Sécurisation des serveurs DNS : un potentiel problème le 8 mars ?

Le 8 mars 2012 plusieurs millions d’internautes pourraient être privés d’Internet. Afin d’éradiquer le cheval de Troie DNSChanger, le FBI devrait désactiver plusieurs serveurs DNS. Point d’annonce officielle de l’agence. La nouvelle de cette hypothétique coupure du Net se répand pourtant sur la Toile.
L’origine de cette histoire remonte à plusieurs mois. En novembre 2011, l’agence américaine prend le contrôle de plusieurs serveurs DNS corrompus. Un serveur DNS sert à établir une correspondance entre l’adresse IP d’un site, et l’URL (du type www.01net.com) effectivement tapée par un internaute dans son navigateur. En contrôlant ce genre de serveur, des pirates peuvent « rerouter » les internautes vers des sites frauduleux ou encore interférer dans les échanges entre la machine et le serveur. Pour rediriger les internautes vers ces serveurs DNS corrompus, les « criminels ont utilisé un logiciel malveillant appelé DNSChanger (EDIT 2017 : lien rompu). Ils l’ont utilisé pour modifier les paramètres de l’utilisateur et remplacer le bon serveur DNS du fournisseur d’accès à Internet vers un mauvais serveur DNS aux mains des pirates », explique le FBI sur son site internet.
Beaucoup de si…

Afin de ne pas supprimer l’accès à Internet à des millions d’ordinateurs infectés par le cheval de Troie, le FBI a remplacé les serveurs DNS corrompus par d’autres. Reste que cette mesure devait être temporaire. Elle devait laisser le temps aux particuliers et aux entreprises contaminés de changer les paramètres de connexions de leurs ordinateurs. Un tribunal avait fixé la date butoir au-delà de laquelle les serveurs DNS devaient être définitivement déconnectés au 8 mars. L’échéance approche… et de nombreux ordinateurs seraient encore infectés. Si tel est le cas, et si le FBI déconnecte les serveurs DNS en question, alors effectivement des internautes seront privés de connexion réseau.

Pour pallier une telle mésaventure, le FBI publie la liste des adresses IP des serveurs concernés :
85.255.112.0 à 85.255.127.255
67.210.0.0 à 67.210.15.255
93.188.160.0 à 93.188.167.255
77.67.83.0 à 77.67.83.255
213.109.64.0 à 213.109.79.255
64.28.176.0 à 64.28.191.255

Le FBI rappelle que les connexions haut débit utilisent des adresses IP dynamiques. Celles habituellement assignées aux ordinateurs connectés à domicile sont comprises entre 192.168.1.2 et 192.168.1.254, celles de leurs routeurs et de leurs serveurs DNS sont du type 192.168.1.1.

Pour vérifier une possible infection des machines, des formulaires ont été mis en place par l’agence gouvernementale ou d’autres sites Internet. En cas d’infection avérée, la marche à suivre est indiquée.

Modification de Mai 2017 : Joel Stephens m’informe que le lien sur le site du FBI concernant le PDF sur DNS Changer est rompu. Il vous propose de vous reporter à cet article publié récemment par John D Watson de Comparitech sur le malware DNS Changer et comment s’en protéger (en anglais).

Lire l’article sur : 01net

Le gigabit en wifi est pour bientôt

1. Quelles spécifications, pour quelles performances ?

La prochaine norme pour les réseaux Wi-Fi à très haut débit a pour nom 802.11ac. Elle est en cours de définition à l’IEEE et prévoit l’usage de canaux de communication plus larges, de 80 et 160 MHz (contre 40 MHz pour le 802.11n), ce qui offre des taux de transfert allant jusqu’à 433 Mbit/s par antenne (contre 150 Mbit/s en 802.11n, par antenne). La promesse de la transmission au gigabit/s résulte d’un débit agrégé, issu de la transmission via des antennes multiples, de plusieurs (jusqu’à huit) flux spatiaux simultanés de données (un par antenne), contre quatre flux maximum en 802.11n. Le débit réel sera donc dépendant du nombre d’antennes utilisées de chaque côté de la transmission sans fil (client et borne Wi-Fi). Une connexion individuelle entre un point d’accès multi-antennes et un client doté d’une seule antenne pourra atteindre 433 Mbit/s avec un canal à 80 MHz ou beaucoup plus avec un canal à 160 MHz. Un point d’accès radio 802.11ac pourra émettre simultanément des flux de données à 433 Mbit/s ou 867 Mbit/s chacun, vers plusieurs clients. Continuer la lecture de Le gigabit en wifi est pour bientôt

Le jour où internet Tél qu’on le connaît à failli disparaître

Mardi dernier, Tim Berners-Lee, un des pères du Web, défenseur d’un Internet libre et personnage très écouté dans le milieu technologique, était appelé à témoigner devant le jury texan. Grâce au magazine Wired, nous avons connaissance de quelques propos échangés pendant le procès. L’avocate de la défense, Jennifer Doan, lui a notamment demandé s’il avait déposé un brevet quand il a inventé le Web. Sa réponse fut concise : « Non ». Pourquoi non, demanda alors l’avocate. Et Tim Berners-Lee de répondre : « L’Internet était déjà plus ou moins présent. Je m’occupais de l’hypertextualité, et cela faisait un moment que c’était dans l’air. Je travaillais sur des trucs qu’on savait déjà faire… Tout ce que je faisais, c’était de mettre en place des morceaux épars qui existaient depuis des années et dont j’avais besoin. » Continuer la lecture de Le jour où internet Tél qu’on le connaît à failli disparaître

le Cloud pour pirater les mots de passe

??Merci à Benoit Minvielle / Hirschmann France pour le lien vers cette actualité :

Quarante-neuf minutes et deux dollars pour trouver un mot de passe. Thomas Roth, un chercheur allemand, veut  prouver que le cloud computing est une vraie plateforme de travail pour les pirates informatiques. Qu’ils peuvent utiliser les machines virtuelles d’Amazon comme un supercalculateur et casser des mots de passe par force brute.

Jusqu’ici, le ticket d’entrée pour ce type d’attaques informatiques était trop élevé et donc rédhibitoire. Cela du fait de ressources matérielles trop importantes. Le seul moyen de contournement était le recours à l’informatique distribuée. Une méthode efficace, mais contraignante et surtout tributaire du nombre de volontaires acceptant de participer à l’opération. Aujourd’hui, « grâce » au cloud, tout est possible, seul, et pour une poignée de dollars.

Un million de mots de passe testés par seconde !

Le chercheur avait déjà démontré comment les machines virtuelles d’Amazon peuvent être utilisées comme noeuds de calcul. Avec vingt-deux gigas de mémoire, 2 processeurs Xeon dernière génération ainsi les deux fameux processeurs graphiques NVidia Tesla. Ces derniers, reconnus pour leur capacité de traitement Continuer la lecture de le Cloud pour pirater les mots de passe

Le WiMax 2 ratifié par l’IEEE

Merci à Benoit Minvielle / Belden France pour le lien


L’ IEEE (Institute of Electrical and Electronics Engineers) a approuvé la norme 802.16m pour la prochaine génération de Wimax, qui peut fournir des débits en aval de plus de 300 Mbit/s.

Le 802.16m est également connu sous le nom WirelessMAN-advanced ou WiMax-2. Il a été développé comme le successeur du 802.16e, première norme mondiale pour le WiMax mobile. Le nouveau standard a mis plus de 4 ans avant d’aboutir et arrive dans un contexte très concurrentiel. En effet, une grande majorité d’opérateurs ont choisi le LTE pour construire leur réseau de 3,75 G. Le Long Term Evolution partage certaines caractéristiques communes avec le Wimax mais provient d’un corps de normes différents.

Lors du salon CEATAC à Tokyo l’année dernière, Samsung a fait la démonstration d’un réseau compatible 802.16m qui atteint une vitesse de 330 Mbit/s. La norme est conçue pour fournir des vitesses de l’ordre de 100 Mbit/s pour les utilisateurs finaux. Ce standard utilise des technologies comme le MIMO (multiple-in, out multiples) pour améliorer ses performances. Il peut également être utilisé avec de petites stations de base appelées femtocells et avec les réseaux auto-organisés. L’organisme de normalisation assure aussi la rétro-compatibilité du 802.16m avec le standard en cours.

Concurrencé par LTE-Advanced

Sprint Nextel, propriétaire majoritaire de Clearwire (en charge du déploiement du Wimax aux Etats-Unis), a indiqué l’année dernière qu’il était intéressé par le 802.16m. Mais Clearwire est à la recherche de capitaux pour étendre son réseau et de nombreux observateurs s’interrogent sur les orientations technologiques des deux sociétés.

Plus tôt cette année, les représentants des plus grands fabricants mondiaux ont approuvé la version finale de LTE-Advanced. Ce standard doit selon l’Union Internationale des Télécommunications devenir celui de la 4G.

Lire l’article sur : Le Monde Informatique…

5 idées reçues sur l’IP v6

ipv6Créé au début des années 1980, le système qui permet de gérer jusqu’à 4,3 milliards d’adresses IP publiques à l’échelon du Net mondial, arrive en bout de course. Début février 2011, l’annonce qu’il restait cinq ultimes blocs d’adresses IPv4 à affecter aux cinq zones du monde bénéficiaires de cette allocation, a créée l’électrochoc attendu. Cette pénurie prochaine d’adresses IP publiques avait pourtant été anticipée par la création, dès 1999, de l’adressage IPv6 capable de générer un nombre quasi-illimité d’adresses IP, grâce à une taille fixe beaucoup plus importante que précédemment (128 bits contre 32 bits).

La migration vers le nouvel adressage IP ne s’est pourtant pas faite immédiatement. Une option technique -la translation adresses- a permis de retarder l’échéance. La permanence d’un certain nombre d’idées reçues à la fois sur l’état actuel de l’Internet et sur les conditions de la migration vers l’adressage IPv6 ont contribué à freiner la prise de conscience. En voici le florilège et quelques raisons de ne plus y croire.

1.Il y a encore pléthore d’adresses IPV4 disponibles.

S’il y a un évènement prévisible c’est la fin à venir du gisement des adresses IPv4, au nombre théorique maximal de 4,3 milliards. Comme les réseaux de téléphone fixe ou mobile, plus l’Internet a d’abonnés, plus il lui faut de numéros (d’adresses IP en l’occurrence) à attribuer. La croissance exponentielle de l’Internet, devenu réseau universel de communication, a donc accéléré la consommation des adresses IP uniques. Or, depuis l’annonce des cinq derniers blocs d’adresses IPv4 par l’autorité internationale chargée de les allouer aux cinq zones géographiques du monde, L’Internet entre dans une nouvelle phase. Et ce, jusqu’à l’épuisement complet des adresses IP disponibles qui pourrait intervenir entre fin 2011 et courant 2012, selon les zones et leur rapidité à consommer ces ressources devenues rares.  Certains misent sur la réallocation d’adresses IPv4 non-utilisées, mais cet éventuel ballon d’oxygène ne pourra accorder qu’un sursis temporaire, face au développement accéléré des abonnés au Net. L’Asie devrait ainsi être la première zone du monde à être affectée par la pénurie d’adresses IP actuelles. En 2012, les clients ou les serveurs web ne disposant que d’une adresse IPv6 pourraient y faire leur apparition, posant alors des questions concrètes de connectivité.

2.Les entreprises n’ont pas besoin de migrer vers IPv6.

Si les opérateurs télécoms et les FAI sont concernés au premier chef par la coexistence, au sein leurs réseaux, des protocoles IPv4 et IPv6, leur responsabilité s’arrête à la frontière des réseaux IP étendus des entreprises. Ceux-ci sont encore peu touchés par la pénurie car ces réseaux recourent à un adressage IP privé. Les entreprises ont donc encore un peu de temps devant elles. En outre, le mode hiérarchique d’allocation des adresses restantes fait que les entreprises et les particuliers sont en bout de chaîne et que la pénurie ne les affectera pas en premier. Cela étant, faudra t-il attendre que les entreprises actives sur le web essuient des refus de leurs opérateurs de leur attribuer des adresses IPv4 pour qu’elles prennent conscience de la pénurie à venir ? Même si elles s’estiment encore peu concernées par la fin prochaine du stock d’adresses IP publiques, les entreprises restent responsables de leur infrastructure technique privée qui est reliée à Internet en plusieurs points :   la plateforme d’hébergement des sites web de l’entreprise, les routeurs, les systèmes de protection informatique (pare-feux). Les opérateurs ne feront pas fonctionner, à leur place, ces équipements avec le nouvel Internet. En outre, avec IPv6, les plans d’adressage IP privés, en raison de la taille beaucoup plus grande des adresses et de leur structure complexe, ne pourront être gérées à la main ou avec des tableurs et devront être automatisés avec des logiciels ad hoc.

3.La migration vers IPv6 apportera peu de bénéfices aux entreprises.

La migration des l’infrastructure réseau et informatique de l’entreprise vers IPv6 lui ouvre la porte de l’internet nouvelle génération, explique t-on sur Point6.net, le site rennais du pôle de compétences IPv6. L’entreprise ouvrira ainsi ses services internet à de nouveaux horizons, en termes d’utilisateurs (pays asiatiques, utilisateurs mobiles, etc…). Les firmes ayant développé une activité en Asie pourrait rapidement avoir à composer avec des FAI locaux qui, d’ici fin 2011 ou début 2012, n’attribueront plus d’adresses IPv4 d’ancienne génération, mais seulement des adresses IPv6. Les gestionnaires d’infrastructures informatiques privées doivent par ailleurs anticiper une évolution importante à venir de leur architecture (multi-sites, extension de la téléphonie sur IP, smartphones, etc.) qui risque de montrer les limites des rustines apposées sur les réseaux IPv4 actuels. Plusieurs éléments de contexte peuvent, enfin, susciter une prise de conscience vis à vis IPv6, surtout par les grandes entreprises. Selon Solucom le fort déploiement de la ToIP – qui peut faire craindre une saturation des plages d’adresses privées – et les refontes de plans d’adressage IP lors d’une fusion ou d’une acquisition, constituent également pour l’entreprise une bonne opportunité de réflexion liée à au nouvel adressage IPv6 voire à sa mise en oeuvre.

4.La migration est avant tout un problème technique d’opérateurs.

L’adressage IPv4, défini au début des années 1980, a imprégné profondément les pratiques des équipes techniques en charge des réseaux et du système d’information. De même, les DSI devront revoir leurs méthodes de conception qui auront à évoluer avec le passage à IPv6. Toujours selon Solucom, le défi à relever avec la migration vers le protocole IPv6 risque donc d’être autant humain que technique. Les entreprises et tout leur écosystème (développeurs, SSII, etc..) doivent anticiper cette évolution en formant ceux qui conçoivent, intègrent, exploitent, utilisent les réseaux et systèmes informatiques. De plus, se pose aussi la question de la formation des équipes en charge de l’architecture aussi bien que des achats informatiques pour qu’elles s’imprégnent de la nouvelle donne incarnée par IPv6.

5.La sécurité informatique est renforcée avec IPv6.

La migration à venir imposera de gérer la sécurité de manière simultanée au sein de deux mondes différents, celui des adressages IPv4 et IPv6. Ainsi certains logiciels de VPN ne supportent encore qu’IPv4, et ne sécurisent pas ou mal (encore) IPv6. Il reste donc à vérifier que le transport des paquets IPv6 est bien géré par les équipements dédiés à la sécurité informatique (pare-feu, détection d’intrusion) dans l’entreprise. Le fait qu’IPv6 incorpore des fonctions de sécurité comme IPSec pour le chiffrement des données échangées n’apporte pas d’avantage évident puisque l’adressage IP v4 sait déjà gérer cette fonction. Avec les premiers déploiements du nouvel adressage dans les réseaux, il est probable que les failles de sécurité se produisent en raison de l’inexpérience des développeurs et des ingénieurs réseaux en la matière. Pour nombre d’observateurs, les problèmes de sécurité majeurs qui risquent de survenir seront surtout induits par des déploiements d’IPv6 mal conçus ou mal gérés, dans les réseaux d’entreprise.

Lire l’article d’origine sur : 01netPro

Démocratisation du Green Ethernet : le 802.3az

Ce soir, les articles sont écologiques…

L’Ethernet 802.3az, alias « Green » est en fait une nouvelle version de la norme qui est pensée pour diminuer la consommation induite par le réseau. Destinée avant tout au monde professionnel, elle est malgré tout utile dans les machines grand public. Il y a trois modifications importantes : la première, c’est la mise en veille des puces quand il n’y a pas de données transférées. De l’Ethernet 100 mégabits/s nécessite environ 0,5 W en temps normal, à 1 gigabit/s, on est aux environs de 1,5 W et un lien à 10 gigabits/s (norme de plus en plus courante dans le monde professionnel) est entre 10 et 20 W. En mettant la puce en veille, on peut descendre à 100 mW, ce qui est évidemment un avantage.

Deuxièmement, les puces peuvent changer de vitesse de négociation sans couper la connexion, ce qui permet par exemple de redescendre à 100 mégabits/s sur un réseau local quand une machine se connecte à Internet et de passer à 1 gigabit/s en cas de besoin. Enfin, certaines puces sont capables de « mesurer » la longueur du câble Ethernet et d’adapter la puissance en fonction, ce qui évite d’envoyer la puissance nécessaire pour une connexion sur 100 mètres quand il y a 2 mètres entre l’ordinateur et son correspondant.

Lire l’article complet sur : Présence-PC

Une proposition de GREENwifi

au CES 2011, TRENDnet a annoncé l’intégration de la technologie GREENwifi dans ses solutions de réseau sans fil, qui réduirait la consommation d’énergie jusqu’à 50%.

GREENwifi réduit la consommation d’énergie en utilisant divers méthodes/scénarios. La consommation d’énergie peut être réduite quand l’appareil sans fil est en veille et qu’il n’est pas connecté à un autre client sans fil tel qu’un ordinateur. L’autre scénario serait de réduire la puissance de sortie quand il communique avec un ordinateur qui est à une courte distance du routeur.

Lire l’article sur : ubergizmo

Casser la protection WEP du WIFI pour 24$

Des kits sont vendus en Chine afin de « cracker » les clés Wep (Wired Equivalent Privacy) et deviner les mots de passe Wpa (Wi-Fi Protected Access) des réseaux Wifi.

Ce kit comprend un adaptateur Wifi sur clé USB, un système d’exploitation Linux sur CD, un logiciel destiné à casser les clés Wep/Wpa et un manuel d’instruction. Il est vendu dans les bazars et en ligne.  Le kit n’est pas très cher puisqu’il est vendu 24 $.
Des clés Wep sont usuellement cassées en moins de quelques minutes, et les clés Wpa, recherchées par une attaque dite de « force brute », sont moins facilement trouvées. Mais alors que le Wep est désormais démodé, beaucoup de gens l’utilisent encore, en particulier sur des routeurs domestiques.

Lire l’article d’origine sur : Le Monde Informatique…

Classement des protocoles industriels


Dans son rapport « The world market for industrial Ethernet », le cabinet d’études de marché IMS Research a établi un classement par protocole des ventes d’équipements Ethernet. Pour réaliser cette étude, les consultants se sont basés sur les chiffres de ventes au niveau mondial de 16 catégories d’équipements industriels.

Avec pas moins de 30 % des nœuds, Ethernet/IP (l’adaptation à Ethernet du protocole CIP – Common Industrial Protocol – avec Rockwell en figure de proue) fut le plus installé en 2009. Il est suivi de près par ProfiNet (28 % – l’adaptation à Ethernet du ProfiBus de Siemens) et Modbus-TCP (22 % – adaptation du ModBus de Schneider ). Derrière ces trois grands protocoles généralistes arrivent les réseaux spécialisés dans le contrôle temps réel : Ethernet Powerlink, qui réalise 11 % de parts de marché, et EtherCAT, avec 5 %. Les autres protocoles Ethernet (CC-Link IE, Sercos III, Varan ou encore FL-Net) se partagent les 4 % restants.

Lire l’article sur : Mesures…

Les réseaux Ethernet sont pour internet, ce que les canalisations sont pour l'eau. A tout problème de flux, il s'agit avant tout de trouver un bon plombier !