Investigation & transformation numériques

Cybercriminalité

Des noms de domaines enregistrés via proxy ou un service d’anonymisation

tldL’ICANN publiait le 1er octobre dernier un projet de rapport sur les noms de domaines enregistrés au travers d’un service d’intermédiation ou d’anonymisation. C’est un des sujets qui préoccupe souvent les enquêteurs et que j’ai d’ailleurs évoqué dans l’ouvrage que j’ai écrit avec Guillaume Desgens-Pasanau [1].

Dans l’étude présentée par l’ICANN – avec l’aide du NORC (National opinion research centre de l’Université de Chicago), un échantillon de 2400 noms de domaines a été sélectionné parmi les 5 plus grands TLDs (.com, .net, .org, .biz, .info). Il en ressort que 15 à 25 % des noms de domaine observés ont été enregistrés grâce un service permettant d’anonymiser les informations.

Selon les règles de l’ICANN, les bureaux d’enregistrement doivent recueillir et publier sur les serveurs Whois:

  • le nom de domaine,
  • les serveurs DNS associés,
  • les dates de création et d’expiration,
  • les informations de contact du propriétaire, techniques et administratives.

Deux types de services sont offerts:

  • un service de garantie de la vie privée (ou d’anonymisation, privacy en anglais) en masquant certaines informations de contact et en permettant l’utilisation d’une adresse de courrier électronique créée spécialement par le bureau d’enregistrement (il s’agit souvent d’une option payante offerte par le bureau d’enregistrement),
  • un service d’intermédiation (acquisition par proxy), où c’est un intermédiaire qui acquière le nom de domaine et en revend l’usage à l’utilisateur final. Ce sont alors les informations de contact de cet intermédiaire qui apparaissent sur les serveurs proxy.

Les résultats

Les résultats préliminaires sont intéressants. Ainsi, sur la base d’une échelle de 0 (improbable) à 3 (certain), l’utilisation d’un service d’anomyisation ou d’intermédiation est évaluée de la façon suivante:

  • (3) + (2) + (1) = 24,6 % de l’échantillon
  • (3) + (2) = 22,4 % de l’échantillon
  • (3) = 14,6% de l’échantillon

Dans ces cas-là, 85% semblent utiliser un service d’intermédiation et 15% un service d’anonymisation.

Des vérifications supplémentaires sont programmées par l’ICANN pour affiner ces résultats.

Conséquences

Il est particulièrement frustrant pour un enquêteur de consulter le whois d’un nom de domaine en cours d’investigation et de découvrir qu’aucune information n’est réellement utilisable. Il y a deux types de démarches qui sont rencontrées: la souci légitime de préserver sa vie privée et celui, plus questionnable mais finalement compréhensible, d’empêcher l’identification lorsqu’on commet des infractions grâce à l’utilisation du nom de domaine.

Si l’on cumule cela avec le fait que ces informations sont le plus souvent déclaratives et fausses ou que de toutes façons il sera impossible pour l’enquêteur d’obtenir une quelconque information complémentaire auprès du bureau d’enregistrement (parce qu’il ne répondra pas à la  requête de l’enquêteur ou bien que les autorités du pays concerné ne coopéreront pas), on comprend la difficulté du problème.

En France, la loi pour la confiance dans l’économie numérique et les règles mises en place par l’AFNIC pour les domaines qu’elle gère permettent d’avoir de biens meilleurs retours, tout en préservant si nécessaire la vie privée, mais ce n’est pas le cas dans l’ensemble des régions du monde. Il serait d’ailleurs intéressant de faire une étude semblable montrant le taux d’utilisation des services de proxy ou d’anonymisation dans les domaines rencontrés dans les enquêtes judiciaires… Une étude similaire parmi les domaines de premier niveau européens et en particulier le « .eu » serait tout aussi intéressante.

En tous cas, c’est déjà une bonne chose que l’ICANN commence à étudier ce phénomène, il sera plus intéressant de savoir si des solutions seront proposées pour permettre aux enquêtes judiciaires de se dérouler.

[1] L’identité à l’ère numérique, G. Desgens-Pasanau & E. Freyssinet, Dalloz, collection Présaje, ISBN 978-2247080618

4 octobre 2009 by Cybercriminalité 1

Des images utilisées pour commander des botnets

monkif-secureworksIl y a quelques jours, j’évoquais l’utilisation des groupes de discussion de Google pour diffuser les commandes d’un botnet. Les chercheurs de SecureWorks (CTU Counter Threat Unit) ont ainsi mis au jour un nouveau mode de distribution de ces ordres : l’utilisation d’images diffusées par des serveurs Web. C’est en observant le fonctionnement du botnet DIKhora/Monkif qu’ils ont pu faire ces observations. Il s’agit d’un cheval de Troie apparu apparemment assez récemment (08/2009) et encore peu documenté.

Cette méthode est particulièrement astucieuse, dans la mesure où elle sera le plus souvent indétectable pour les outils de filtrage des entreprises. En effet, quoi de plus banal sur un réseau que la visualisation d’images via une connexion HTTP. Ce type de canal caché n’est pas complétement nouveau dans sa conception, au sens où des images mouchards sont souvent utilisées pour permettre le décompte de visites sur des sites Web.

Mais ici, le procédé est encore plus astucieux : l’image téléchargée présente non seulement un nom de fichier caractéristique d’un JPEG, avec une extension en « .jpg », mais possède un en-tête  identique à ces images. L’en-tête d’un fichier est constitué – le plus souvent – par les premiers octets d’un fichier et constituent une sorte de signature  qui va indiquer au système d’exploitation ou au logiciel d’affichage à quel type de fichier il a affaire, et parfois quelle version du format de fichier est utilisée.

La technique (décrite aussi ici) est la juxtaposition de 32 octets typiques du début d’un fichier JPEG, suivis d’une commande pour les machines zombies embrouillées par un codage spécial (un XOR avec la valeur 4). Dans l’exemple cité, les concepteurs n’ont même pas pris la peine de rendre le fichier affichable. Mais sachant qu’une image JPEG peut contenir des commentaires (par exemple en utilisant le codage EXIF qui permet d’ajouter à une image des informations collectées pendant la prise de vue telle que la position GPS ou la marque de l’appareil photo), il est parfaitement imaginable de camoufler ces commandes de façon beaucoup plus difficile à détecter.

A suivre donc, et cela milite peut-être pour une évolution des pare-feux installés sur les réseaux des entreprises.

1 octobre 2009 by Cybercriminalité Sécurité 1

Guerre des hackers: Pakbugs.com attaqué

pakbugs

F-Secure le relevait hier, le site pakbugs.com subit des attaques répétées depuis plusieurs jours. Ce forum où s’échangent les techniques de piratage, mais où sont aussi commercialisées des numéros de carte bancaire et autres produits d’activités illicites n’était plus accessible hier, mais est à nouveau visible aujourd’hui.

Un groupe arborant la signature « WAR Against Cyber Crime » a ainsi revendiqué cette action sur la liste de discussion de Full Disclosure, l’accompagnant d’une liste supposée d’utilisateurs de ce forum, invitant les services d’investigation à se pencher sur leurs cas.

En France aussi, rappelez-vous…

Ce type de forums n’est pas présent qu’à l’étranger. Ainsi, en novembre 2008, la gendarmerie nationale interpellait les participants à un groupe warez (leurs activités étaient ici centrées sur la contrefaçon de vidéos, mais étaient aussi facilitées par des atteintes à des systèmes de traitement automatisé de données, ou de nombreux autres dossiers précédents et à venir, comme en mai 2008, une enquête de la gendarmerie menait à l’interpellation de 22 personnes animant un forum très semblable à Pakbugs.

Quid de Pakbugs?

www.pakbugs.com, pakbugs.com ou india.pakbugs.com sont hébergés sur deux serveurs Web distincts. Le premier est hébergé actuellement en Allemagne sur une adresse IP d’un serveur de la société Hetzner… Les deux autres sont hébergés aux Etats-Unis.

Le nom de domaine est enregistré depuis le 03/01/2009, sous une identité vraisemblablement inventée. En mai 2009, ce groupe se présentant comme d’origine Pakistanaise revendiquait le piratage du site Web de Google Maroc, au mois d’août 2009 du site Web du gouvernement Pakistanais (www.sindh.gov.pk). On en trouve des traces sur Zone H.

La liste révélée par le groupe de corsaires revendiqué est inexploitable sur le plan juridique, puisque la source ne peut pas en être vérifiée (et pour certaines législations son origine illégale posera problème). Il serait certainement plus efficace que ce type de groupes fasse l’objet d’investigations de la part du pays hôte (d’ailleurs une enquête est peut-être en cours et cette action illégale a pu y nuire!).

A suivre donc !

19 septembre 2009 by Cybercriminalité Juridique 0

Cybercriminels: une économie souterraine

Canaux de discussion IRC utilisés par les cybercriminels (Image: Symantec)

Canaux de discussion IRC utilisés par les cybercriminels (Image: Symantec)

Le 17 septembre 2009, David Goldman de CNNMoney.com publie une enquête sur les activités des cybercriminels telles qu’elles sont perçues aux États-Unis.

Il replace d’abord les choses sur le terrain adéquat: aujourd’hui les cyberdélinquants sont avant tout motivés par le gain financier. Effectivement, grâce aux multiples scénarios d’escroquerie développés, ce sont des milliards d’euros qui sont à leur portée. Le premier vecteur de ces méfaits serait la diffusion de logiciels malveillants selon l’article.

Une fois les informations personnelles des victimes récoltées grâce aux divers chevaux de Troie, les escrocs décrits dans l’article se retrouvent sur de véritables places de marché confidentielles organisées sur des canaux de discussion IRC privés. $0.98 pour un numéro de carte de crédit acheté en gros ou $10 environ pour une identité « complète ».

Des intermédiaires fournissent des services particulièrement utiles pour ce commerce: vérification de la validité de la carte bancaire, transfert d’argent sur des comptes offshore,… Certains de ces intermédiaires sont en fait des victimes malgré elles, les « mules » qui croient – avec plus ou moins de bonne foi – travailler pour un employeur étranger. Ainsi il leur est demandé de retirer l’argent qui arrive sur leur compte bancaire ou un colis à la poste pour le réexpédier ailleurs dans le monde, contre une rémunération de 10 à 15% de la valeur.

Les enquêteurs du FBI déclarent avoir infiltré ces canaux IRC… Albert Gonzales était d’ailleurs l’un de leurs informateurs.

Vu le nombre de victimes dans le monde aujourd’hui, de gros progrès restent à faire en matière de prévention: sur l’efficacité des logiciels antivirus, la détection des courriers électroniques d’escrocs ou tout simplement une bonne information du public qui tombe trop souvent dans le panneau.

19 septembre 2009 by Cybercriminalité Prospective 2

Un standard IETF pour la lutte contre les bots chez les FAI

ietflogotrans

Comme pour faire suite à l’article que j’ai publié hier, une information tombe à propos sur le site de SANS : l’IETF (Internet engineering task force), l’organisme qui anime la rédaction des standards de l’Internet, travaille depuis le mois de juillet 2009 sur un projet de standard de recommandations à destination des fournisseurs d’accès pour lutter contre la propagation de réseaux de machines zombies parmi leurs abonnés.

Un élément de plus à rajouter sur ce débat pour un rôle actif des FAI dans la lutte contre ces phénomènes criminels.

16 septembre 2009 by Cybercriminalité Prospective Sécurité 0

Australie: plan de lutte des FAI contre les logiciels malicieux

L’association des fournisseurs d’accès Australiens a publié le 11 septembre un projet de code de conduite pour faciliter la lutte contre la diffusion des logiciels malveillants chez leurs abonnés.

Il s’agit ici de lutter contre toutes les formes de malveillances qui sont facilitées par les centaines de milliers de machines zombies que constituent les ordinateurs des abonnés à Internet qui ont été infectés par des chevaux de Troie. Ainsi, le client détecté comme participant à de telles activités, par exemple parce qu’il diffuse de très nombreux pourriels, serait alerté par son fournisseur d’accès et sensibilisé sur des mesures de sécurité adaptées.

Les autres mesures proposées, au-delà de l’information de l’abonné, sont la limitation de l’accès, le placement de la connexion de l’abonné dans un environnement qui lui donne des indications sur les mesures de sécurité à appliquer, la coupure temporaire de l’accès à certains ports ou protocoles de l’Internet. Il s’agirait aussi pour les fournisseurs d’accès d’informer les autorités lorsque des incidents particulièrement graves sont détectés qui pourraient nuire au fonctionnement des infrastructures d’importance vitale.

Cette proposition, qui semble présentée de façon assez volontariste par les différents partenaires publics et privés concernés est assez intéressante et semble recevoir le soutien de certains spécialistes en sécurité de l’Internet. D’ailleurs, au-delà de l’assistance aux internautes concernés et des qualités éventuellement préventives de ces mesures vis-à-vis des autres internautes, ce dispositif offrirait aux fournisseurs d’accès Australiens un moyen, reconnu par le gouvernement, de diminuer l’impact des infections de leurs clients sur leurs infrastructures, par exemple offrir un service de meilleure qualité à leurs abonnés (bande passante, accès au serveur d’envoi de courrier électronique, etc.).

L’exemple Australien pourrait-il être reproduit ailleurs et en France notamment ? Il revient évidemment aux différents partenaires d’en discuter. Les débats actuels sur la neutralité du réseau et la coupure de l’accès Internet dans le cadre de la loi dite « HADOPI » donnent un éclairage particulier à cette proposition. Ainsi, quelles précautions faudrait-il prendre pour que l’internaute ne soit pas abusivement lésé par ces mesures ? Dans quel délai l’internaute pourra-t-il obtenir le rétablissement complet de ses services ? Ne peut-on automatiser la détection du rétablissement d’une situation normale sur la connexion de l’abonné ?

Ce chantier mérite en tous cas d’être discuté, dans un univers où l’essentiel des activités illicites sur Internet sont ou peuvent être facilitées par les botnets et autres formes d’action des logiciels malveillants. Corollairement, les spécialistes se posent souvent la question de savoir s’il est légitime ou souhaitable pour une personne officielle (un service d’enquête, agissant éventuellement sous le contrôle d’un magistrat) qui aurait pris le contrôle d’un serveur de commande de botnet de commander à l’ensemble des machines victimes de désactiver le logiciel malveillant ou afficher un message d’alerte officiel sur l’écran de la victime. Ces mesures, peut-être impressionnantes, seraient très certainement efficaces, mais comment les encadrer ? Quelles mesures de communication devront les accompagner ?

En conclusion, il est grand temps d’envisager et de discuter sérieusement des solutions industrielles et de grande ampleur face au phénomène des logiciels malveillants qui a pris lui-même une dimension industrielle.

15 septembre 2009 by Cybercriminalité Juridique Prospective 1

Les pirates ont pignon sur rue

Un phénomène de plus en plus courant est dénoncé aujourd’hui par un article posté sur Switched.com: la présence de vitrines commercialisant des services de « piratage » divers et variés. Bien évidemment, je ne donne pas dans cet article de lien directement cliquable vers ces sites web dont l’activité est illicite.

Ici ce sont deux sites Web qui sont présentés : yourhackerz.com et slickhackers.com.

Que proposent-ils ? On peut voir sur le site du premier la page d’accueil suivante :

Page d'accueil de YourHackerZ.com

Page d'accueil de YourHackerZ.com

et les services proposés: « Pour 100 dollars, nous crackons les mots de passe des principaux sites de messagerie web ». Ils indiquent être en relation avec slickhackers.com. On y retrouve le même concept, mais étendu à d’autres types de sites comme Facebook mais aussi les mêmes messageries en ligne.

Aparté juridique

Sur le plan juridique, je rappelle que non seulement les services commercialisés par de telles personnes sont répréhensibles pénalement (2 à 3 ans de prison et 30.000 à 45.000 euros d’amende au moins en France, selon que le procédé suppose ou non de modifier le mot de passe), mais de la même façon pour toute personne qui achèterait un tel service ou en utiliserait le résultat. De surcroît, il s’agit vraisemblablement d’un groupe de délinquants rentrant dans la définition de la délinquance organisée, donc susceptibles de circonstances aggravantes.

Creusons un peu le dossier

Le site web que nous examinons ici est hébergé sur une adresse IP (94.194.139.xxx) qui héberge plusieurs sites Web :

  • www.hackfacebookpasswords.com
  • www.yourhackers.net
  • yourhackerz.com
  • www.slickhackers.com
  • www.yourhackerz.com

Un examen des informations d’enregistrement de ces domaines nous donne des informations d’enregistrement pour :

  • Un certain V.M. (pas besoin de mentionner le nom complet pour la démonstration et de toutes façons c’est certainement un alias), chez Dynadot.com
  • Un certain V.S.
  • Un certain M.K.
  • Un certain H.S., dans un autre bureau d’enregistrement (EHostpros.com), avec cette fois-ci une adresse postale au Royaume-Uni.

L’adresse IP du serveur est identifiée elle-même comme correspondant à un serveur hébergé au Royaume-Uni (AS 35228, Beunlimited), qui semble en réalité être un fournisseur d’accès, donc vraisemblablement ici un hébergement artisanal « à domicile » (www.bethere.co.uk). Soit il s’agit de l’abonnement du premier suspect à inquiéter, soit il s’agit d’une machine dont le contrôle a été pris, à l’insu de son propriétaire…

Combien de temps avant que les personnes derrière ce site web soient identifiées et ce site fermé ? En plus, rien ne nous prouve (et je ne vais pas essayer ni les lecteurs non plus !) que le service offert soit réel.

Au passage, on note ici l’utilisation des services de Dynadot qui est souvent cité comme lié à des enregistrements de noms de domaines aux activités peu recommandables, tout simplement parce que cette société offre des services d’anoymisation et certainement des tarifs attractifs. Apparemment ces sites web sont en ligne depuis le début de l’année 2008 au moins…

En France, ce ne serait pas simple de mener une enquête sur ce type de site Web. En effet, il n’est possible de rentrer en contact et échanger avec des délinquants supposés (et donc vérifier les services proposés) que pour les infractions liées aux atteintes aux mineurs et de traite des êtres humains, visées par les articles 706-35-1 et 706-47-3 du code de procédure pénale introduits par la loi sur la prévention de la délinquance de mars 2007 (j’ai évoqué ce thème des cyberpatrouilles à plusieurs reprises). Souhaitons que ces dispositions soient étendues aux infractions d’atteintes aux systèmes de traitement automatisé de données.

14 septembre 2009 by Cybercriminalité Juridique Prospective 0

Un mode original de centre de commande : Google groups

groups_logoLes botnets, ces réseaux chevaux de Troie installés sur les ordinateurs de tout un chacun pour organiser des attaques coordonnées, ont besoin d’un mécanisme pour en permettre le contrôle par leur maître. Ainsi, des canaux de discussion IRC, des sites Web ou des réseaux Pair à Pair sont utilisés pour transmettre les commandes de façon quasi instantanée à l’ensemble des machines « zombie » connectées à un botnet particulier.

Des chercheurs de Symantec décrivent dans un article publié le 11 septembre 2009 un mode de commande original: l’utilisation d’un groupe de discussion hébergé chez Google.

Dans l’exemple cité, il s’agit d’une connexion sur un groupe privé « escape2sun », où le maître du botnet publie ses commandes. Ce mode de diffusion des commandes a permis aux auteurs de l’étude de faire un examen approfondi des commandes publiées. L’analyse du cheval de Troie a permis aux auteurs de l’article de déchiffrer les commandes et les réponses des bots.

Dans ce cas précis, il semble qu’il ne s’agisse que d’un essai ou d’un prototype étant donné le faible nombre de machines zombies repérées (de l’ordre de 3000) et les commandes de débogage retrouvées. En tous cas, nous avons ici un nouveau mode de canal caché de contrôle de botnets à ajouter à la liste !

13 septembre 2009 by Cybercriminalité 5

Jeux en ligne – Dirigeants de BetOnSports bientôt fixés sur leur sort

I Bari, Le Caravage (c. 1594)

I Bari, Le Caravage (c. 1594)

La société BetOnSports (littéralement « parier sur les sports »), fondée en 1995, avait localisé ses activités dans certains paradis fiscaux bien connus (Antigua, Aruba et Costa Rica), mais réalisait une grosse partie de son chiffre d’affaires sur le marché des Etats-Unis.

Cela lui a valu l’intérêt en 2006 de l’administration fiscale et des autorités judiciaires pour différentes infractions présumées, dont l’évasion fiscale, le racket et des escroqueries… Onze de ses dirigeants sont ainsi poursuivis dont le fondateur Gary Kaplan et David Carruthers, directeur général de la société. Ils sont tous les deux détenus par la justice américaine.

Comme souvent dans ce genre de dossiers aux U.S.A, les personnes mises en cause ont été amenées à accepter une reconnaissance de culpabilité et ne devraient donc pas faire l’objet d’un procès. C’est ce qu’annonçait vendredi dernier le ministère de la justice américain. Kaplan devrait ainsi être condamné à une peine de 4 ans d’emprisonnement et a accepté de verser près de 44 millions de dollars.

Leur société, BetOnSports, employant près de 2000 personnes au Costa Rica est en cessation de paiement, a été interdite d’activité à destination du public américain et pourrait essayer de se redresser sur d’autres marchés.

Où en est la situation en France ?

La France, comme les autres pays de l’Union Européenne, est contrainte d’ouvrir son marché à des sociétés de jeux et de paris en ligne et l’échéance du 1er janvier 2010 s’approche. Ainsi, un projet de loi a été présenté par le ministre du budget début 2009. Ce projet reposera sur un principe de licence délivré par l’État français (pour une durée de cinq ans), une taxation des mises et la création d’une autorité de contrôle.

Il s’agit ici tout autant de protéger le consommateur français (qui est déjà client de ces services en ligne, souvent en toute illégalité et parfois avec le risque de se faire escroquer) que de préserver l’équilibre d’un monopole préexistant qui assure des revenus non négligeables pour le budget de l’État. L’exemple de BetOnSports cité en début de cet article illustre particulièrement l’intérêt d’un encadrement efficace lors de l’ouverture du marché français et évidemment d’un accent fort à porter sur la coopération européenne et mondiale contre les activités les moins recommandables qui côtoient souvent les entreprises les plus sérieuses dans ce domaine d’activité.

La discussion de ce projet de loi est annoncée pour le début de l’automne à l’assemblée nationale. Je ne manquerai pas de suivre ces débats avec mes lecteurs et notamment leur impact sur la sécurité en ligne des internautes et l’activité criminelle.

17 août 2009 by Actualité judiciaire Cybercriminalité Juridique Prospective 1

Attaque DDoS Twitter (suite)

En complément à mon billet d’hier sur l’attaque contre Twitter de la semaine passée, Arbor Networks en ferait une analyse intéressante tendant à indiquer qu’il ne s’agit effectivement que d’un événement de faible amplitude et qu’au même moment des attaques beaucoup plus importantes avaient lieu (contre un opérateur asiatique par exemple).

(Plus d’informations ici)

Cela confirmerait les inquiétudes sur la résistance de telles plateformes à des attaques de grande ampleur.

14 août 2009 by Cybercriminalité Sécurité 0