Cybercriminalité, traces, Bot masters et autres joyeusetés
Par Bertrand Arquilliere le jeudi 25 octobre 2007, 21:38 - Sécurité des SI - Lien permanent
A la demande de Frame (Voir sa requête ci-dessous), je vais tenter d'apporter quelques éclaircissements :
Salut Bertrand, en ce moment la cybercriminalité fait l'actualité avec les cas des ambassades et services étatiques "piratés". Ils sont tous d'accord sur un point : impossible de filer ceux qui se sont introduits http://www.lemonde.fr/web/article/0... J'arrive pas à comprendre à quel moment la "piste" disparait lorsqu'on tente de retrouver les hackers... ou plutôt comment les hackers préparent leur anonymat ? sont-ils protégés par un flou juridique, technique des FAI de leur pays d'origine ? A titre d'exemple, est-il possible pour des gens, résidant en France, de mener des PC "Maitres" dans un anonymat comparable sur une opération d'une envergure égale ?
Voilà plus d'un mois que j'avais prévu cet article. Aujourd'hui je retrouve ma connexion Internet, je vais donc tenter d'apporter quelques éléments de réponses à Frame.
Au moment des questions de Frame, effectivement la cybercriminalité faisait la une des journaux, qu'ils soient télévisés ou papier. A l'origine de ce buzz, le piratage à grande échelle d'institutions Américaine par des hackers Chinois qui auraient étaient embauchés par le gouvernement Chinois. Cette dernière information est à prendre au conditionnel, et avec beaucoup de précautions, car si effectivement la trace de l'attaque remonte en Chine, rien ne prouve qu'elle en soit l'origine et encore moins que les hackers aient agis à la solde du gouvernement.
Suite à cette annonce, le gouvernement Français a aussi reconnu des intrusions sur certains sites étatique, suivi par d'autres pays.
Nous sommes bel est bien à l'ère de l'infoguerre, ère où l'information et les renseignements sur les autres puissance n'a pas de prix, guerre de l'information qui se prépare depuis longtemps puis Sun Tsu (un Chinois ...) en parle déjà dans son ouvrage "L'art de la guerre" datant de quelques centaines d'années avant J.C
Les grandes puissance occidentale n'ont réellement saisie l'importance de l'information dans la préparation d'un conflit, ou plutôt dans l'art de remporter une guerre sans livrer bataille que très tard, tout d'abord pendant la guerre des sécessions aux États Unis, avec l'apparition d'un code de chiffrage pour protéger les informations, et plus tard, avec la préparation du débarquement en Normandie, et enfin avec la période de la guerre froide.
Il est donc tout à fait légitime de se poser la question : "Cette vague d'intrusion en septembre constitue t'elle un acte d'infoguerre ?" Je ne saurais y répondre, et il ne m'appartient pas d'y répondre, les spécialistes de l'infoguerre à la DGSE ou de la DST ont surement la réponse suite à une enquête (qui un mois après ne doit vraisemblablement pas être terminée).
Ensuite, comme dans tout acte de guerre, certains agissent à leurs propre compte, ne cherchant pas l'information cruciale sur une puissance ennemie, mais cherchent à nuire en demandant rançon pour re-établir la situation, ou ne pas divulguer l'information acquise ou encore demandent rançon en échange de la clé de chiffrement qui a chiffré tout votre disque dur. On parle alors de cyber-terrorisme.
La question de Frame, concerne la préparation d'une attaque de cette envergure, tout en protégeant son anonymat, avec une question subsidiaire : Est-il possible que la france héberge un de ces botmasters capable de paralyser l'information de tout un pays. Voilà ce à quoi je vais tenter de répondre.
La préparation :
C'est la phase la plus longue de l'attaque, que ce soit pour une attaque de type DDoS (Distributed Denial of Service) ou une attaque intrusive cherchant à voler de l'information. Cette phase peut prendre plusieurs mois selon le risque, le niveau de protection, où l'échelle du déni de service (1 serveurs impacté pendant une heure ne demande pas la même préparation que 20 serveurs impactés pendant plusieurs jours, en général jusqu'au paiement de la rançon).
Dans le cas où l'attaque est un déni de service, dont l'objectif est de paralyser une entreprise ou un état, le pirate va d'abord se transformer en botmaster, c'est à dire qu'il va tenter d'infecter un maximum de machines qu'il contrôlera à distance, afin qu'elles agissent toutes en même temps. Les PC infectés sont appelés des zombies. Certains botmaster contrôlent de cette façon jusqu'à 20000 zombies, d'autres plusieurs centaines de millier.
Comment les zombies sont-ils recrutés ? Tout simplement en partant d'un constat très simple :
- La très grande majorité des internautes ne sont pas informaticiens, et sont donc peu intéressés par les mises à jour de leur système d'exploitation et de leur anti-virus.
- Les sites web les plus nombreux sur Internet et recevant la plus forte audience sont les sites pornographique.
- Les internautes, aiment avoir le dernier film, avant tout le monde et gratuitement.
- La majorité des utilisateur d'Internet n'étant pas sensibilisé à la sécurité informatique va écouter les mails qu'ils reçoivent, leur demandant d'envoyer le fichier .doc ou le .pdf ou .pps à tout leur carnet d'adresse.
- Plus de 90% du parc informatique des particuliers mondial est constitué de machines utilisant Windows, avec Internet Explorer et outlook.
Il ne reste plus qu'à concevoir un site web à tendance pornographique, qui va récupérer à l'insu du visiteur, son adresse email, son système d'exploitation, son niveau de sécurité, et si les conditions sont remplies, injecter du code malicieux sur le disque dur la victime. Code généralement appelé "backdoor" : porte dérobée. Cette porte dérobée va permettre au pirate de se connecter sur votre machine afin de pouvoir la gérer et lui faire effectuer certaines tâches. La backdoor peut ensuite se propager d'elle même à tout votre carnet d'adresse outlook, et recommencer sa propagation lorsqu'elle a infecté un de vos contact. A chaque nouvelle machine corrompue, la machine va, à chaque démarrage et connexion sur Internet, se faire connaitre auprès du botmaster pour qu'il puisse se connecter.
Lorsque le botmaster estime qu'il a assez de zombies pour déclencher son attaque, il va planifier l'attaque à proprement parlé, et à l'heure H, l'ensemble des machines qu'il contrôle va se connecter sur la/les cible(s), utilisant toutes les ressources réseaux et CPU de la cible, la rendant ainsi indisponible aux clients légitimes. Nous sommes face à un DDoS
Dans le cas d'un vol d'informations, le pirate va préparer son attaque différemment, il va reconnaitre sa cible, en évaluer les vulnérabilités, se renseigner sur l'équipe administrant la cible, sur la localisation géographique ... en quelques semaines il saura absolument tout sur sa cible. Le pirate va ensuite préparer son anonymat, pour ce faire, il va jouer avec des outils techniques, tel que les proxy (voir mon billet sur Tor), le spoofing ... mais il va aussi jouer avec les différents flou juridique, la législation sur la cybercriminalité n'étant pas du tout la même d'un pays à l'autre, il va établir sa chaine de proxy, en choisissant des proxies, dans des pays ne parlant pas la même langue, dans des fuseaux horaires différents, avec des législations différentes (parfois même qui ne reconnaissent pas le piratage comme un délit). lorsque sa chaine de proxy est bien établi, il va mener son attaque, voler l'information cible, et enfin effacer ses traces sur la cible ... ou plutôt effacer les traces du dernier proxy utilisé dans la chaine. Si le travail est bien fait, il faudra des semaines aux responsables de la cible pour se rendre compte qu'une intrusion a eu lieu, et lorsqu'ils s'en rendront compte, même s'il reste des traces, l'attaque semblera venir d'une machine situé en Belgique (souvenez-vous de la chaine de proxy). Les autorités compétentes cont donc prendre contact avec les autorités belge pour savoir à qui appartient la machine ayant perpétré l'attaque. Après enquête, il s'avèrera que cette machine en Belgique a en fait servi de relais pour une machine situé en Russie, qui elle même a servi de relais pour une machine aux US, qui elle même a servi de relais pour une machine en Chine, qui elle même ... ect. Avec en prime l'éventualité que cette machine soit dans un cyber-café, auquel cas, l'enquête peut difficilement aller plus loin, car le gérant n'a pas le nom, l'adresse de la personne qui se trouvait sur tel PC de telle heure à telle heure il y a deux mois (Déjà le temps que les autorités Russe et US collaborent, puis que les US collaborent ensuite avec la Chine ...ect)
il est donc tout à fait possible pour un Français, aujourd'hui d'être botmaster, et de revendre son armée de zombie sur Ebay.
Commentaires
ce principe du teaser est honteux !!! Tu peux oter 15541.37 visites à ton blog venant de moi et accessoirement ce commentaire quand le billet sera prêt
Désolé ...
D'autant que je reporte ça à demain car j'ai eu une fin de matinée mouvementée, et l'après midi s'annonce pire.
Je n'aurai donc pas le temps de finir la rédaction de ce billet.
La suite demain
Remboursez nos invitations ! Remboursez nos invitations !
A demain Bertrand
C'est effectivement "l'art de la guerre", s'il est "propre", organisé et consciencieux il y a finalement aucune chance de retrouver un cyber-stratège. Je ne me doutais pas qu'il fallait monter des sites appats et plus généralement de la diversité des taches à réaliser. Je comprends mieux ce qui peut faire la force et la réputation de certains crews.
En tout cas ça fait plaisir de vous voir de retour toi et ton talent de vulgarisateur
Je ne saurais trop conseiller la lecture d'un ouvrage qui vient de paraître aux éditions Hermès-Lavoisier untitulé "La guerre de l'information", écrit par Daniel Ventre, ingénieur au CNRS.
Dans tous les propos qui sont échangés ici, de nombreux termes et expresions sont utilisés tels ceux de "cybercriminalité", "attaque", "art de la guerre", etc. Des confusions sont hélàs faites entre la cybercriminalité et les réels actes de guerre (même si ces derniers peuvent utiliser à la fois les outils et les acteurs de la cybcercriminalité). Quand les intrusions dans les systèmes visent des acteurs de la défense nationale, les intérêts d'une nation, quand les "attaquants" ont pour objectif de déstabiliser une nation, on commence à parler de "guerre". Mais d'un point de vue juridique la nuance est forte. Les possibilités de réaction d'un état ne sont plus les mêmes. Doit-on se contenter de parler de "cybercriminalité" quand les intérêts vitaux d'un état sont touchés?
Ce sont des questions de cet ordre que le livre traite. Il analyse le concept de "guerre de l'information" sous ses aspects juridiques, techniques, politiques, stratégiques, militaires, civils, en retraçant son histoire, le développement du concept au travers des doctrines militaires et sa mise en application, dans des pays majeurs aujourd'hui : les Etats-Unis, la Chine, la Russie, l'Inde, singapour, le Japon.
@ Thomas : Merci pour cette information sur un livre que je vais lire sous peu. N'étant pas juriste, les précisions que tu apportes sur les différents termes sont précieuses.
Dans le cas des actes commis en aout envers les sites étatiques US et Français, n'est-il pas légitime de parler d'infoguerre ?
Bonjour,
Auteur du livre ci-dessus mentionné je me permets de répondre à la question soulevée par Bertrand.
Les conclusions de l'étude que je viens de publier, mentionnée ci-dessus, soulignent toute la difficulté qu'il y a précisément à qualifier d'"infoguerre" des actes commis dans le cyberespace. La guerre psychologique par exemple est également l'une des composantes de la guere de l'information. Or les parties qui se présentent aujourd'hui comme victimes et désignent des coupables (en avouant manquer de preuves certaines) ne cherchent-elles pas à marquer les esprits, à créer des adversaires potentiels, à manipuler l'opinion, à préparer un terrain politique/diplomatique? Si les actes de cybercriminalité ont une finalité claire (gagner de l'argent, financer des réseaux criminels, etc.), les actes de cyberguerre se distinguent par leur finalité (politique essentiellement) et leurs acteurs (états). Dans les cas évoqués (attaques contre les sites étatiques US, attaques contre les sites étatiques européens), les conditions semblent réunies pour autoriser à parler d'actes de guerre de l'information. Mais en ce cas il faut s'interroger sur les objectifs stratégiques poursuivis : le pays "agresseur" poursuit quel objectif? Quel intérêt pourrait avoir un Etat dont l'économie, le développement à court et long terme, le progrès social, repose quasi entièrement sur l'ouverture au reste du monde, sur les capitaux étrangers, européens et américains, sur l'ouverture et la stabilité des marchés d'exportation, à déstabiliser ses alliés stratégiques obligés? Quel intérêt pourrait avoir un Etat en pleine croissance à scier la branche sur laquelle il est assis?
Daniel Ventre. CNRS
@ Daniel : Merci pour ces éclaircissements, comme annoncé dans ma réponse précédente, je vais lire votre livre (cadeau de Noël car un peu cher quand même
) et j'espère que suite à la lecture de votre livre, je ne ferrai plus de confusion dans les termes que j'emploi, bien que dans le cas du billet que j'avais écris le 25 octobre, il semble que j'ai employé "infoguerre" à bon escient.
Bien que je ne sois pas qualifié pour apporter des éléments de réponses aux questions que vous soulevez, qui permettraient de justifier l'acte d'infoguerre.
Autre point, je suis extrêmement fier de voir que des spécialistes tel que vous prennent du temps pour lire mon blog et apporter quelques éclaircissements. Merci.
Je vous informe de la création de mon nouveau site/blog sur le thème de la guerre de l'information.
http://infowar.romandie.com
Merci pour cette information.
Je me suis fait offrir votre livre pour les fêtes de Noël, et je pense en attaquer la lecture dés aujourd'hui.