Petites attaques, grandes conséquences

Comment déclencher des attaques contre des serveurs web?

Lors de la conférence CCC de Berlin, l’on a expliqué comment de petits messages pouvaient déclencher des attaques ‘déni de service’ contre des serveurs web. La présentation (technique!) de deux chercheurs, à savoir Julian Wälde de la TU de Darmstadt et Alexander Klink de n.runs AG, a démontré comment des langages de programmation populaires ouvrent la porte à une surcharge des serveurs web. Cela peut à son tour permettre des attaques dites ‘denial od service’ (qui rendent ces serveurs web et leurs applications inaccessibles aux utilisateurs légitimes), sans qu’il soit besoin d’une trop grande largeur de bande et/ou d’un important botnet.

Concrètement, ces attaques abusent de la manière dont les langages de programmation traitent dans le monde du web les tables de hachage et tout particulièrement des problèmes tels les ‘hash collisions’.

Ces collisions se manifestent, lorsque la fonction de hachage est insuffisamment ‘randomisée’, ce qui fait que plusieurs données ont un même hash. Le serveur web doit ensuite exploiter de sa puissance de traitement pour résoudre les conflits et avec l’aide de messages adaptés, des assaillants peuvent alors consommer l’entière capacité des processeurs, même modernes (et continuer à le faire en expédiant fréquemment le message).

Le problème existe dans quasiment tous les langages utilisés pour les applications web et est abordé dans un conseil en matière de sécurité de l’oCERT (l’open source CERT).

Ce conseil permet aux développeurs et entreprises de savoir ce qu’il en est des langages qu’ils/elles utilisent. La gravité du problème est du reste soulignée par la décision de Microsoft de sortir pour son ASP.net un correctif (‘patch’) en dehors de ses mises à jour habituelles. Microsoft donne à ce propos des informations dans un communiqué de sécurité.