IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les Anonymous développent une nouvelle cyber-arme dévastatrice, #RefRef devrait succéder à LOIC


Sujet :

Sécurité

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    Juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : Juin 2010
    Messages : 1 374
    Points : 68 548
    Points
    68 548
    Par défaut Les Anonymous développent une nouvelle cyber-arme dévastatrice, #RefRef devrait succéder à LOIC
    Les Anonymous développent une nouvelle cyber-arme dévastatrice
    #RefRef devrait succéder à LOIC



    Des membres de la communauté Internet Anonymous développent un nouvel outil « dévastateur » de cyber attaque, en succession de LOIC (Low Orbit Ion Cannon), l'utilitaire DDoS populaire.

    La première motivation derrière cette démarche est la vague d'arrestation s'étant récemment abattue sur les utilisateurs de LOIC en Turquie, Espagne et Angleterre, car par défaut, cet outil n'offre pas des mécanismes permettant de cacher l'identité de ses utilisateurs.

    Son successeur, donc, baptisé RefRef utilise une nouvelle approche pour mettre à mal les serveurs qui propulsent les sites Web.
    Plutôt que de tenter de noyer les cibles de paquets TCP et UDP comme le fait si bien LOIC, RefRef utilisera une méthode plus sophistiquée qui agit sur les applications Web plutôt que sur le trafic réseau, explique un billet d'un blog affilié aux Anonymous.

    RefRef, écrits en JavaScript, exploitera les vulnérabilités SQL pour retourner les capacités de calcul du serveur contre lui même jusqu'à le faire succomber par épuisement des ressources, comme une énorme bête qui s’étouffe avec une petite carotte, image un Anonymous dans une déclaration au Tech Herald.

    Ces techniques et les failles dont elles tirent profit existent depuis belle lurette, mais les cyberactivistes ont traditionnellement préféré la force brute des attaques DDoS générés par des bots ou par LOIC.

    Bien que la dangerosité du concept ne soit pas évidente à cerner, car chaque application Web a ses spécificités, les Anonymous s'enorgueillit d'avoir pu rendre indisponible le service Pastebin en 42 minutes seulement.

    En attendant que RefRef soit lancé en septembre et que des analyses poussées de ses entrailles nous renseignent sur son fonctionnement, les responsables en sécurité des sites Web n'ont qu'à bien se préparer à une rentrée sociale agitée cette année.



    Source : blog affilié aux anonymous, Tech Herald

    Et vous ?

    Qu'en pensez-vous de cette nouvelle ?
    Pensez-vous qu'un outil écrit en JavaScript et exploitant les vulnérabilités SQL peut être aussi dévastateur que ce que tentent de nous le faire croire ses concepteurs ?

  2. #2
    Membre du Club Avatar de fifi_dz
    Inscrit en
    Janvier 2011
    Messages
    54
    Détails du profil
    Informations forums :
    Inscription : Janvier 2011
    Messages : 54
    Points : 69
    Points
    69
    Par défaut pas mal
    pas mal pas mal

  3. #3
    Membre habitué
    Profil pro
    Inscrit en
    Octobre 2010
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2010
    Messages : 41
    Points : 134
    Points
    134
    Par défaut
    Il s'agit toujours de DDoS, mais DDoS intelligent.

    Il utilisera le proxy configuré dans le navigateur, et on pourra bruteforce des urls impliquant beaucoup de travail au serveur j'imagine.

    Celà-dit je trouve ça idiot, et petit.

    Mais surtout petit, parceque le bruteforce c'est l'attaque du noob.
    Aucune compétence requise, juste un peu de puissance de calcul. :/

    Ce genre d'attaque aide les états à se tourner vers les FAI, et le deep packet inspection.
    Donc en plus d'être idiot parce que même ma petite soeur saurait faire tourner ces trucs, c'est complètement débile comme de scier la branche sur laquelle on est assis...

  4. #4
    Membre éclairé Avatar de Lorantus
    Homme Profil pro
    Consultant développeur indépendant / Java/VB/C(++)/ObjectPal
    Inscrit en
    Août 2007
    Messages
    599
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 52
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Consultant développeur indépendant / Java/VB/C(++)/ObjectPal

    Informations forums :
    Inscription : Août 2007
    Messages : 599
    Points : 882
    Points
    882
    Par défaut
    DDoS: Arme nucléaire.
    Combien de choses ne sont pas développés en considérant le DDoS ?
    Combien le sont en pensant... "c'est possible d'avoir aucune ressources"... "que faire alors ?"
    L'Humain pense comme ses peids... comme ses poubelles... comme sa voiture... Il pense que c'est tellement grand, qu'il y en a toujours. Il pense que c'est inépuisable.
    "T'as mal aux doigts.. non... ben continues à taper... je préfére rigoler en entendant ta douleur !"

  5. #5
    Membre averti
    Profil pro
    Inscrit en
    Mai 2006
    Messages
    290
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2006
    Messages : 290
    Points : 426
    Points
    426
    Par défaut
    Citation Envoyé par Ev3r10st Voir le message
    Mais surtout petit, parceque le bruteforce c'est l'attaque du noob.
    C'est un peu le principe des attaques Anonymous, non ? Ils sortent un soft facile d'accès pour que le plus grand nombre puisse s'amuser à participer au DDoS.

    Le côté un peu négatif, c'est que les n00bs se font coffrer par manque de sécurisation .

  6. #6
    Expert éminent
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    Février 2005
    Messages
    3 487
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : Février 2005
    Messages : 3 487
    Points : 6 030
    Points
    6 030
    Par défaut
    Oui mais pourquoi ? Qui sera la cible. Est-ce que leurs revendications est-elle justifiées ?
    Vais-je saccager Renault parce qu'ils fabriquent des voitures aux qualité douteuse ? Non je vais voir ailleurs (Si l'herbe est plus verte)
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  7. #7
    Membre émérite
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Points : 2 284
    Points
    2 284
    Par défaut
    Citation Envoyé par Ev3r10st Voir le message
    Il s'agit toujours de DDoS, mais DDoS intelligent.

    Il utilisera le proxy configuré dans le navigateur, et on pourra bruteforce des urls impliquant beaucoup de travail au serveur j'imagine.

    Celà-dit je trouve ça idiot, et petit.

    Mais surtout petit, parceque le bruteforce c'est l'attaque du noob.
    Aucune compétence requise, juste un peu de puissance de calcul. :/

    Ce genre d'attaque aide les états à se tourner vers les FAI, et le deep packet inspection.
    Donc en plus d'être idiot parce que même ma petite soeur saurait faire tourner ces trucs, c'est complètement débile comme de scier la branche sur laquelle on est assis...
    Oui, ben le pire dans cette histoire, c'est que ces personnes qui se revendiquent citoyenne, dans la mesure où ils se battent pour défendre nos libertés informatiques, vont nous pondre un bel outil que bien des pirates** vont utiliser pour prendre en otage des applications lambda.

    Peut être même verra t'on bientôt l'arroseur arrosé, et que ce sont les sites d'anon qui seront pris en hotage par ce même outil..

    Moi je dis, qu'il faut retourner faire des applications desktop, d'ici peu de temps, ce sera moins compliqué, moins dangereux et plus fun ...

    @berceker, les gens trouvent toujours des raisons de faire des trucs douteux.
    Surtout en ce moment, où la fin justifie toujours les moyens, malgré les connaissances acquises.

    a+

    ** Le termes désigne ici toute personne qui réalise du hacking pour monétisé son action, quelque soit son niveau

  8. #8
    Membre averti
    Profil pro
    Inscrit en
    Mai 2006
    Messages
    290
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2006
    Messages : 290
    Points : 426
    Points
    426
    Par défaut
    Citation Envoyé par kaymak Voir le message
    Moi je dis, qu'il faut retourner faire des applications desktop, d'ici peu de temps, ce sera moins compliqué, moins dangereux et plus fun ...
    +1

  9. #9
    Membre régulier
    Inscrit en
    Juin 2009
    Messages
    114
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 114
    Points : 94
    Points
    94
    Par défaut
    “Anonymous is not a single person, but rather, represents the collective whole of 4chan. He is a god amongst men.”

    http://spectrum.ieee.org/tech-talk/t...nymous-hackers

    à l'heure de stuxnet ... est-ce que se sont eux les plus dangereux ?

    par contre je rejoins l'avis de Ev3r10st

  10. #10
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    Août 2010
    Messages
    86
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : Service public

    Informations forums :
    Inscription : Août 2010
    Messages : 86
    Points : 84
    Points
    84
    Par défaut
    Moi ce que j'ai du mal à comprendre, c'est comment leur fameux "LOIC" ne spoofait pas l'IP des attaquants...

  11. #11
    Membre régulier
    Inscrit en
    Avril 2011
    Messages
    56
    Détails du profil
    Informations forums :
    Inscription : Avril 2011
    Messages : 56
    Points : 118
    Points
    118
    Par défaut
    Moi je dis, qu'il faut retourner faire des applications desktop, d'ici peu de temps, ce sera moins compliqué, moins dangereux et plus fun ...
    Ben ca reviendrais au meme, niveau ddos. Il faudra quand eme un serveur pour l'appli desktop.

  12. #12
    Membre émérite
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Points : 2 284
    Points
    2 284
    Par défaut
    Citation Envoyé par sshpcl2 Voir le message
    “Anonymous is not a single person, but rather, represents the collective whole of 4chan. He is a god amongst men.”

    http://spectrum.ieee.org/tech-talk/t...nymous-hackers

    à l'heure de stuxnet ... est-ce que se sont eux les plus dangereux ?
    J'ai envi de dire un truc un peu con : ça dépend !

    Pour les agences gouvernementales et ceux qui ont les moyens d'avoir des ips/ids, des spécialistes de la sécurité, ils trouveront des parades à toutes ces conneries.
    Je considère que les attaques dont on entend parler dernièrement sont le fruit de décennies de laisser-aller de la part des décisionnaires.

    Pour le gars comme moi, qui n'à pas énormément de moyens, mais qui veut se lancer sur internet pour faire du commerce, toute cette merde lui sera catastrophique.... A moins d'engraisser des gros comme google / amazon / ebay etc etc
    Mais bon si c'est cela l'internet de demain, je m'en retournes acheter un minitel

    a+

    edit en me relisant, j'ai pensé ceci "la sécurité est un droit, pas un devoir" !== hadopi qui voudrait nous faire avaler le contraire..

  13. #13
    Modérateur

    Avatar de kOrt3x
    Homme Profil pro
    Technicien Informatique/Webmaster
    Inscrit en
    Septembre 2006
    Messages
    3 650
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Technicien Informatique/Webmaster
    Secteur : Santé

    Informations forums :
    Inscription : Septembre 2006
    Messages : 3 650
    Points : 15 771
    Points
    15 771
    Par défaut
    Ils ont trop regardé Die Hard 4...
    La rubrique Mac
    Les cours & tutoriels Mac
    Critiques de Livres Mac & iOS
    FAQ Mac & iOS

    ________________________________________________________________________
    QuickEvent : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore)
    Mon Livre sur AppleScript : AppleScript: L'essentiel du langage et de ses applications

  14. #14
    Expert éminent
    Avatar de kdmbella
    Homme Profil pro
    Développeur Web
    Inscrit en
    Août 2010
    Messages
    799
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Août 2010
    Messages : 799
    Points : 7 039
    Points
    7 039
    Par défaut
    moi j'attends avant de voir de quoi sera réellement capable ce qu'il déclare vouloir développez c'est très facile de construire des grattes ciels avec les paroles
    "L'humanité se divise en trois catégories : ceux qui ne peuvent pas bouger, ceux qui peuvent bouger, et ceux qui bougent."
    - Benjamin Franklin

    De l'aide en Javascript , consultez la FAQ JS.

    De l'aide sur le FrameWork JS DHTMLX : posez vos questions sur le forum des Bibliothèques & Frameworks JS.

  15. #15
    Membre extrêmement actif
    Homme Profil pro
    Graphic Programmer
    Inscrit en
    Mars 2006
    Messages
    1 537
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Graphic Programmer
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2006
    Messages : 1 537
    Points : 3 909
    Points
    3 909
    Par défaut
    c'est marrant les annonce de ce style.

    "je prévoi de faire un super truc qui fera ça et ça".

    ils recherchent des sponsors ou un appel à don ?

    les gros nazes.......

  16. #16
    Membre habitué
    Inscrit en
    Mai 2004
    Messages
    129
    Détails du profil
    Informations forums :
    Inscription : Mai 2004
    Messages : 129
    Points : 127
    Points
    127
    Par défaut
    Je ne les sous estimerais pas car il sont passionnés. Ils ne se refuse aucune limite. Dernièrement, ils se disaient choqués de voir le manque de sécurité sur les sites web(et que me laisse penser que leur nouvel outil vient de la). Vous croyez peut etre qu'ils sont à l'extreme mais je pense que ca pourrait etre largement pire... Ils montrent avant tout les failles des systèmes et si ca nous amène à avoir des sites plus sûrs, alors je vote pour leur attaque...

    Quant aux applis desktop, ca pourrait etre pire, ce serait plus fun pour eux... Imaginez votre systeme vulnerable, ils auront acces a votre machine a votre insu...

  17. #17
    Nouveau Candidat au Club
    Inscrit en
    Août 2011
    Messages
    1
    Détails du profil
    Informations forums :
    Inscription : Août 2011
    Messages : 1
    Points : 1
    Points
    1
    Par défaut
    Ces types sont des rigolo. Avec leur mise en scéne a deux franc leur masque et même sur arte il ce ridiculise. Des ''pirates'' ? Non ce sont des pti lamz perdu qui utilise le DDoS pour faire trembler le monde. Aucune technique aucune recherche et des ados de 15ans qui ce font arréter appartenant aux anonymous. Ce sont que des passionné du mail bombing et autre connerie qui utilise des logiciel de script kiddie sans meme savoir ce qu'est un proxy bref des boulet. Dsl sa m'énerve quand je vois que de vrai hacker font des vrai choses et que les media prefere parler de boulet pareille sa me rend hor de moi.

  18. #18
    Membre régulier
    Homme Profil pro
    Étudiant
    Inscrit en
    Juin 2010
    Messages
    68
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juin 2010
    Messages : 68
    Points : 98
    Points
    98
    Par défaut
    Effectivement, LOIC c'est vraiment une daube. Il est vraiment pas performant du tout, ne permet rien de special, et ne permet même pas la modification de l'IP source ... Une appli de rigolo développée en quelques heures.

    Même l'interface est nulle : elle est en absolu, suffit de resizer un peu plus petit pour voir disparaitre une partie des contrôles ...

    Sinon, non, Anonymous, heureusement c'est pas que du DDoS. Et ce n'est pas qe 4chan non plus Anonymous.

  19. #19
    Membre émérite
    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Janvier 2007
    Messages : 1 448
    Points : 2 284
    Points
    2 284
    Par défaut
    Citation Envoyé par bigouzou Voir le message
    Ces types sont des rigolo. Avec leur mise en scéne a deux franc leur masque et même sur arte il ce ridiculise. Des ''pirates'' ? Non ce sont des pti lamz perdu qui utilise le DDoS pour faire trembler le monde. Aucune technique aucune recherche et des ados de 15ans qui ce font arréter appartenant aux anonymous. Ce sont que des passionné du mail bombing et autre connerie qui utilise des logiciel de script kiddie sans meme savoir ce qu'est un proxy bref des boulet. Dsl sa m'énerve quand je vois que de vrai hacker font des vrai choses et que les media prefere parler de boulet pareille sa me rend hor de moi.
    En même temps, les vrais hackers, comme tu dis, leur premier objectif est la discrétion

    Et en attendant, ces boulets, sans chercher à les défendre, font trembler le monde avec des attaques d'un faible intérêt technologique.
    Si tu ne trouves pas cela [que des grands groupes financiers soient à la merci de la première attaque venu qui à plus de 20 ans d'existence] plus choquant que cette bande de zoulous du net...

    a+

  20. #20
    Nouveau membre du Club
    Inscrit en
    Janvier 2011
    Messages
    35
    Détails du profil
    Informations forums :
    Inscription : Janvier 2011
    Messages : 35
    Points : 26
    Points
    26
    Par défaut
    c'est plutot intelligent, un ping, tu peux le bloquer facilement si ça devient génant

    uns requete normale sur le port 80... si tu la bloque ben autant fermer ton site

    par contre je suis assez intrigué par le fait qu'ils utilisent javascript je ne pensais pas que ça pourrait etre un langage valide pour ce genre d'utilisation

Discussions similaires

  1. Réponses: 0
    Dernier message: 05/08/2011, 01h36
  2. Insertion des colonnes d'une table dans les lignes d'une nouvelle
    Par atlain75 dans le forum Développement de jobs
    Réponses: 4
    Dernier message: 18/02/2010, 12h04
  3. Les caractéristiques d'une nouvelle machine Power 520
    Par BelieveInNothing dans le forum AS/400
    Réponses: 14
    Dernier message: 10/04/2009, 18h01
  4. Bloquer les liens ou les ouvrir dans une nouvelle fenêtre
    Par Invité2 dans le forum Outlook Express / Windows Mail
    Réponses: 0
    Dernier message: 01/01/2009, 19h33
  5. Réponses: 2
    Dernier message: 18/09/2008, 19h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo