP publique on peut avoir tout le LAN d'une entreprise, un attaquant n'a donc pas beaucoup d'autres solutions que de passer par du SE puis une attaque sur le client web / mail (coucou I love you) / whatever. Avec IPv6, on augmente la surface d'attaque sur les postes clients, ce sera le retour des bons vieux scans, des sasser et autres blaster si personne n'apprend des erreurs passées. > Néanmoins, en matière de sécurité, ce n'est jamais tout blanc ou tout > noir. Les programmes qui écoutent sur des ports < 1024 sont en général > particulièrement sensibles et l'idée de Rémi Bouhl de les protéger ne > me semble pas mauvaise. Une application avec un "remote command execution bug" -qu'elle tourne sur un port < ou > à 1024- est dangereuse. La seule chose qui change c'est la probabilité de la trouver en faisant un scan sur un bloc d'adresses IP. Je tiens à redire que pour transformer une machine en zombie, pas besoin des privilèges admin dans la plupart des cas. Au pire, l'attaquant pas trop mauvais trouvera un moyen de faire une escalade de privilèges. >> Pour le reste, je ne sais pas quelle solution est préférable pour >> Mme Michu, mais de plus en plus d'applications supporte l'UPnP > > Non-standard, protocole spécifique Microsoft. Et qui détient 95% du marché des postes clients ? :) --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
