Les applications Peer to Peer permettent de faciliter l'échange de fichiers entre particuliers. Ces applications sont nombreuses et diverses (eDonkey, Kazaa, etc.). Malheureusement, leur utilisation dans un réseau peut être source de problèmes de sécurité et consommer inutilement de la bande passante.
Les utilisateurs des applications Peer to Peer constituent des cibles idéales pour la propagation des virus. Les développements de ces applications sont récents ; ils n'ont pas subi d'audit sérieux. Le «pouvoir d'attraction» de l'échange de fichier est si grand que cet usage s'est répandu très rapidement. On obtient donc un coktail dangereux : des applications faibles déployées à très grande échelle sur l'Internet.
Les virus récents (postérieur à la série Gibe-? de Septembre 2003) ont commencé à utiliser systématiquement les outils Peer to Peer. Une fois de plus les utilisateurs ne sont absolument pas conscients de leur «participation» à la propagation de ces virus. Pourtant, si on s'intéresse un peu à la journalisation, les traces de propagation sont immédiatement observables. Voici un relevé sur une heure d'exploitation d'un routeur :
Security Violations =-=-=-=-=-=-=-=-=-= Feb 17 19:28:14 routeur 14623: Feb 17 20:28:13.155 GMT: %SEC-6-IPACCESSLOGP: list inbound denied tcp 68.170.38.226(1214) -> aaa.bbb.ccc.23(3127), 1 packet Feb 17 19:33:18 routeur 14625: Feb 17 20:33:17.880 GMT: %SEC-6-IPACCESSLOGP: list inbound denied tcp 68.170.38.226(1214) -> aaa.bbb.ccc.23(3127), 1 packet Feb 17 19:37:19 routeur 14627: Feb 17 20:37:18.056 GMT: %SEC-6-IPACCESSLOGP: list inbound denied tcp 210.1.13.35(1214) -> aaa.bbb.ddd.204(4899), 1 packet Feb 17 19:54:20 routeur 14628: Feb 17 20:54:19.200 GMT: %SEC-6-IPACCESSLOGP: list inbound denied tcp 200.89.144.81(4663) -> aaa.bbb.eee.65(3127), 1 packet Feb 17 19:57:25 routeur 14629: Feb 17 20:57:24.892 GMT: %SEC-6-IPACCESSLOGP: list inbound denied tcp 68.144.158.56(4662) -> aaa.bbb.ddd.201(3127), 1 packet Feb 17 20:00:19 routeur 14630: Feb 17 21:00:18.544 GMT: %SEC-6-IPACCESSLOGP: list inbound denied tcp 200.89.144.81(4663) -> aaa.bbb.eee.65(3127), 2 packets
La distinction entre la journalisation d'une utilisation
«usuelle» d'un outil Peer to Peer et la
journalisation de la propagation de virus est immédiate. Pour un
échange de fichiers on aurait observé plusieurs dizaines (voir
centaines) d'entrées dans le journal sur une heure. Dans le cas
présenté, on observe que les adresses IP sources changent pour
chaque entrée et que deux applications Peer
to Peer ont été utilisées : eDonkey2000 avec les numéros de ports 4662-4663
et kazaa avec
le numéro de port 1214
. Enfin, le
«clou du spectacle», le numéro de port destination 3127
correspond à la porte cachée du virus
W32/MyDoom/W32.Novarg.A.
On retrouve une des caractéristiques des flux réseaux Peer to Peer : il est techniquement difficile de limiter ces flux mais ils sont très faciles à observer et à repérer. Si vous aviez encore quelques illusions sur l'utilisation «anonyme» des outils Peer to Peer, il est grand temps de les perdre. Il est même probablement trop tard, vous êtes déjà repérés !
Sous linux, le projet P2PWall - IPTables blocking of P2P traffic donne des utilitaires et des documents permettant d'utiliser le firewall iptables pour filtrer le trafic d'application Peer to Peer.