Un filtre pour protéger les réseaux institutionnels

Par 02 octobre 2009

En ajoutant une clef à usage unique aux standards d'authentification des réseaux administratifs, les chercheurs de l'université d'Auburn apportent une solution au déni de service.

Les sites institutionnels, privés ou gouvernementaux, demeurent une cible privilégiée des attaques par déni de services. Et les ressources informatiques à la demande - Amazon S3 ou Google App Engine- et dans les nuages ne sont pas épargnées : tous ont en commun de nécessiter une identification de la part de l’utilisateur (internaute ou machine).  Des chercheurs de l’université d’Auburn en Alabama ont développé un protocole apportant un remède à ce problème, mal traités par les filtres habituellement mis en place. Ceux-ci s’appuient en effet sur les ordinateurs attaqués pour vérifier la légitimité des requêtes reçues. Cela consomme de la ressource et finit donc par aggraver le problème.
Une clé à usage unique
Pour contrer cette difficulté, leur nouveau protocole, baptisé Identity-Based Privacy-Protected Access Control Filter (IPACF), est implanté à chaque bout de la connexion : chez l’utilisateur et au niveau de la ressource utilisée. « Au moment de la connexion de l'utilisateur au service, le protocole va lui fournir une clé et une ‘valeur de filtre’, explique à l’Atelier Chwan-Hwa Wu. Toutes deux à usage unique ". C’est ce duo qui va être vérifié par le serveur sans diminuer ses capacités de traitement. Les attaques par déni de service sont capables de contourner les systèmes d’authentification standard, mais pas ces identifiants uniques.
Les zombies identifiés
Autre conséquence heureuse d'IPACF, il facilite l'identification des ordinateurs "zombies", auxquels les attaques par déni de services font souvent appel à l’insu de leurs propriétaires au moyen de logiciels malicieux. "Ils sont en effet, et par définition, incapables de constater l’inefficacité de leur attaque et vont la relancer sans arrêt", explique Chwan-Hwa Wu. Pour mémoire, le principe de ces attaques est de saturer de requêtes les serveurs au point de les rendre inutilisables pour quiconque. Les conséquences peuvent être relativement sérieuses quand cela concerne des réseaux militaires ou médicaux.

Mentions légales © L’Atelier BNP Paribas