Nouveautés + tendances

Comment identifier 16 000 serveurs attaqués sur le réseau

10/9/2025

Traduction : traduction automatique

Des chercheurs ont mis hors service des serveurs compromis à grande échelle. Pour ce faire, ils ont utilisé les particularités d'un protocole Internet très répandu et ont ainsi frappé les attaquants avec leurs propres armes.

L'un des protocoles réseau les plus utilisés est «Secure Shell» (SSH). Il établit un canal crypté entre le client et le serveur qui permet de transférer des fichiers en toute sécurité ou d'effectuer la maintenance et la configuration de routine des systèmes à distance. Un élément central du protocole est ce que l'on appelle les clés publiques, c'est-à-dire les clés publiques par lesquelles les serveurs authentifient le client - et c'est là que réside également une faiblesse. Par exemple, les pirates devinent les mots de passe faibles et installent leurs propres clés SSH. Ils obtiennent ainsi un accès permanent au serveur. Et ce n'est pas tout : les utilisateurs légitimes ne se rendent souvent pas compte de la situation, car leur mot de passe reste inchangé malgré l'attaque. Il est extrêmement difficile d'identifier des serveurs ainsi compromis sur l'ensemble d'Internet.

L'espoir vient d'une approche qui utilise le protocole Internet bien connu d'une nouvelle manière. Une équipe de l'Institut Max Planck (MPI) pour l'informatique et de l'Université technique de Delft a pu identifier des serveurs attaqués à grande échelle sur Internet. Pour ce faire, elle a exploité une particularité du protocole d'authentification SSH qui est souvent négligée. Pour s'authentifier, un client doit d'abord envoyer la clé publique d'une paire de clés publiques/privées au serveur. Le serveur vérifie ensuite si cette clé est disponible pour l'autorisation. Cela permet d'économiser de la puissance de calcul, car ce n'est que si la clé envoyée est vraiment prévue pour l'authentification que le serveur envoie au client un «Challenge-Response», c'est-à-dire une tâche que le client ne peut résoudre qu'à l'aide de sa clé publique.

Les chercheurs ont utilisé ce mécanisme pour identifier les systèmes compromis. Ils ont envoyé à tous les serveurs SSH connectés à Internet un total de 52 clés publiques, connues grâce à des attaques précédentes menées par des groupes tels que «teamtnt», «mozi» ou «fritzfrog». Si l'un de ces serveurs répond par un défi à l'une des clés, il est clair que les attaquants ont installé leur propre clé sur le système - le serveur a été compromis.

Au total, les analyses ont révélé plus de 16 000 serveurs compromis chez des fournisseurs d'hébergement, dans des entreprises et des instituts de recherche, dont beaucoup étaient liés à une infrastructure de malware connue. Une fois que les opérateurs de réseau concernés ont été informés de l'infection, le nombre d'hôtes compromis a considérablement diminué, comme l'ont montré les études de suivi.

Selon les chercheurs, cette nouvelle approche rend l'Internet plus sûr dans le monde entier. En effet, les attaquants ne peuvent pas facilement contourner la détection en utilisant des clés individuelles pour chaque système compromis. Anja Feldmann, du MPI, explique que cela n'est pas faisable sur le plan opérationnel à l'échelle des grandes associations d'appareils contrôlés à distance botnets. Cela transforme la stratégie des attaquants d'obtenir un accès à long terme aux systèmes en un signal fiable de défense.

Spektrum der Wissenschaft

Nous sommes partenaires de Spectre des Sciences et souhaitons vous rendre l'information plus accessible. Suivez Spectre des Sciences si vous aimez ses articles.

Articles originaux sur Spektrum.de

Photo d’en-tête : Shutterstock / VL-PhotoPro

Cet article plaît à 32 personne(s)

Spektrum der Wissenschaft

Wissenschaft aus erster Hand

dirdjaja@spektrum.de

Des experts de la science et de la recherche rendent compte des dernières découvertes dans leur domaine – de manière compétente, authentique et compréhensible.

Sécurité

Suivez les thèmes et restez informé dans les domaines qui vous intéressent.

Nouveautés + tendances

Du nouvel iPhone à la résurrection de la mode des années 80. La rédaction fait le tri.

Tout afficher

3 commentaires

later

Recherche

Comment identifier 16 000 serveurs attaqués sur le réseau

Spektrum der Wissenschaft

3 commentaires

Top 10 catégories

Aller à

3 commentaires

Digitec Offre du jour