Ces vers qui exploitent les mots de passes SMB faibles.

Depuis quelques temps, les worms exploitant les faiblesses des mots de passe SMB (protocole de partage de fichier Windows) se multiplient. En dix jours, au moins 3 vers ont vu le jour: Deloder, Randon et LovGate. Analyse de la situation...

Source : ECHU.ORG

1er constat: la taille du dictionnaire embarqué dans le code des vers:
86 pour Deloder, 16 pour LovGate, 11 pour Randon.

2eme constat: les PC autorisant les partages windows directement sur Internet sont encore (trop?) nombreux.

3e constat: les gens utilisent tjrs des mots de passe à la noix !

Ce petit cheminement, les auteurs de vers l'ont donc fait avant moi et ont un raisonnement simple: pourquoi faire compliqué (buffer overflow ou autre contournement) quand on peut faire simple (quelques net use) !!

Imaginons maintenant un ver plus puissant (intégrant un dico de quelques milliers d'occurences). Le taux de pénétration serait, je pense, dramatique.
De plus mon expérience dans l'audit sécurité m'a permis de vérifier mes propos.

Exemple: une grande société française utilisait un mot de passe admin du domaine NT de la forme "JORDAN23" (pas celui-là mais dans le même style). Ce genre de mot de passe se casse assez rapidement. Imaginez alors les mots de passe des utilisateurs du domaine !

Certains trouvent que les FW perso sont superflus. Je ne pense pas.
Quand on installe un windows en standard, les partages (administratifs) sont activés. Les désactiver correctement demande un minimun de maîtrise de Windows.
Un FW perso installé à la volée juste après Windows est une garantie face à ce genre d'intrusions.

Je vous renvoie egalement à de bons papiers sur le sujet:
Passwords, the weakest link
recent worms punish bad passwords

Finalement et encore une fois, c'est le facteur humain qui est à l'origine de tous nos problèmes :-)

Liens :

¤ Comment créer un mot de passe efficace.
¤ Guide de ZA, un excellent firewall

Outils :

¤ Générateur de mot de passe en ligne
¤ Antivirus gratuit en ligne
Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
Soyez le premier à commenter
    Votre commentaire