Une attaque Teardrop est un type d'attaque par déni de service (DoS) qui consiste à utiliser des paquets de données fragmentés pour inonder le serveur ou le réseau d'une victime. Dans la mesure où le serveur n'est pas en mesure de réassembler les paquets, il en résulte une surcharge et, par conséquent, un arrêt du système.
Les attaques Teardrop visent généralement des serveurs présentant une vulnérabilité TCP/IP existante. Ils finissent par exploiter la manière dont les paquets IP sont fragmentés et réassemblés pour échapper aux contrôles de sécurité traditionnels sur un serveur local ou un réseau. Étant donné que de nombreuses organisations utilisent souvent des logiciels non mis à jour ou obsolètes, les attaques Teardrop sont idéales pour exploiter ces vulnérabilités. Les attaques Teardrop sont donc plus fréquentes dans les administrations locales, les hôpitaux et les petites banques, en particulier celles qui utilisent de très vieux systèmes d'exploitation (comme Windows 95 ou des systèmes plus anciens).
Ce guide présente les attaques Teardrop en détail, notamment leur nature, leur fonctionnement et la manière de s'en défendre, afin de minimiser le risque d'en être victime à l'avenir, ou de subir des attaques similaires.
D'où proviennent les attaques Teardrop ?
Imaginez que vous soyez en train de travailler à la maison (ou au bureau), que vous vous occupiez de vos affaires et que, soudain, votre ordinateur s'éteigne sans avertissement. Ou encore, que votre réseau local soit coupé dans l'ensemble des bureaux et que vous ne puissiez accéder à aucune des données locales dont vous avez besoin. C'est ce qui se passe lors des attaques par déni de service et par déni de service distribué.
Aussi agaçantes que potentiellement graves, les cyberattaques DDoS ne sont pas rares aux États-Unis. En septembre 2017, Google (et une grande partie de son infrastructure numérique) a été victime pendant six mois de ces attaques, qui ont atteint une taille de 2,54 térabits par seconde. GitHub en a été victime à la fois en 2015 et en 2018, et même AWS a connu une attaque en 2020 qui a atteint 2,3 térabits par seconde.
Malheureusement pour l'utilisateur lambda, les attaques DDoS et DoS se présentent aujourd'hui sous différentes formes. Depuis leur apparition, ces attaques ont considérablement évolué, à l'instar d'une grande partie du paysage de la cybersécurité au cours des 20 dernières années. L'une des plus difficiles à détecter est sans doute l'attaque Teardrop. Nommée ainsi en raison de son approche par étapes, une attaque Teardrop réussie peut laisser votre ordinateur (ou le système auquel il est connecté) complètement anéanti et sans réponse si vous manquez de prudence.
Comment fonctionne une attaque Teardrop ?
Un système numérique classique est conçu pour traiter une certaine quantité de données qui arrivent toutes en même temps. Par conséquent, les données, ou le trafic réseau, sont souvent décomposées en petits fragments qui sont ensuite tagués avec un numéro spécifique dans ce que l'on appelle le champ de décalage du fragment. Lorsqu'il n'y a pas d'attaque, la procédure habituelle consiste à les remettre dans le bon ordre une fois qu'elles sont arrivées.
Cependant, lors d'une attaque Teardrop, le cybercriminel injecte une faille dans le champ de décalage du fragment, ce qui perturbe le processus de reséquençage. En conséquence, votre système collecte une vaste collection de données fragmentées corrompues qui ne peuvent pas être réassemblées correctement. Malheureusement, votre système est tout simplement surchargé et plante sans avertissement (approprié).
Exemples d'attaques Teardrop
Au fil des ans, plusieurs attaques notables ont été menées contre de grands systèmes que de nombreuses personnes travaillant dans le secteur de la cybersécurité pourraient connaître. En voici quelques exemples (qui ne sont en aucun cas exhaustifs) :
- Windows NT et 95 : les attaques Teardrop ont d'abord eu des répercussions importantes sur Windows 3.1x, NT et 95 à la fin des années 1990, ce qui a poussé Microsoft à publier un correctif pour éliminer la vulnérabilité en réponse à de nombreux cas de panne du système.
- Systèmes pour particuliers : ces types d'attaques étaient fréquents sur les anciens systèmes Windows et Linux, principalement dans Windows 95 et les noyaux Linux antérieurs à la version 2.1.63.
- Android/Rowhammer : une attaque de même nature qu'une attaque Teardrop connue sous le nom de RAMpage a menacé tous les appareils Android sortis entre 2012 et 2018.
Prévention contre l'attaque Teardrop
Il existe plusieurs façons de prévenir une attaque Teardrop sur votre réseau ou votre système local. Les conseils de cybersécurité ci-dessous sont valables pour un certain nombre de menaces numériques et de programmes malveillants, et pas seulement pour les attaques Teardrop.
Mettez à jour votre système d'exploitation
Tout d'abord, nous vous recommandons de mettre à jour l'ensemble de vos logiciels ainsi que votre système d'exploitation et de vous assurer de télécharger tous les correctifs de sécurité disponibles auprès des développeurs en question. Comme nous l'avons expliqué précédemment, les vulnérabilités du système sont le vecteur d'entrée habituel des attaques Teardrop. Il s'agit donc d'un moyen simple de protéger votre machine locale et votre réseau au sens large.
Blocage de ports
Si vous n'êtes pas en mesure de corriger vos vieux logiciels ou vos applications stratégiques, l'un des meilleurs moyens de prévenir les attaques Teardrop consiste à désactiver les ports 139 et 445. Vous bloquerez ainsi tout message de serveur potentiellement dangereux dans les systèmes qui n'ont pas pu bénéficier des mises à jour de sécurité de leurs fournisseurs.
Activez votre pare-feu
L'un des moyens les plus simples de prévenir une attaque Teardrop (et de protéger votre machine locale au sens large) est de vous assurer qu'un pare-feu ou une solution de cybersécurité complète et fiable est disponible sur votre machine ou votre réseau. Nous vous recommandons d'utiliser notre logiciel de sécurité dédié Kaspersky Premium, qui vous offre un pare-feu infranchissable, des mises à jour régulières, ainsi qu'une aide et une assistance constantes.
FAQ
Qu'est-ce qu'une attaque Teardrop ?
Une attaque Teardrop est une attaque par déni de service (DOS) qui inonde le système d'un utilisateur de paquets de données défectueux et fragmentés jusqu'à ce que le système (ou le réseau) plante et s'arrête. Également connues sous le nom d'attaques DDoS Teardrop, les attaques Teardrop ciblent généralement des serveurs présentant une vulnérabilité TCP/IP existante et des anciens logiciels.
Articles et liens recommandés :
- Qu'est-ce qu'une attaque DDoS ?
- Comment configurer un réseau domestique sécurisé ?
- Comment prévenir les attaques DDoS pendant une partie de jeu en ligne ?
- Choisir une solution antivirus
Produits recommandés :
