Le ping de la mort : l'arme secrète des hackers des années 90

Intro 

Avez-vous déjà entendu parler d'un simple "ping" capable de faire planter un ordinateur ? C'est ce que l'on appelle une attaque par "ping de la mort". Dans cet article, nous allons plonger au cœur de cette cyberattaque historique et découvrir comment un simple paquet de données malformé pouvait autrefois mettre à genoux des systèmes entiers.


Une attaque par ping de la mort est un type d'attaque informatique qui consiste à envoyer un ping malformé ou malveillant à un ordinateur. Lors de cette attaque, un hôte envoie des centaines de requêtes ping avec une taille de paquet importante ou illégale à un autre hôte pour tenter de le mettre hors ligne ou de le garder occupé en répondant avec des réponses ICMP Echo.

Un paquet ping correctement formé mesure généralement 56 octets, ou 64 octets lorsque l'en-tête du protocole de contrôle de messages Internet (ICMP) est pris en compte, et 84 octets, y compris l'en-tête du protocole Internet (IP) version 4. Cependant, tout paquet IPv4 (y compris les pings) peut atteindre 65 535 octets. Certains systèmes informatiques n'ont jamais été conçus pour gérer correctement un paquet ping plus grand que la taille maximale du paquet, car cela viole le protocole Internet. Comme d'autres paquets volumineux mais bien formés, un ping de la mort est fragmenté en groupes de 8 octets avant la transmission. Cependant, lorsque l'ordinateur cible réassemble le paquet malformé, un dépassement de tampon peut se produire, entraînant un crash du système et potentiellement permettant l'injection de code malveillant. 

La taille excessive en octets empêche la machine de le traiter efficacement, impactant l'environnement cloud et provoquant des perturbations dans les processus du système d'exploitation, entraînant des redémarrages ou des pannes.

Dans les premières implémentations de TCP/IP, cette vulnérabilité est facile à exploiter et peut affecter une grande variété de systèmes, notamment Unix, Linux, Mac, Windows et les périphériques. Au fur et à mesure que les systèmes commençaient à filtrer les pings de la mort à l'aide de pare-feu et d'autres méthodes de détection, un autre type d'attaque par ping, connu sous le nom de déluge de ping, est apparu, qui inonde la victime de tant de requêtes ping que le trafic normal ne parvient pas à atteindre le système (une attaque par déni de service de base).

L'attaque par ping de la mort a été largement neutralisée par les progrès technologiques. Les appareils produits après 1998 incluent des défenses contre de telles attaques, les rendant résistants à cette menace spécifique. Cependant, dans un développement notable, une variante ciblant les paquets IPv6 sur les systèmes Windows a été identifiée, ce qui a poussé Microsoft à publier un correctif en 2013.

La taille maximale d'un paquet IPv4, incluant l'en-tête IP, est de 65 535 octets (2^16 - 1), une limitation imposée par l'utilisation d'un champ d'en-tête IP de 16 bits qui décrit la longueur totale du paquet.

La couche liaison de données sous-jacente impose presque toujours des limites à la taille maximale d'une trame (voir MTU). Dans Ethernet, cette taille est généralement de 1500 octets. Dans ce cas, un grand paquet IP est divisé en plusieurs paquets IP (également appelés fragments IP), de sorte que chaque fragment IP correspond à la limite imposée. Le destinataire des fragments IP les réassemble en un paquet IP complet et continue à le traiter normalement.   

Lorsqu'une fragmentation est effectuée, chaque fragment IP doit contenir des informations sur la partie du paquet IP d'origine qu'il contient. Cette information est stockée dans le champ "Décalage de fragment" de l'en-tête IP. Ce champ est de 13 bits de long et contient le décalage des données dans le fragment IP actuel par rapport au paquet IP d'origine. Le décalage est donné en unités de 8 octets. Cela permet un décalage maximum de 65 528 ((2^13-1)*8). 

En ajoutant 20 octets d'en-tête IP, le maximum sera de 65 548 octets, ce qui dépasse la taille maximale d'une trame. Cela signifie qu'un fragment IP avec le décalage maximum ne doit pas avoir de données supérieures à 7 octets, sinon il dépasserait la limite de la taille maximale du paquet. Un utilisateur malveillant peut envoyer un fragment IP avec le décalage maximum et avec beaucoup plus de données que 8 octets (autant que la couche physique le permet).   

Lorsque le destinataire assemble tous les fragments IP, il se retrouve avec un paquet IP supérieur à 65 535 octets. Cela peut entraîner un dépassement de capacité des tampons mémoire alloués par le destinataire pour le paquet, et peut causer divers problèmes.

Comme il ressort de la description ci-dessus, le problème n'a rien à voir avec l'ICMP, qui n'est utilisé que comme charge utile, suffisamment grande pour exploiter le problème. Il s'agit d'un problème dans le processus de réassemblage des fragments IP, qui peuvent contenir n'importe quel type de protocole (TCP, UDP, IGMP, etc.). 

La correction du problème consiste à ajouter des vérifications dans le processus de réassemblage. La vérification de chaque fragment IP entrant s'assure que la somme des champs "Décalage de fragment" et "Longueur totale" dans l'en-tête IP de chaque fragment IP est inférieure ou égale à 65 535. Si la somme est supérieure, le paquet est invalide et le fragment IP est ignoré. Cette vérification est effectuée par certains pare-feu pour protéger les hôtes qui n'ont pas corrigé le bug. Une autre solution consiste à utiliser un tampon mémoire supérieur à 65 535 octets pour le réassemblage du paquet. (Il s'agit essentiellement d'une violation de la spécification, car elle ajoute la prise en charge de paquets plus grands que ceux autorisés.)

Ping de la mort en IPv6

En 2013, une version IPv6 de la vulnérabilité du ping de la mort a été découverte dans Microsoft Windows. La pile TCP/IP de Windows ne gérait pas correctement l'allocation de mémoire lors du traitement des paquets ICMPv6 malformés entrants, ce qui pouvait entraîner un déni de service à distance. Cette vulnérabilité a été corrigée dans MS13-065 en août 2013. Le CVE-ID de cette vulnérabilité est CVE-2013-3183. En 2020, un autre bug (CVE-2020-16898) dans ICMPv6 a été découvert autour de Router Advertisement, ce qui pourrait même conduire à une exécution de code à distance.

Conclusion

Bien que le ping de la mort soit une vulnérabilité aujourd'hui largement corrigée, il nous rappelle l'importance d'une vigilance constante en matière de sécurité informatique. Les menaces évoluent sans cesse, et il est essentiel de maintenir ses systèmes à jour et de rester informé des dernières pratiques en matière de sécurité."

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Analyse technique du VLAN Hopping : Switch Spoofing et Double Tagging

Image
Connaissez-vous cette menace qui pèse sur votre réseau ? Les réseaux locaux virtuels (VLAN) sont une technologie essentielle pour segmenter les réseaux et améliorer la sécurité. Cependant, une faille de sécurité connue sous le nom de VLAN hopping peut compromettre cette segmentation. Cette attaque permet à un attaquant situé dans un VLAN d'accéder à des ressources et des informations appartenant à d'autres VLAN, potentiellement critiques. Cet article examine les vulnérabilités qui rendent possible le VLAN hopping et propose des solutions pour renforcer la sécurité des réseaux. Imaginez un immeuble avec plusieurs appartements (les VLAN). Normalement, les habitants d'un appartement ne peuvent pas accéder aux autres. Le VLAN Hopping est comme un cambrioleur qui trouve un moyen de passer d'un appartement à l'autre sans autorisation. Le VLAN Hopping, ou "saut de VLAN" en français, est une technique d'attaque informatique qui permet à un attaquant d'accé...
Lire la suite

DNS Spoofing : Tout Ce Que Vous Devez Savoir

Image
Intro Le DNS spoofing, ou usurpation de DNS, est une technique de cyberattaque de plus en plus courante et redoutable. En exploitant les failles du système de noms de domaine (DNS), les cybercriminels peuvent rediriger les utilisateurs vers des sites malveillants sans qu’ils s’en rendent compte. Cela se fait en manipulant les requêtes de résolution de noms de domaine, ce qui permet aux attaquants de rediriger les victimes vers des serveurs compromis . Les conséquences peuvent être graves : vol de données personnelles, compromission de la sécurité en ligne et atteinte à la confidentialité des utilisateurs. Dans cet article, nous allons explorer en détail ce qu’est le DNS spoofing, les différentes méthodes utilisées par les attaquants, les risques pour les entreprises et les particuliers, et surtout, les meilleures pratiques pour se protéger contre cette menace insidieuse.  Méthodes utilisées pour faire la compromission d'une infra avec DNSSPOOFING Pour comprendre comment le DNS spo...
Lire la suite

InverseHacker: Votre boîte à outils ultime pour les tests de pénétration

Image
Inversehacker Fatigué de passer des heures à chercher des vulnérabilités dans des applications web complexes, j'ai décidé de créer un outil qui simplifierait cette tâche. InverseHacker est né de cette frustration. En automatisant de nombreuses tâches récurrentes et en fournissant un environnement de travail intuitif, InverseHacker permet aux chercheurs en sécurité de gagner un temps précieux et de se concentrer sur les aspects les plus créatifs de leur travail. Grâce à InverseHacker, nous pouvons renforcer la sécurité numérique et protéger les entreprises contre les cyberattaques Un toolkit bugbounty concis pour le hackeur Le bug bounty est une pratique qui consiste à rémunérer des personnes pour la découverte et la divulgation de vulnérabilités de sécurité dans des logiciels ou des services. Le pentest, ou test d'intrusion, est une activité similaire qui consiste à tester la sécurité d'un système informatique ou d'un réseau. Pour mener à bien ces activités, les pentest...
Lire la suite