février 2011

Du spam agressif qui se propage par Skype ?

Il y a quelques minutes j’ai reçu directement dans mon client Skype un message d’un interlocuteur qui n’est pas dans ma liste de contacts. Le message contient un texte assez classique pour inciter l’utilisateur à mettre à jour son ordinateur suite à une infection supposée:

Le message incite aussi à rajouter cet utilisateur parmi ses contacts.

Son pseudo dans mon cas: instruction.upd.6 et le lien proposé pour “réparer” mon système d’exploitation “www.updatetn.com”. Le client que j’utilise est le client Skype pour Linux qui n’est malheureusement pas particulièrement tenu à jour par la société qui le développe et qui est toujours en version “bêta”.

Ce nom de domaine a été enregistré le 26 février 2011 (aujourd’hui) par un certain Mario Lipak en République Tchèque grâce aux services de la société Enom:

Domain Name: UPDATETN.COM
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited
Updated Date: 26-feb-2011
Creation Date: 26-feb-2011
Expiration Date: 26-feb-2012

>>> Last update of whois database: Sat, 26 Feb 2011 12:58:30 UTC <<<
[…]
Registration Service Provided By: Unpicked.com
Contact: support@unpicked.com
Visit: http://www.unpicked.com

Domain name: updatetn.com

Registrant Contact:

Mario Lipak ()

Fax:
Haria 55
Referral URL:www.unpicked.com
Prague, CZ 44300
CZ

Administrative Contact:

Mario Lipak (mariolipak@gmail.com)
+420.2495614
Fax: +420.2495614
Haria 55
Referral URL:www.unpicked.com
Prague, CZ 44300
CZ

Technical Contact:

Mario Lipak (mariolipak@gmail.com)
+420.2495614
Fax: +420.2495614
Haria 55
Referral URL:www.unpicked.com
Prague, CZ 44300
CZ

Status: Locked

Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com

Creation date: 26 Feb 2011 07:33:00
Expiration date: 26 Feb 2012 02:33:00
[…]

Mise à jour 14:00

En fonction de la façon dont on se connecte à ce site, le visiteur est redirigé vers une page PHP particulière. Celle-ci contient des informations vous faisant croire que votre ordinateur a été infecté (et qui dans ce cas est fabriquée pour ressembler à une fenêtre classique de Windows) :

et charge aussi cette boîte d’avertissement:

Enfin, si vous cliquez sur l’un des messages, vous êtes redirigé vers un site d’achat en ligne http://secureonlinestore.net/… soit un nom de domaine qui ressemble au précédent par son parcours d’enregistrement, mais qui est référencé auprès d’un client habitant en Lituanie:

Domain Name: SECUREONLINESTORE.NET
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: DNS1.NAME-SERVICES.COM
Name Server: DNS2.NAME-SERVICES.COM
Name Server: DNS3.NAME-SERVICES.COM
Name Server: DNS4.NAME-SERVICES.COM
Name Server: DNS5.NAME-SERVICES.COM
Status: clientTransferProhibited
Updated Date: 04-feb-2011
Creation Date: 04-feb-2011
Expiration Date: 04-feb-2012

>>> Last update of whois database: Sat, 26 Feb 2011 13:32:20 UTC <<<

[…]
Registration Service Provided By: Unpicked.com
Contact: support@unpicked.com
Visit: http://www.unpicked.com

Domain name: secureonlinestore.net

Registrant Contact:
SecureOnlineStore Inc.
Andrew Bradley ()

Fax:
53/54, Latviu st
Referral URL:www.unpicked.com
Vilnius, LI 2600
LT

Administrative Contact:
SecureOnlineStore Inc.
Andrew Bradley (abradley@asia.com)
37052725555
Fax: 37052725555
53/54, Latviu st
Referral URL:www.unpicked.com
Vilnius, LI 2600
LT

Technical Contact:
SecureOnlineStore Inc.
Andrew Bradley (abradley@asia.com)
37052725555
Fax: 37052725555
53/54, Latviu st
Referral URL:www.unpicked.com
Vilnius, LI 2600
LT

Status: Locked

Name Servers:
dns1.name-services.com
dns2.name-services.com
dns3.name-services.com
dns4.name-services.com
dns5.name-services.com

Creation date: 04 Feb 2011 10:22:00
Expiration date: 04 Feb 2012 05:22:00

Et en réalité ce site ouvre une fenêtre (IFRAME) sur un site de commerce électronique beaucoup plus recommandable connu (Swreg/Digital River), pour le produit “Computer Repair service – Virus/Spyware & Malware Removal – Instant Online Repair” et un mondant de €15.29 (ou $19.95) avec une référence d’affiliation particulière (affil5777) qui doit être la référence de celui qui a diffusé ce spam via Skype.

Il s’agit évidemment de nous vendre du vent… Peut-être la suite nous en dira plus sur quel est le commerçant un peu douteux derrière ce stratagème.

En guise de première conclusion quelques conseils

  • Méfiez-vous des inconnus qui vous contactent sur vos logiciels de messagerie instantanée
  • Ne cliquez pas sur un lien sans être certain de sa provenance et de la volonté de celui qui vous l’envoie de le partager.
  • Utilisez les fonctions de vos logiciels de messagerie instantanée permettant de bloquer ou de signaler en comme émetteur de spam un contact malveillant.
  • Ne faites jamais confiance aux sites Web qui vous signalent que votre ordinateur est contaminé par des dizaines de logiciels malveillants.
  • N’installez ou n’achetez que des logiciels de sécurité (antivirus, antispyware, etc…) pour lesquels vous avez lu des recommandations provenant de publications sérieuses.

Mise à jour 17:40

En faisant quelques recherches sur le nom de ce service ou logiciel “Computer Repair service – Virus/Spyware & Malware Removal – Instant Online Repair” on tombe sur un nombre de sites qui se ressemblent dans leur fonctionnalité, mais pas forcément dans leur mise en page ou leur contenu. A chaque fois il s’agit de vous offrir un service d’assistance en ligne pour réparer votre PC en cas d’incident, dont certains correspondent à ce prix de $19.95. Ces services sont-ils sérieux ? Certains semblent exister depuis longtemps, d’autres depuis très peu de temps.

Dans le cas qui nous préoccupe on est directement amené sur une page de paiement, sans explication sur la nature ou du service proposé. Arnaque en vue donc!

Dragon de Nuit contre industries de l’énergie

Dans un document publié le 9 février 2011, les spécialistes de la société McAfee soufflent sur les braises qui aurait été allumées par un mystérieux groupe de cybercriminels dont les activités ont été surnommées “Night Dragon”. La Chine est pointée du doigt comme étant la base arrière de ces attaques, mais il semblerait qu’il faille regarder ce rapport comme une alerte utile sur les risques réels auxquels sont confrontés les systèmes d’information des entreprises tous les jours, plutôt qu’une véritable opération coordonnée.

La présentation qu’en fait George Kuntz (@george_kurtzcto, le chief technology officer de McAfee), le même jour, nous apprend que des attaques commencées en novembre 2009 auraient ciblé différentes entreprises pétrolières, pétrochimiques ou œuvrant dans le domaine de l’énergie. Ces attaques suivraient un parcours assez classique, en obtenant d’abord des accès sur les extranets des sociétés, puis compromettant les machines situées à l’intérieur des réseaux des entreprises pour finir par subtiliser des données confidentielles, en exploitant l’ingénierie sociale ou différentes failles :

Schéma des attaques proposé par McAfee

L’analyse qu’ils ont réalisée de ces attaques qui d’abord ne font que se ressembler, et en particulier des signatures des outils utilisés pour les réaliser, leur ont permis de tisser des relations d’abord techniques entre ces évènements. Toujours selon l’analyse de McAfee, ces attaques seraient exclusivement d’origine chinoise, et ils mettent notamment en avant la présence des outils utilisés sur des forums où sévissent uniquement des “crackers” chinois (apparemment on y rencontre aussi des spécialistes de chez McAfee 🙂 ), ou les créneaux horaires correspondant aux pics d’activité.

Le 17 février prochain, George Kurtz et Stuart McClure (@hackingexposed) présenteront notamment les résultats qui sont ici dévoilés lors de la Conférence RSA 2011.

Cette annonce n’est pas sans rappeler l’annonce du ver Stuxnet au début de l’été 2010, en ce qu’il s’agit de s’en prendre ici à des industries de l’énergie, mais cela semble être le seul point commun, puisque les systèmes de commande industrielle (SCADA) ne sont pas au coeur de l’attaque. Il s’agirait plus classiquement d’opérations visant à collecter des secrets dans ces entreprises.

Ce n’est pas non plus la première fois que la Chine est accusée d’être à l’origine d’attaques de grande envergure, comme en septembre 2007 lorsque le Pentagone américain accusait le gouvernement chinois d’avoir organisé des agressions graves contre leurs systèmes informatiques ou lorsque Google, en Janvier 2010, accusait le gouvernement chinois d’avoir commandité des attaques contre ses systèmes pour y voler des données confidentielles (l’opération a été surnommée Aurora). Il faut avouer qu’avec plus de 400 millions d’internautes et une éducation technique avancée, il est logique que la Chine, comme d’autres pays soient à l’origine de nombre d’attaques. Beaucoup de spécialistes toutefois rappellent que les ordinateurs chinois, nombreux et pas toujours parfaitement sécurisés, pourraient aussi servir de paravent à des attaques provenant d’autres régions du Monde.

Sur le blog de Sophos, Fraser Howard, questionne l’analyse et les preuves présentées par McAfee. Le regroupement sous une même bannière du “Dragon de Nuit” des logiciels malveillants utilisés lui semble pour l’instant artificielle, même si ces attaques ont bien eu lieu. Il n’est notamment pas démontré que celles-ci ciblent plus particulièrement l’industrie de l’énergie, peut-être cela est-il le résultat d’une détection plus précoce dans ces entreprises, qui ont fait appel à McAfee.

En conclusion, comme beaucoup de commentateurs, je dirais que la publication de ce rapport vient surtout nous rappeler la nécessité de correctement sécuriser les réseaux des entreprises (sensibilisation des utilisateurs, utilisation de logiciels de sécurité et notamment d’antivirus, si l’enjeu le justifie outils de détection d’intrusion, etc.), c’est d’ailleurs très certainement l’objectif de McAfee : démontrer au travers d’un exemple particulier l’importance de la menace. Mais peut-être des informations à venir, non encore révélées par McAfee viendront-elles soutenir la thèse d’une véritable opération “Night Dragon”.

Atelier de l’AFNIC sur les noms de domaines internationalisés

Le 10 février 2011 à Paris, l’AFNIC – Association française pour le nommage Internet en coopération, organisait un atelier d’étude sur les noms de domaines internationalisés. Ce fut l’occasion de faire le point sur les projets de l’AFNIC dans ce domaine et les différents enjeux que cela ne manquera pas de soulever pour l’ensemble des acteurs.

L’atelier a duré près de 4 heures et s’est déroulé en trois parties: d’abord une introduction sur le sujet par Stéphane Bortzmeyer, suivie de deux tables rondes. La première table ronde a permis d’évaluer les attentes de la communauté des utilisateurs, tandis que la seconde portait sur les aspects opérationnels du lancement de cette nouvelle capacité des noms de domaine en .fr.

Les noms de domaine internationalisés

Stéphane Bortzmeyer (@bortzmeyer, blog) a publié le diaporama de son introduction. Ce qu’il faut retenir selon moi est qu’on est en train de déployer progressivement (depuis la première moitié des années 2000), dans les infrastructures de gestion des noms de domaines, la possibilité d’utiliser des caractères autres que les lettres de l’alphabet latin de a à z et les chiffres de 0 à 9. Ainsi, on voit apparaître des sinogrammes, des caractères cyrilliques ou du sanscrit dans les URL:

  • http://президент.рф/ (site du président russe, on notera au passage le domaine de tête internationalisé aussi “рф” pour “fédération de russie” et en complément du “.ru” classique)
  • http://müller.de/ (93 caractères supplémentaires ont été rajoutés pour le domaine de tête .de de l’Allemagne, y compris le “ß”)
  • ou bien en arabe http://وزارة-الأتصالات.مصر/ ou encore en coréen http://휴대폰.com/

Le domaine de tête européen “.eu” a ouvert la création de noms de domaines internationalisés dans les langues des 27 pays membres de l’Union Européenne en décembre 2009. Ainsi http://www.crimenumérique.eu/ redirige-t-il vers le présent blog 🙂

Sur le plan technique, et normalement de façon transparente pour l’utilisateur, les différentes chaînes de caractères ne sont pas directement implémentées dans le protocole DNS mais sont transformées à nouveau en chaînes de caractères ASCII. Ainsi, le RFC 3490 prévoit un encodage “compatible ASCII” ou ACE des chaînes de caractères Unicode (voir l’article de Wikipédia sur le punycode et le RFC 3492). Un préfixe a été choisi en 2003 pour identifier ces noms de domaines internationalisés, il s’agit de “xn--“. Ainsi www.crimenumérique.eu est-il représenté par www.xn--crimenumrique-ihb.eu.

Résumé de l’atelier

Voici quelques points clés que j’ai retenus de cet atelier:

  • L’AFNIC envisage de lancer les noms de domaines internationalisés pour le domaine de tête “.fr” d’ici la fin de l’année 2011;
  • La décision n’est pas encore prise sur les chaînes de caractères qui seront autorisées. Le débat a permis d’entendre plusieurs arguments pour ou contre la prise en charge – en plus des caractères diacritiques essentiels de la langue françaises, ceux des langues régionales, des langues parlées dans les pays européens voisins ou ceux des langues parlées en France de façon plus générale (comme l’arabe dialectal ou le chinois par exemple). Mon analyse personnelle est qu’il est vraisemblable que dans un premier temps l’ouverture se fera d’abord sur les caractères accentués classiques du français.
  • Il semble se dégager un consensus – en tous cas au cours de cet atelier – pour un lancement le plus simple possible, donc éventuellement sans période de “lever de soleil” et en tous cas de prendre au moins en compte les titulaires préalables des domaines “non accentués” pour l’attribution des nouveaux “avec accents”. Mais la question n’est pas aussi simple qu’il y paraît, les accents apportant des nuances de sens parfois importantes (voir les exemples dans la présentation de Stéphane Bortzmeyer).
  • Les préoccupations des détenteurs de marques sont importantes, et si évidemment cette ouverture crée de nouvelles opportunités en termes de communication, il leur paraîtrait judicieux de ne pas faire débuter toutes les réformes en même temps (l’AFNIC confirmait aussi l’ouverture à venir, au profit des entreprises européennes et des personnes demeurant en Europe, du domaine de tête “.fr”).
  • Deux notes techniques au passage: il restera des subtilités de la langue française qui ne pourront pas être prises en compte telles que certains caractères spéciaux comme les apostrophes ou les majuscules qui donnent parfois un sens différents aux mots en français (différence entre État et état), et si les noms de domaines prennent en compte les polices de caractères avancées, il n’existe pas encore de standard stabilisé pour la gestion de ces caractères dans la partie locale (avant l'”@”) des adresses de courrier électronique.
  • Enfin, Cédric Manara (@cedricmanara, blog) met à disposition des internautes la présentation qu’il a faite et qui comporte une étude des litiges traités par l’UDRP sur des noms de domaines internationalisés.

Enjeux pour les enquêteurs

Les enjeux pour les enquêteurs (mais aussi évidemment, les experts judiciaires, les magistrats ou toutes les personnes qui réalisent des investigations numériques) sont multiples:

  • Bien entendu, il s’agit d’abord de se tenir informé de ces évolutions qui seront de plus en plus rencontrées (on peut aussi citer l’arrivée des adresses IP v6).
  • Ensuite, comme tout un chacun, ils seront confrontés à la non-adaptation des outils du quotidien (navigateurs Internet, logiciels de messagerie) ou des outils spécialisés (de nombreuses interfaces Web de whois ne sont pas encore correctement paramétrées).
  • Enfin, et surtout, cette évolution multiplie les possibilités d’erreurs, notamment lors de la retranscription des adresses. Ainsi, les témoignages des victimes, les copies d’écran, les fax etc. ne permettront pas toujours de distinguer plusieurs adresses semblables. En effet, même si les adeptes du phishing n’exploitent pas réellement les attaques par homographie (mots qui se ressemblent), le risque de confusions est réel. Même si cela est possible aujourd’hui lorsqu’on retranscrit la lettre “l” minuscule plutôt que le chiffre “1”, les variations explosent. Et bien évidemment ce sera plus complexe pour un enquêteur français de recopier des idéogrammes chinois que pour un enquêteur chinois. La recommandation principale sera de favoriser soit les échanges électroniques (que ce soit avec les victimes ou avec les opérateurs auxquels on adresse questions ou réquisitions) et l’utilisation de la conversion en caractères ASCII (les chaînes commençant par “xn--“).

En conclusion, je tiens à remercier l’AFNIC et les participants aux tables rondes pour cet atelier particulièrement instructif, qui m’a permis, même si je connaissais ce problème, d’avoir l’occasion d’y consacrer plusieurs heures de réflexion et d’échanges. Enfin, je ne peux que conseiller à mes lecteurs de continuer de se tenir informés de ces différentes évolutions qu’ils soient de simples utilisateurs et titulaires de noms de domaines ou des personnes chargées de missions d’investigation numérique. L’AFNIC devrait continuer la démarche de dialogue et d’information entreprise dans les mois à venir, avant le lancement effectif de cette nouvelle offre, mais n’oublions pas que c’est déjà aujourd’hui une réalité dans de nombreux domaines de tête et en particulier en Europe…