HomeConnections Suspectes

Connections Suspectes

Le quotidien de tout réseau exposé au public, c’est de recevoir des connections suspectes. Elles peuvent inclure des scans, des tentatives de pénétration, de recherches de vulnérabilités…

Les connections venant depuis certains réseaux sont plus inquiétantes que d’autres. Les autorités européennes et américaines, par le biais d’agences de sécurité, donnent régulièrement des adresses IPs utilisées par des réseaux criminels. Ces réseaux lancent régulièrement des campagnes où ils utilisent les dernières vulnérabilités pour compromettre des systèmes.

Chez FIAHOST, nous scannons plusieurs fois par jour les logs de tous nos serveurs et sites clients contre les dernières IPs fournies par les autorités de surveillance. Ceci nous permet de savoir très en amont si nos machines sont visées par ce type de réseaux.

Voici une alerte reçue il y a quelques jours :

Que nous dit cette alerte ?

L’adresse IP: 104.244.74.[253] cherche à se connecter à 2 serveurs. Ces deux machines sont indépendantes et situées dans 2 data centers différents.

D’où vient l’information que cette IP est dangereuse. Regardons dans le fichier STIX qui définit ce genre d’indicateurs :

L’information vient du NCCIC : National Cybersecurity and Communications Integration Center. C’est un département du DHS américain et travaille avec la NSA, le FBI, le Département de la Défense US (DoD)… etc. 

Un peu plus bas, dans le fichier STIX, nous avons l’adresse IP en question dans l’alerte ci-dessus :


L’adresse IP appartient à un fournisseur qui s’appelle Frantech. Ce n’est pas la première fois que leur réseau est pointé du doigt pour des activités malicieuses sévères et persistantes. A ce stade, nous sommes obligés de supposer un degré de complaisance avec ces activités.

En réponse FIAHOST va bloquer toutes les adresses IP de ce fournisseur.