Publié par Guillaume Champeau, le Lundi 21 Mai 2012

Un protocole BitTorrent serait attaqué

Selon un rapport d'une agence polonaise de sécurité informatique, le protocole uTP mis en oeuvre dans µTorrent pour accélérer les échanges de fichiers sur BitTorrent serait exploité par des hackers pour saboter certains échanges de fichiers.

S'attaquer aux protocoles d'échange de fichiers n'est pas une approche nouvelle dans la lutte contre le piratage. Déjà au temps où eDonkey (l'ancêtre d'eMule) était à son apogée, des firmes s'étaient spécialisées dans la diffusion des leurres et dans l'injection de faux paquets de données, qui avaient obligé les concepteurs à améliorer les applications P2P pour ajouter des contrôles de conformité. Les techniques mises en œuvre visaient soient à décourager les internautes en leur faisant télécharger autre chose que les fichiers qu'ils pensaient recevoir (ce qui n'est plus possible lorsque l'on a recours à des sites de liens plutôt qu'au moteur de recherche interne du client P2P), soit à saboter les échanges pour les ralentir ou les corrompre.

C'est cette deuxième approche qui aurait été choisie par des firmes anti-piratage contre BitTorrent, si l'on en croit un rapport de l'Equipe de Réponse Informatique d'Urgence (CERT) de Pologne, relayé par TorrentFreak. Les chercheurs du CERT ont en effet constaté une charge anormale de trafic provenant de Russie, du Canada, de Chine, d'Australie et des USA, et découvert qu'elle correspondait à des tentatives d'attaque du protocole uTP mis en place sur BitTorrent pour fluidifier les échanges.

"Ces sources d'attaque envoient des paquets de données qui semblent légitimes, mais les adresses IP qu'ils envoient sont faussées", explique TorrentFreak.

Sur BitTorrent, les utilisateurs qui partagent un fichier et ceux qui veulent le télécharger sont réunis dans un même "essaim", appelé swarm. Or tout en se faisant passer pour de vrais utilisateurs, les robots des hackers inonderaient certains swarms pour renvoyer des messages d'erreur lors des tentatives de téléchargement, ou pour envoyer de faux morceaux de fichiers aux internautes qui cherchent à télécharger le fichier voulu.

"Les chercheurs en sécurité, qui disent que ces attaques d'empoisonnement ont lieu à une grande échelle, font observer qu'elles visent des swarms BitTorrent spécifiques qui partagent des films russes", relate TorrentFreak. L'un des sociétés connue pour pratique ce type d'attaques, Pirate Pay, est financée par Microsoft.

Publié par Guillaume Champeau, le 21 Mai 2012 à 14h49
 
16
Commentaires à propos de «Un protocole BitTorrent serait attaqué»
Inscrit le 05/04/2011
1613 messages publiés
gageons que le protocole sera rapidement renforcé pour éviter que le problème ne persiste.
Inscrit le 04/11/2010
113 messages publiés
c'est gentil ça aide à améliorer le protocole
Inscrit le 19/05/2011
1298 messages publiés
Empecher le service d'un site web, quel qu'il soit, ca reste une attaque par deni de service distribué.
C'est 5 ans de taule en france.
Inscrit le 14/05/2010
97 messages publiés
On devrait faire un client bitorrent qui "attaque" les adresses identifiées comme saboteurs.
Inscrit le 19/05/2011
1298 messages publiés
yvesgomez, le 21/05/2012 - 15:29
On devrait faire un client bitorrent qui "attaque" les adresses identifiées comme saboteurs.


Y'a Peerblock
Inscrit le 10/11/2008
3996 messages publiés
On devrait faire un client bitorrent qui "attaque" les adresses identifiées comme saboteurs.


plus simple et peut être mise en application tout de suite (des volontaires pour le tester) coupler le client bitorrent a un soft comme fail2ban.
Inscrit le 04/09/2002
2798 messages publiés
des hackers à la solde des ayants droits, je n'appelle pas trop ça des hackers...
Inscrit le 24/04/2012
198 messages publiés
Mehmnoch, le 21/05/2012 - 15:28
Empecher le service d'un site web, quel qu'il soit, ca reste une attaque par deni de service distribué.
C'est 5 ans de taule en france.


Le comble : Les ayant-droits qui pratiquent de ddos, on aura tout vu !!!

Vivement la mort de cette industrie pudibonde et malhonnête...
Inscrit le 04/11/2010
113 messages publiés
tschaggatta, le 21/05/2012 - 15:55


Le comble : Les ayant-droits qui pratiquent de ddos, on aura tout vu !!!

Vivement la mort de cette industrie pudibonde et malhonnête...


c'est pour bientôt maintenant que Hollande a été élu, il va faire le ménage là dedans. Ils vont voir ce qu'ils vont voir !
Inscrit le 07/10/2011
1972 messages publiés
Qu'en pensent les pointures les plus ultrapointues de chez les Anonymous...?
Inscrit le 21/05/2012
8 messages publiés
J'ai lu ce matin via hackers news le détail du rapport de sécurité du CERT (qui relève une "anomalie" et de nombreux indices donnant à penser que les paquets "anormaux" pourraient constituer une tentative de poisonning, mais sans être catégorique. Le rapport propose plusieurs hypothèses pour expliquer le phénomène observé, bien que celle de l'attaque semble la plus probable ) J'avoue que j'ai aussitôt pensé à Pirate Pay (pas mal relayé par les news la semaine dernière). Mais attention, pas de saut hâtif aux conclusions sans confirmation explicite par la source d'origine.
La version de TorrentFreaks est plus affirmative que le rapport sur lequel elle se base, mais conserve toutefois quelques tournures prudentes/hypothétiques. Ici on nous dit carrément "c'est une attaque". Bien qu'il y ait un fort faisceau de présomptions, je pense tout de même qu'il faudrait éviter cet effet de "téléphone arabe", dans un souci d'intégrité journalistique. (à moins bien sûr que des informations plus complètes que le rapport du CERT soient tombées depuis, auquel cas une source serait appréciable).

Note pour ceux qui proposent le blacklist des adresses comme solution: les adresses des paquets, semble-t-il générés par un programme, comportent des adresses de peers valides de l'essaim. (le CERT a détecté des paquets provenant en apparence de leurs machines honeypots dans le trafic capté) Les paquets contiennent en outre des éléments qui violent le protocole. On peut supposer que l'objectif, s'il y en a un, en plus de spammer le réseau, est justement de faire blacklister les peers valides en envoyant des "anomalies" depuis leurs adresses, provoquant ainsi la coupure des connexions entre peers.
Si des attaques de masse basées sur une version raffinée d'un tel effet voient le jour, elles seront très difficiles à contrer car elles exploitent la confiance entre peers qui est le coeur des échange peers to peers. Il faudra trouver des méthodes pour rester peer "anonyme", sans pour autant pouvoir se faire usurper son identité :/

Note HS: si des "industriels de la culture" venaient à employer ce type de méthodes basées sur de l'usurpation d'identité, ce seraient assez amusant, puisque ces mêmes personnes prônent la fiabilité de l'ip pour "flasher" les téléchargeurs...
Inscrit le 20/08/2008
449 messages publiés
Waoww !!! Le raccourçis tapageur, et il y a le lien sur le rapport du CERT en plus.....

Si je lis bien au chapitre 5 :
5. Hypothesis
Our analysis of traffic forming the anomaly in our honeynet didn't clearly determined it's source and purpose. However we were able to formulate several hypothesis regarding this traffic.
et la suite....

Donc, c'est une des hypothèses...

Après le forum merdibug, les mi-articles à la fausse accroche.
Le numèrique s'enfonce dans le merdique c'est formidable ma p'tite dame
Inscrit le 21/02/2006
4275 messages publiés
Mehmnoch, le 21/05/2012 - 15:28
Empecher le service d'un site web, quel qu'il soit, ca reste une attaque par deni de service distribué.
C'est 5 ans de taule en france.



Sauf qu'en france les société de ce genre peuvent travailler vue que les état son a la mains des ayant droits


Puis bon les Ddos sur les pirate bay et compagnie c'est aussi eux et ils le font sans que le gouvernement trouve a y redire
Inscrit le 21/05/2012
8 messages publiés
Encore une note pour être constructif et ne pas être accusé de troller l'auteur de l'article (je ne fait aucun procès d'intention):

Les phrases qui me dérangent sont celles-ci:

"Selon un rapport d'une agence polonaise de sécurité informatique, le protocole uTP mis en oeuvre dans µTorrent pour accélérer les échanges de fichiers sur BitTorrent serait exploité par des hackers pour saboter certains échanges de fichiers." -> selon le rapport, le protocole "pourrait être exploité" (parmi d'autres hypothèses)

"Les chercheurs du CERT ont en effet constaté une charge anormale de trafic provenant de Russie, du Canada, de Chine, d'Australie et des USA, et découvert qu'elle correspondait à des tentatives d'attaque du protocole uTP" -> "qu'elle pourrait correspondre à des tentatives d'attaques", le rapport n'est pas affirmatif.

"L'un des sociétés connue pour pratique ce type d'attaques, Pirate Pay, est financée par Microsoft." -> "l'une des sociétés" (remarque orthographique de niveau 0 ' ). Sans être fausse, la phrase peut laisser penser que Pirate Pay est intégralement et activement financée par Microsoft depuis ses débuts. Dans les faits il me semble qu'elle a été dotée récemment de 100000$ par un fond d'investissement Microsoft. D'accord, là je pinaille, mais c'est parce qu'il me semble que l'énonciation du fait brut a un sens légèrement différent.

(note HS: quelques fautes d'orthographe dans mon commentaire précédent, je le sais, mais je n'ai pas trouvé de commande "édit". Ceci précisé pour éviter d'éventuels "troll comments" là-dessus ' )
Inscrit le 12/11/2009
138 messages publiés
En même temps c'est un des gros reproche qui avait été fait au uTP lors de l'implémentation dans uTorrent:

Torrent's switch to UDP and why the sky isn't falling: http://arstechnica.c...y-isnt-falling/

Le ciel n'est peut être pas tombe mais c'est pas surprenant.
Inscrit le 17/05/2008
1338 messages publiés
FennNaten, le 21/05/2012 - 17:29


Note pour ceux qui proposent le blacklist des adresses comme solution: les adresses des paquets, semble-t-il générés par un programme, comportent des adresses de peers valides de l'essaim. (le CERT a détecté des paquets provenant en apparence de leurs machines honeypots dans le trafic capté) Les paquets contiennent en outre des éléments qui violent le protocole. On peut supposer que l'objectif, s'il y en a un, en plus de spammer le réseau, est justement de faire blacklister les peers valides en envoyant des "anomalies" depuis leurs adresses, provoquant ainsi la coupure des connexions entre peers.


Je ne comprends pas très bien: Il semble donc y avoir sous l'hypothèse considérée) des peers empoisonnés, qui essaient d'infecter le réseau en envoyant des données falsifiées, mêlant peers honorables et informations perverties chargées de compromettre ces peers. C'est ça ?

Je ne vois pas alors ce qui te fait rejetter la solution consistant à bloquer les IP transmetteuses de données falsifiées. Je ne vois pas en quoi non plus ce blocage blacklisterait les peers honorables, puisque ce n'est pas leur IP qui aurait vocation à être filtrée, mais l'IP des vilains qui envoient des IP de peers honorables mêlées à des données empoisonnées.




Si des attaques de masse basées sur une version raffinée d'un tel effet voient le jour, elles seront très difficiles à contrer car elles exploitent la confiance entre peers qui est le coeur des échange peers to peers.

En l'ocurrence, il me semble que ces attaques exploiteraient non pas la confiance, mais plutôt la naïveté. La confiance, c'est quelque chose qui n'est pas acquis d'emblée, c'est quelle chose qui se construit, au fil des échanges.

Je ne sais plus comment fonctionne le protocole bitorrrent à ce niveau, mais avec ed2k/kad, les peers possèdent chacun un identifiant (en principe unique), et c'est ce qui permet d'accumuler des crédits. Ces crédit sont un peu une sorte de capital de confiance qui se stocke au fil des échanges. Il existe au gré des mods des tas de formules de calcul et maj du crédit, et on peut faire en sorte que lorsque A rencontre sur le réseau un peer B ayant beaucoup de crédits chez A, cela signifie grosso modo que B a envoyé par le passé beaucoup de données valides à A.

Dans un système de ce type, les peers malhonnêtes (envoyant des données falsifiées) peuvent foutre le souk au début, dans les échanges entre peers qui ne se sont pas encore construit un "réseau de crédibilité" suffisamment riche, mais ces peers malveillants finissent par être détectés, et IPfiltrés ou bannis (je pense par exemple à des systemes tels que le "Dynamic Leecher Protection" qui equipent les mods Xtreme, ephisto et ScarAngel).



Il faudra trouver des méthodes pour rester peer "anonyme", sans pour autant pouvoir se faire usurper son identité :/


Bon, il est question ici d'une hypothétique attaque sur Bittorrent, qui n'est pas un protocole anonyme. Mais pour les raisons que tu évoques, un protocole anonyme a une vocation particulière à être sensible à ce genre d'attaque.
Je pense juste à un truc: Il existe des protocoles "anonymes" (Ants, Mute) qui, pour découvrir le chemin le plus rapide entre un peer et son correspondant dont le peer ne connait pas l'IP (puisque c'est anonyme) utilisent "l'algo des fourmis". Plutôt que de mettre dans le critère la seule variable de temps, pourquoi ne pas y inclure aussi la "confiance" que j'ai évoquée plus haut (ou plutôt l'inverse de la confiance, qu'il faudrait minimiser) ? Ainsi, on peut espérer qu'au boout "d'un certain temps" d'échange (sachant bien sûr qu'il faut toujours être très patient avec ces trucs anonymisants), les chemins contenants des noeuds à problèmes seraient évités.


A part ça, la la pollution des réseaux par des données trafiquées, je m'étonne qu'on n'en parle si peu, car c'est vraiment un problème (bien plus grave que de gêner certains téléchargeurs dans leurs échanges). Certains fichiers audio ou musicaux cachent des mmalwares qui semment leur zone dans votre machine et la transforment en zombie, d'autres sont des fakes honteux: un gamin de 5 ans chanchant tout innocemment à télécharger un clip de Chantal Goya Feat Dorothée peut se retrouver avec une video présentant sous toutes ses facettes un bon gros gang bang des familles. Et encore, ce n'est pas la cas le plus crade (et il arrive même que "le plus crade" s'avère avoir été expédié par une IP à l'identité stupéfiante).

Si ce genre de pollution fait partie de la lutte contre les échanges P2P (et elle n'est pas l'oeuvre en tout cas de gens qui cherchent à faciliter ces échanges), il faut en conclure que cette lutte est de nature à nuire gravement aux enfants.
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Mai 2012
 
Lu Ma Me Je Ve Sa Di
30 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 1 2 3
4 5 6 7 8 9 10