Un groupe de recherche international, réunissant des experts du Max Planck Institute et de l’Université de Technologie de Delft, a récemment révélé une méthode innovante pour détecter des systèmes compromis à l’échelle d’internet. Grâce à l’examen de clés SSH utilisées par des attaquants, l’équipe a réussi à identifier plus de 16 000 serveurs compromis. Cette avancée, présentée lors du USENIX Security Symposium 2025, souligne l’importance de la sécurité informatique et l’efficacité de la détection proactive des menaces.
Une équipe de recherche internationale a révélé une méthode innovante qui permet de détecter les serveurs compromises à l’échelle de l’internet. En se basant sur des clés SSH (Secure Shell) précédemment observées lors d’attaques, ce groupe a réussi à identifier plus de 16 000 serveurs compromis. Les résultats de cette étude, présentés lors du USENIX Security Symposium 2025, soulèvent des enjeux cruciaux pour la sécurité des systèmes informatiques.
La méthode de détection innovante
La recherche a été menée par une équipe du Max Planck Institute for Informatics et de l’Université de Technologie de Delft. Leur méthode permet de sonder des serveurs en utilisant des clés SSH publiques reliées à des opérations malveillantes. Ce processus a abouti à l’identification de machines compromises, indiquant que des attaquants avaient réussi à installer leurs propres clés pour obtenir un accès persistant.
Fonctionnement de la technique
La technique se fonde sur un aspect subtil du protocole d’authentification SSH. Lorsqu’un client propose une clé publique, le serveur ne renvoie un défi cryptographique que si cette clé figure sur sa liste de clés autorisées. Ainsi, en utilisant des clés publiques précédemment observées lors d’activités malveillantes, il est possible de détecter les machines où ces clés ont été intégrées, ce qui signale une compromission. » Cela signifie que les attaquants, qui installent leurs propres clés, permettent aux chercheurs de repérer leur infiltration sans avoir besoin de connaître les clés privées impliquées.
Résultats de l’étude
Les chercheurs ont scanné des plages d’adresses IPv4 et IPv6 avec 52 clés, en lien avec des acteurs malveillants comme « teamtnt » ou « mozi ». Au cours de cette étude, ils ont découvert plus de 16 000 machines compromises au sein de fournisseurs de services d’hébergement, d’entreprises et de réseaux académiques. Beaucoup de ces systèmes étaient liés à une infrastructure de logiciels malveillants connue.
Collaboration pour améliorer la sécurité internet
En plus de leurs découvertes, les chercheurs ont collaboré avec des organisations comme la Shadowserver Foundation, le BSI (Bureau Fédéral Allemand pour la Sécurité de l’Information) et le CERT-Bund, afin d’agir sur les résultats obtenus. Ces collaborations ont permis de partager les informations et de réduire le nombre de machines compromises, améliorant ainsi la sécurité pour tous.
Implications pour la défense internet
La méthode « Catch-22 » présente une implication significative pour la sécurité informatique, car elle démontre que des protocoles existants peuvent être utilisés de manière novatrice pour améliorer la défense en ligne. Cette approche transforme une stratégie persistante des attaquants en un signal fiable pour les défenseurs. En surveillant les réponses des serveurs à des clés d’attaquants connues, cette technique peut dévoiler des compromissions à grande échelle avec un nombre réduit de faux positifs.
Pérennité de la méthode
Le principal atout de cette méthode réside dans le fait que la gestion de milliers de clés uniques au sein de grandes botnets est difficilement réalisable pour les attaquants. En conséquence, même si les méthodes d’intrusion évoluent, la détection via les clés SSH publiques keep pourrait rester un outil précieux pour renforcer la sécurité sur internet.
Perspectives d’avenir
Alors que la cybercriminalité continue d’évoluer, de telles méthodes sont essentielles pour anticiper et combattre les menaces. Cette recherche incite à faire appel à des techniques adaptées de détection et à promouvoir une meilleure synchronisation entre organisations pour protéger les systèmes contre les intrusions malveillantes. Pour plus d’informations sur les défis de la cybersécurité et d’autres innovations, vous pouvez consulter des articles sur l’impact des cyberattaques sur les infrastructures critiques ou sur les évolutions technologiques en matière de sécurité, comme la manipulation des outils d’anti-censure.
Ces avancées représentent un pas en avant dans le domaine de la sécurité, mais nous invitent également à réfléchir aux actions à entreprendre pour préserver la sécurité des données à l’échelle mondiale. Par exemple, des discussions sur des sujets contemporains comme les cyberattaques massives sur des plateformes majeures mettent en lumière les interactions entre la technologie, la sécurité et l’utilisation responsable des outils numériques de demain.
Les développements dans le champs de l’informatique en cloud et le stockage sécurisé de données sont également déterminants pour optimiser la protection des systèmes. Dans le contexte actuel, il est impératif de rester vigilant et d’explorer continuellement les technologies émergentes pour contrer les menaces potentielles.
EN BREF
|
