Contre les attaques, chaque couche informatique a sa part d'explication

Par 10 février 2010
Mots-clés : Smart city, Asie-Pacifique

Afin de lutter plus efficacement contre les vers, il appartient d'être au fait de leur mode opératoire. Une information obtenue en s'intéressant au journal de bord de toutes les strates (réseau, applicative...).

Pour mieux lutter contre les attaques de logiciels malveillants, il convient d'étudier avec plus d'attention la manière dont ceux-ci pénètrent les systèmes, affirment des chercheurs de l’université technique de Malaisie Melaka. Pour cela, ils proposent de se pencher sur les registres des ordinateurs infectés. Les chercheurs se sont particulièrement intéressés aux registres des différentes couches des modèles OSI*. Cette dernière est une norme de communication entre plusieurs ordinateurs dont l’architecture est organisée en strates. Parmi les sept existantes, on trouve par exemple la couche de liaison qui gère les communications entre ordinateurs directement reliés entre eux, ou encore la couche de transport qui gère les communications entre les processus en cours d’exécution.
Tirer des informations sur le mode d’infiltration des vers
En accédant aux registres de toutes ces couches, les chercheurs expliquent qu’il est possible de tirer des informations sur les modes d’infiltration des vers. Ce que les chercheurs appellent la signature de l’attaque est constitué d’une description de l’impact de l’attaque, son objectif et son modus operandi. Par exemple, l’étude du registre du firewall d’un ordinateur peut révéler des informations sur la manière dont un ver a pénétré le réseau. Le registre des évènements applicatifs ou le journal des alertes de sécurité peuvent ensuite fournir des informations sur la date, l’heure et le résultat de chaque action durant une attaque. L’intérêt de cette démarche est qu’elle est exhaustive : elle s’attache au point de vue de la victime comme à celui de l’attaquant.
Etudier l’attaque sous tous les angles
Les chercheurs expliquent en effet que jusqu’à présent de telles recherches se concentraient sur les évènements liés à l’attaquant en omettant ceux qui concernent la victime (l’ordinateur infecté). Pour les chercheurs, élargir le champ d’étude aux évènements qui concernent directement le PC infecté ou qui ne sont pas au premier abord liés à l’attaque, est de nature à améliorer les systèmes d’alerte des ordinateurs. C’est également important pour identifier clairement l’ordinateur procédant à une attaque et celui qui la subit. En effet, certaines attaques prennent la forme de séquences d’actions menées les unes après les autres et amenant l’ordinateur infecté à se nuire de lui-même.
* Open Systems Interconnection

Mentions légales © L’Atelier BNP Paribas