Non classé

Ce court billet vise à explorer les premiers enjeux que l’on peut évoquer pour les réseaux sociaux émergents (même s’ils existent depuis quelques années en réalité) qui constituent le fédiverse en matière d’investigation numérique. Beaucoup se sont déjà exprimés sur les questions de régulation des contenus, je n’y reviendrai pas, même si les ressorts sont similaires.

Quelques rappels sur le fédiverse.

Le fédiverse est une fédération d’espaces de publication (ou réseaux sociaux) reposant généralement sur des logiciels libres (exclusivement pour l’instant) et utilisant un protocole permettant l’interopérabilité par le rediffusion des activités entre les différentes plateformes. Le protocole majoritairement utilisé aujourd’hui est ActivityPub, officiellement publié comme recommandation du W3C le 23 janvier 2018.

Mastodon est le logiciel le plus couramment utilisé, mais il en existe d’autres du même type comme Pleroma. Ce protocole ActivityPub permet aussi de faire la passerelle vers d’autres modèles de publication d’informations que les microblogs comme la publication d’images (Pixelfed), de vidéos (Peertube qui repose sur une distribution pair à pair des contenus) ou d’événements (Mobilizon).

En pratique, on peut donc publier sur une plateforme des contenus qui seront accessibles dans les autres types d’applications (le rendu s’adaptera à l’application utilisée et bien entendu le client utilisé pour accéder au serveur et visualiser l’information), mais aussi suivre des comptes sur l’ensemble du Fédiverse. Par exemple, le présent blog WordPress est configuré avec une extension ActivityPub qui permet de le suivre sur l’adresse @ericfreyss.

Au-delà de ce premier niveau de fédération, chaque logiciel ne tourne pas sur un seul serveur, mais potentiellement sur autant de serveurs que d’initiatives individuelles qui le souhaitent. Ainsi utilisant Mastodon, on retrouve:

• les serveurs hébergés par l’entreprise qui a développé originellement ce logiciel (Mastodon gGmbH en Allemagne, soutenu par des dons) avec plusieurs centaines de milliers d’utilisateurs (https://mastodon.social)
• ou des instances plus petites locales (https://mastodon.top, https://piaille.fr en France)
• au service d’une communauté (https://mamot.fr de la Quadrature du Net, https://mastodon.lol pour la communauté LGBT)
• pour une collectivité publique (la Commission européenne dispose d’un serveur Mastodon https://social.network.europa.eu et d’un serveur de vidéos Peertube https://tube.network.europa.eu/)
• ou encore par affinité thématique (https://social.sciences.re/ dédié au monde académique ou https://mapstodon.space/ cartographie et spatial, https://infosec.exchange/ à la cybersécurité).

Plusieurs annuaires de serveurs sont disponibles: https://joinmastodon.org/fr/servers et https://instances.social/.

Enfin, dernier aspect qui me parait intéressant que j’évoquerai dans cette introduction: la multiplicité des clients. Même si sur Twitter on a pu connaître plusieurs clients, sur Mastodon en particulier c’est la règle. Le mode d’accès classique reste d’abord le site Web – qui peut être installé comme application Chrome/Chromium par exemple sur son PC ou son téléphone/tablette. Mais il existe aussi de nombreux clients, avec souvent la possibilité de se connecter à plusieurs comptes en même temps. J’utilise pour ma part Tusky sur Android et Sengi sur mon PC.

Enfin, plusieurs services suivent l’évolution des statistiques d’utilisation de ces plateformes. On peut citer https://fediverse.observer/stats, https://fediverse.party/, et le compte @mastodonusercount@bitcoinhackers.org qui publie toutes les heures une mise à jour:

Premiers points d’intérêt pour l’investigation numérique.

Bien entendu, il est probable que nous soyons amenés à conduire de plus en plus d’investigation numérique sur le fediverse, il y en a sûrement déjà un certain nombre malgré le relatif faible nombre d’utilisateurs actuels.

Tout d’abord, un petit détail technique. On a compris qu’il peut y avoir de nombreux serveurs et donc parler de Mastodon ou de Fédiverse n’amènera pas les enquêteurs (ou les spécialistes en collecte d’informations en source ouverte), vers une seule société, mais bien vers une multitude d’acteurs. Mais c’est évidemment la même chose pour tous les services classiques du Web décentralisé que l’on connaît. Le détail technique que je souhaitais évoquer est que l’adresse d’un compte du type @nomutilisateur@serveur.tld ne donne pas forcément le nom complet du serveur sur lequel le compte est hébergé. Ainsi pour le serveur académique francophone https://social.sciences.re/, les adresses sont de la forme @utilisateur@sciences.re. Astuce: pour accéder au serveur facilement, on peut utiliser le client Web Mastodon classique et d’un clic droit sur le menu contextuel on choisira l’option “Ouvrir la page d’origine”:

Dans la plupart des cas, on retrouvera une page d’information sur le serveur (“A propos” …/about/) qui décrit les règles de fonctionnement du serveur, donne des informations sur le/les gestionnaires, le nombre d’utilisateurs. On ne trouve pas encore à ce stade d’information de contact pour les services d’enquête. Parfois, ce pourra être uniquement le serveur de publication d’une entreprise ou d’une famille.

Il est aussi important de comprendre que dans la très grande majorité des cas, les serveurs sont gérés par des bénévoles, y compris leur modération. En tout état de cause, de la même façon que les services d’enquête et la justice sont au côté des utilisateurs des grandes plateformes, nous devrons relever le défi des réseaux sociaux décentralisés et nous adapter à cette réalité, qu’elle devienne la norme ou ne reste qu’une niche. A suivre et au plaisir d’échanger avec vous sur @ericfreyss@mastodon.social !

Comme je l’évoquais dans mon billet précédent, la gendarmerie nationale et son réseau CyberGend sont particulièrement mobilisés pour protéger les usagers (entreprises, collectivités, particuliers,…) contre les menaces cybercriminelles qui ne relâchent pas leur pression pendant cette crise épidémique.

L’un des points focaux de notre action est la question du télétravail qui a entraîné des aménagements, voire des changements importants dans les organisations et remet en cause aussi bien les process (comme la vérification des factures, des paiements), que les outils numériques (accès à la messagerie, aux documents partagés, etc.). Aussi, nous diffusons depuis quelques semaines un certain nombre de conseils pour sensibiliser aux risques nouveaux ou exacerbés pendant cette crise. Ils sont synthétisés ci-dessous dans l’infographie que vous pouvez télécharger au format PDF:

Exploitation des accès RDP faiblement protégés

Au cours de nos opérations de prévention, et des échanges avec les acteurs de la cybersécurité, nous avons identifié qu’un grand nombre d’organisations – y compris des professions médicales – avaient déployé des solutions de télétravail reposant sur le partage de l’accès au bureau Windows par le protocole RDP (pour “Remote desktop protocol“).

Dans beaucoup de cas que nous rencontrons, celui-ci n’est pas suffisamment protégé, soit parce que les contrôles d’accès ne sont pas suffisamment renforcés (en particulier nous relevons l’utilisation de mots de passe trop simples), et les vulnérabilités connues des services RDP ne sont pas corrigées par des mises à jour.

Et l’utilisation par les cybercriminels de ces failles pendant la crise du Coronavirus est en pleine effervescence:

• Connexion pour détourner des données personnelles ou confidentielles des serveurs ou des postes de travail
• Installation de rançongiciels
• Utilisation des machines attaquées pour réaliser d’autres attaques par rebond.
• Revente de listes d’adresses de serveurs dont les protections sont trop faibles.

Si vous avez un tel service d’accès à distance configuré sur un serveur Windows ou même un simple poste de travail accessible depuis l’extérieur, d’abord assurez-vous qu’un tel partage est indispensable et ensuite nous vous recommandons les précautions suivantes (à mettre en oeuvre par votre responsable informatique ou votre prestataire):

• Assurez vous de respecter les recommandations de l’ANSSI en matière de solidité et de renouvellement des mots de passe (beaucoup de mots de passe sont trop faibles) et celles touchant à la sécurité des services de bureau à distance – faites les mises à jour! (Bulletin d’alerte 2019-006)
• Si vous n’utilisez pas votre serveur RDP, désactivez-le et vérifiez les règles de votre pare feu
• Assurez-vous de n’autoriser des accès distants que pour des utilisateurs ne disposant pas de droits d’administration
• Fermez les accès distants des utilisateurs qui n’ont pas ou plus besoin de l’utiliser (anciens employés, stagiaires)
• Activez le protocole d’authentification Network Level Authentication (NLA) dans ce cas attention à ne pas activer la fonction qui force le renouvellement du mot de passe à la prochaine connexion
• Mettez en place des règles de filtrage géographique ou par adresse IP
• Mettez en place des règles permettant d’identifier une utilisation suspecte (essais répétés, adresse IP inhabituelle, etc)

N’hésitez pas à rediffuser ces conseils auprès de vos contacts professionnels. N’oubliez pas qu’en cas d’incident vous pouvez toujours obtenir de l’assistance et des conseils auprès de Cybermalveillance.gouv.fr, partenaire de la gendarmerie.

Et voilà, une nouvelle édition de Botconf – la conférence internationale sur la lutte contre les botnets – s’est achevée vendredi à Bordeaux. L’occasion pour moi de faire le bilan de ces 7 éditions passées et d’expliquer pourquoi ce type de conférence est nécessaire.

Ceux qui me lisent ou échangent souvent avec moi savent combien la lutte contre les botnets – et plus largement les logiciels malveillants mais j’y reviendrai – est importante. D’abord parce que c’est la forme de délinquance numérique qui se développe le plus, en témoigne l’explosion des cas d’infection par rançongiciels chiffrants ou cryptlockers au cours de la dernière année.

Observer les botnets, plutôt que les logiciels malveillants simplement, c’est se donner les moyens d’observer un système, une infrastructure. Non seulement une infrastructure de pilotage (les systèmes de commande et de contrôle ou C&C) mais aussi les systèmes de distribution des logiciels malveillants, et les différentes étapes de leur installation. Enfin, on peut aussi s’intéresser aux acteurs (threat actors en anglais) qui contribuent aux différentes étapes de la vie des botnets.

Pour aller plus loin, vous pouvez consulter l’article où je détaillais les travaux conduits dans le cadre d’une thèse entre 2011 et 2015.

Très rapidement d’ailleurs en 2011, il m’était apparu essentiel, en discutant avec la communauté française traitant de cette menace, qu’on puisse avoir une occasion d’échanger de façon ouverte avec les acteurs du monde entier. En effet, à l’époque, il y avait assez peu de conférences traitant des logiciels malveillants, souvent confidentielles, sur invitation, ouvertes à un public donné, associant peu et valorisant peu les acteurs du monde académique. A côté de cela, beaucoup de conférences de sécurité traitent parfois des botnets, mais jamais de façon spécifique. On peut saluer les conférences de Virus Bulletin, beaucoup plus ancienne et volontairement plus tournées vers l’industrie de la sécurité, mais de très bonne qualité.

Avec quelques amis et nouveaux amis, nous nous sommes lancés dans l’aventure et avons organisé la première conférence à Nantes au mois de décembre 2013. Un peu plus de 150 participants dès la première édition et un format qui s’est vite rodé (une session – track – unique où tout le monde participe à l’ensemble des présentations). Depuis nous avons rajouté des ateliers, en fait des formations à l’utilisation d’outils et de méthodes d’analyse de logiciels malveillants, de traces réseaux ou de gestion de l’information sur la menace (threat intelligence).

Le bilan de cette année est exceptionnel: plus de 400 participants de 31 pays, 50 conférenciers pour 29 présentations et 3 ateliers – 1730 minutes d’échanges en 4 jours. Un contenu très dense comme en témoigne le programme.

Chaque année, une tendance se dessine dans les sujets abordés. Cette année fut très variée et on a beaucoup parlé de collecte d’information sur la menace (threat intelligence), de botnets sur mobiles Android, et de sécurité des infrastructures (la sécurité du point de vue des hébergeurs de serveurs Internet).

Cette année enfin, deux participants réguliers de Botconf – la Gendarmerie et un éditeur antivirus Avast – ont témoigné de leur coopération réussie contre le botnet Retadup, qui n’aurait pas été possible ou plus difficilement, si la rencontre ne s’était pas faite les années précédentes pendant cette conférence.

L’année prochaine, l’équipe a choisi de donner à nouveau rendez-vous à Nantes, et donc de toujours bouger en France pour se rapprocher des différents acteurs locaux, avoir le plaisir de faire découvrir notre pays à ces centaines de visiteurs. Au-delà de la richesse des échanges techniques, je retire avant tout une formidable expérience humaine, une communauté avide d’échanges et une équipe d’organisation exceptionnelle dont la motivation et la rigueur me font grandir d’année en année. Merci à tous !