L'Internet Storm Center

Publié le mercredi 23 novembre 2016

 

Niveau d'alerte de sécurité

Sur la page de sécurité TI des Technologies de l’information, un outil permet de connaître, le niveau mondial de sécurité de l’Internet. Cet outil, « Internet Storm Center », a été mis en place par SANS, reconnu internationalement en matière de cybersécurité. L’outil fournit un service d’analyse et d’alerte pour minimiser globalement les incidents de sécurité avec l’aide de censeurs localisés dans plus de 50 pays. Ce qui est intéressant, c’est que le centre s’appuie sur la connaissance des spécialistes en sécurité à travers le monde et tous sont des bénévoles qui détectent les menaces, les analysent et fournissent  des informations au public. Ces bénévoles que l’on appelle « handlers », changent à travers le temps. Des informations sur ces gens sont disponibles sur la page d’ISC handlers.

« Internet Storm Center » ou la rubrique Infocon apparaît typiquement en vert, ce qui signifie qu’il n’y a aucune alerte significative et que l’internet fonctionne normalement. Selon les activités qui sont dépistées, les couleurs peuvent également alterner entre jaune, orange et rouge. Pour les différents niveaux de statut, il y a des critères. Il faut 6 points ou plus pour changer du vert au jaune, et 10 points et plus pour changer à l’orange. Jaune signifie qu’une nouvelle menace est en train d’être repérée. Un exemple est l’événement « zero-day vulnerabilities en Flash » de 2015. Lors de cet événement, si une interruption majeure en connectivité était survenue ou était en cours, le statut aurait été changé à l’orange. Lorsque la turbulence au niveau du SQL Slammer a été identifiée à ses débuts, le statut a été changé en orange. Si à ce moment, il y avait eu une perte de connexion d’une grande portion de l’internet, le statut serait changé à rouge. Finalement, lorsqu’un test doit être fait, le statut est exceptionnellement changé en bleu. La notion de changement de trafic malveillant et de perturbation potentielle de connectivité est au cœur de l’Infocon.

Dans l’arrière-scène, il est possible d’en savoir davantage. Un autre groupe de bénévoles tient à jour les résumés quotidiens sur la sécurité des réseaux et des nouvelles sur les systèmes alimentant « Internet Storm Center ». En fait, vous pouvez aller jusqu'en mai 2003 ! Une variété de sources d'information est à votre disposition. La page Thread Feeds Activity affiche les menaces classées en bot, logiciels malveillants, scanners de ports et autres. Une autre page pour HTTP Header Activity affiche les en-têtes qui ont été actifs au cours du dernier mois, classés par popularité : type de contenu, date, service, connexion, création de cookie, contrôle de mise en cache, etc. La carte de menace « Threat Feed Map », cependant, est d'intérêt plus général. Il affiche une carte du monde, en utilisant les couleurs qui montrent l'intensité des menaces. En cliquant sur les menaces énumérées sous la carte, vous pouvez voir où l'activité malveillante a été dépistée. Si vous bougez votre curseur de souris sur un pays, il affichera combien d'ordinateurs hôtes ont été ciblés au cours du dernier mois.

Haut de page