Prévention

Vulnérabilité Java CVE-2012-4681 – Et si on devenait enfin responsables !

Mise à jour : 30/08/2012 20h10

Oracle vient de publier une mise à jour au moteur Java standard (versions 6 et 7). Il vous est recommandé de le mettre à jour si vous avez Java installé sur votre machine.

Une mise à jour de l’information sur cette vulnérabilité est publiée sur le site d’Oracle. Une analyse de la mise à jour est publiée ici.

Le tweet où tout commence

Vous en avez peut-être entendu (ou lu) parler ici (Korben), ici (eh oui ça touche les Mac aussi!), au Monde Informatique ou même ici (l’ANSSI vous en parle)… Assez peu toutefois dans la presse grand public (en tous cas je n’ai rien trouvé ?), même si des blogs destinés à un public assez large l’évoquent en détail (Numérama ou Malekal).

Il s’agit d’une faille (apparemment un cumul de deux failles), dites 0-day, parce que non révélées auparavant et encore exploitables parce que le produit qui est ciblé n’a pas encore été corrigé. Cette vulnérabilité, référencée sous le nom de code « CVE-2012-4681 » dans la base de référence américaine du MITRE, touche le moteur Java de la société Oracle dans sa version 1.7, soit la plus récente. Le CERT US détaille la vulnérabilité.

Chronologie

On vit cette fois-ci un enchaînement et une combinaison de phénomènes particulièrement défavorable (Eric Romang analyse aussi une partie de cette chronologie):

04/2012… (j’en parle un peu plus bas)
26/08/2012, FireEye publie sur son blog l’annonce de cette vulnérabilité jusque là inconnue. Elle leur est révélée grâce à l’étude de ce qu’ils décrivent comme une attaque ciblée d’un de leurs clients (d’autres spécialistes comme Eric Romang ou la société Trend Micro ne croient pas à cette analyse, mais plutôt à une vulnérabilité circulant déjà peut-être depuis quelques mois, Symantec de son côté effectue un rapprochementavec les attaques ciblée d’une équipe surnommée Nitro)
- FireEye a eu quelques jours auparavant des soucis avec une découverte qui n’en était pas une, alors qu’ils annonçaient avoir découvert un serveur de commande du botnet Gauss, commun avec celui d’un autre botnet semblable, Flame. En réalité c’est la société antivirus Kaspersky Lab qui avait mis en place un serveur pour reprendre le contrôle de ces deux botnets. Cela a peut être précipité leur publication expresse de l’information sur cette vulnérabilité.
L’annonce est reprise de nombreuses fois dans beaucoup de blogs sur la sécurité informatique, y compris avec des codes de démonstration (PoC). S’agissant d’une vulnérabilité indépendante des systèmes d’exploitation, elle est potentiellement exploitable sur tous, de Linux à Microsoft Windows en passant par MacOSX.
27/08/2012, il semblerait que les développeurs de différentes plateformes d’exploit annoncent à leurs ‘clients’ qu’ils vont pouvoir profiter eux aussi de cette vulnérabilité très rapidement (Brian Krebs en parlait lundi au sujet de BlackHole et très vite des chercheurs en sécurité repèrent des serveurs malveillants qui l’exploitent) et selon Kafeine (et ici), l’exploit kit Sakura et Sweet orange semblent être sur les rangs. Je vous ai parlé des plateformes d’exploit dans mon article de décembre 2011 sur le rançongiciel gendarmerie ou dans l’article de février dernier sur le botnet Citadel.
27/08/2012, toujours, Rapid7 annonce que sa plateforme de tests d’intrusion et d’évaluation sécuritaire Metasploit intègre cette nouvelle vulnérabilité dans sa batterie de tests;
28/08/2012, en fin de journée, l’équipe du Kaspersky Lab pousse un petit coup de gueule. On ne sait trop si c’est contre FireEye (encore, la guerre de communication entre les sociétés de sécurité ?) ou bien contre ceux qui ont publié très rapidement des « PoC » (proof of concept, démonstrateurs de l’exploitation de la vulnérabilité).

29/08/2012, on apprend qu’Oracle aurait été avisé de ces vulnérabilités dès le mois d’avril (ComputerWorld) par la société polonaise Security Explorations. Notons qu’il est normal que des vulnérabilités ne soient pas corrigées immédiatement par les développeurs d’un logiciel, le développement d’une correction demandant parfois de nombreux tests pour éviter que de nouvelles failles ou dysfonctionnements soient créés par ces changements.
30/08/2012, à ce jour, Oracle ne reprend toujours pas l’alerte sur cette vulnérabilité et ne semble pas vouloir publier de mise à jour avant celle qui est programmée pour le mois d’Octobre 2012:

Quelque chose ne va pas dans le monde de la sécurité

Je suis assez d’accord avec certains qui ne sont pas satisfaits de cette chronologie, même si elle permet de démontrer un enchaînement particulièrement prévisible, mais qui est ici exacerbé, en moins de trois jours on aura eu:

Une société de sécurité qui publie brutalement des informations sibyllines, mais assez faciles à déchiffrer, relatives à une vulnérabilité;
Quelques heures après, des chercheurs s’empressent de publier presque en se faisant la course au premier qui le fera, grâce aux éléments diffusés par la dite société, des détails sur la vulnérabilité et la façon de l’exploiter;
Un éditeur qui ne communique pas vers son public sur les mesures qu’il envisage de prendre tout de suite ou prochainement;
Quelques heures après, les démonstrateurs publiés sont directement intégrés dans les plateformes d’exploits utilisées par les groupes criminels;
Très rapidement, des victimes se font exploiter de façon massive, notamment pour diffuser les virus bancaires et autres rançongiciels particulièrement actifs actuellement.

Il est grand temps que les professionnels de la sécurité informatique se mettent enfin d’accord sur des procédures responsables de divulgation des vulnérabilités et ce de façon coordonnée (développeurs, comme chercheurs en sécurité de tous bords). Au vu des conséquences des exploitations aujourd’hui possibles grâce au type de botnets qui sont en activité, il est fort probable que plus de 100.000 euros aient été déjà détournées de victimes à travers le monde (les montants sont difficiles à évaluer, mais c’est l’ordre de grandeur de ce qu’on constate comme gains sur certains botnets en un ou deux jours et comme beaucoup agissent en même temps et que cette vulnérabilité n’est pas forcément celle qui est utilisée pour toutes les attaques il est encore trop tôt pour être plus précis), et vraisemblablement le compteur va finir de tourner tant qu’une mise à jour de Java n’est pas massivement diffusée. Par ailleurs, depuis lundi, des milliers de responsables informatiques se grattent la tête à travers la planète pour savoir comment sécuriser leurs réseaux et s’échangent des scripts pour rapidement désactiver Java 1.7 chez leurs utilisateurs.

Que puis-je faire chez moi ?

Sur un ordinateur personnel, il est vraisemblable que vous n’ayez pas besoin très souvent de Java, même s’il est parfois nécessaire pour certaines applications disponibles en ligne. Il est donc raisonnable d’envisager de désactiver Java dans son ordinateur, au moins pour la version 1.7.

Plusieurs sites expliquent les procédures: le blog Malekal, ou encore ici en anglais. Vous pouvez vous prémunir de ce type d’attaques et bien d’autre en installant des extensions de sécurité telles que NoScript (http://noscript.net/ pour Firefox ou Notscripts ou Scriptno sous Chrome) qui vous permettent d’avoir un contrôle site par site du lancement grâce à des programmes intégrés (scripts) de ce type de modules depuis une page Web.

Dans une entreprise, beaucoup seront peut-être encore à la version précédente qui certes a d’autres vulnérabilités mais permet de faire tourner certaines applications. Si Java n’est pas nécessaire dans votre entreprise, il semble aujourd’hui urgent de le désactiver pour éviter tout incident. Si Java 1.7 est indispensable dans votre contexte, il existe des correctifs non officiels qui pourraient vous aider.

Faites circuler l’information et continuez de vous tenir informés des bonnes pratiques.

Mise à jour : 30/08/2012 20h10

Oracle vient de publier une mise à jour au moteur Java standard (versions 6 et 7). Il vous est recommandé de le mettre à jour si vous avez Java installé sur votre machine.

Une mise à jour de l’information sur cette vulnérabilité est publiée sur le site d’Oracle.

Ne rappelez pas les inconnus qui vous appellent depuis un 0899…

Complément du 26/08/2012 13:32

Autre type de manœuvre assez « subtile » que l’on peut rencontrer pour vous inciter à appeler ces numéros en 0899XXXX, l’envoi de SMS comme dans l’exemple ci-contre que je viens de recevoir. Vous noterez que le SMS provient d’un numéro GSM banal (en 07, la nouvelle tranche de numérotation des mobiles) et non pas d’un numéro court ou d’un numéro en 089X. Ici, l’astuce consiste à vous dire que vous avez gagné un chèque et vous laisser supposer qu’il pourrait avoir un montant de 5000 euros (notez le point d’interrogation). Toutes les personnes qui témoignent n’ont gagné que quelques centimes d’euros, même pas payés par le prix de la communication. Encore une fois, il ne faut pas rappeler les numéros de ce type-là dans ces conditions, pour la bonne et simple raison qu’on ne doit pas en France payer pour participer à un jeu concours et les sommes liées à un tel numéro surtaxé vont bien au-delà du partage du coût de la communication.

Le message de cet article est assez simple: il ne faut jamais rappeler un appel depuis un numéro inconnu en 0899… même si on vous laisse un message vocal !

Le principe est lui aussi assez simple: des services fictifs sont montés, un numéro surtaxé obtenu auprès d’un opérateur avec un contrat en bonne et due forme et les victimes reçoivent ensuite des appels depuis le numéro. Parfois il n’y a personne au bout du fil, parfois une bande enregistrée. Sur les quelques milliers d’appels (dont le coût est ridicule pour celui qui les a émis), certaines victimes rappellent avec autant de fois 1,34€ et 0,34€/min sur la facture, d’où le nom d’appels à rebond ou ping call qui est donné à ce type de spam vocal. Je fais ici référence à ce qui se pratique en France, d’autres tranches de numéros surtaxés existent dans les autres pays: voir cet article de Wikipédia Premium-rate telephone number.

Les numéros surtaxés ont des usages parfaitement légitimes et permettent – depuis des dizaines d’années maintenant – de payer pour un service auquel on accède par téléphone. C’est simple, ça évite de donner son numéro de carte bancaire ou son nom, que l’on appelle un service de renseignement, un numéro de téléphone « coquin » ou une « voyante », un service d’assistance technique parfaitement légitime… La seule obligation est d’avertir le consommateur du prix de la communication (petit message au début) et d’offrir évidemment le service qu’il attend.

Dans les cas que j’évoque ici, il n’y a aucun service au bout du fil, parfois il est simulé et on vous incite par une manœuvre qui pourrait être qualifiée de frauduleuse à contacter ce service. On doit avoir une raison objective d’appeler un numéro surtaxé et le simple fait de recevoir un appel depuis ce genre de numéro ne sera jamais une bonne raison. Il est possible que votre numéro ait été collecté à cette fin pour que vous soyez prospecté, mais il est tellement plus simple de fabriquer automatiquement des listes de numéros, le nombre de combinaisons étant limité.

Note: la même technique existe avec l’envoi de SMS faisant la publicité de ce même type de services (ou des numéros SMS Premium), et suit le même principe.

Si vous recevez un appel depuis un tel numéro, comme pour les spams par SMS, il est possible de les signaler au 33700. Il ne vous en coûtera rien depuis Orange, SFR ou Bouygues Télécom qui sont partenaires dans la gestion de ce service de signalement, et le coût est celui d’un SMS normal depuis les autres opérateurs français. Suite aux signalements, des vérifications sont effectuées sur les services offerts et s’ils sont identifiés comme frauduleux, le contrat peut être rompu.

Enfin, plusieurs sites vous donnent des informations sur les méthodes pour bloquer certains appels, par exemple cet article de commentcamarche.net.

Le sujet que j’évoque ici n’est pas nouveau, j’en suis bien conscient, mais il continue de proliférer et il est important de faire circuler l’information.

Que fait le régulateur ?

Alex Archambault me signale sur Twitter (@AlexArchambault) que l’ARCEP a pris très récemment une décision importante. Elle est téléchargeable sur le site de l’ARCEP et date du 17 juillet 2012. En particulier, avec effet immédiatement, il est interdit d’utiliser un numéro en 089X comme identifiant d’appel, justement pour éviter ce type de pratiques. A suivre donc !

22 août 2012 by Éric Freyssinet Cybercriminalité Prévention 26

Dénoncer les atteintes aux mineurs sur Internet

Un des points de départ de la réflexion sur cet article, est la question de savoir s’il faut réagir aux actions de certaines personnes se réclamant des Anonymous et qui montent différentes opérations contre des sites pédophiles, propédophiles, diffusant des images ou des discussions en rapport avec ces sujets (voir l’article du Monde.fr).

Que se passe-t-il? Des personnes publient des listes de noms, d’adresses électroniques, voire d’adresses postales qui auraient été retrouvées sur différents espaces de discussion, ou d’échanges en rapport avec les atteintes aux mineurs. Par ailleurs, ils s’en prennent à certains de ces sites pour en empêcher le fonctionnement, voire à certains hébergeurs. Enfin, l’information est relayée dans la presse est l’une des questions qui se pose est de savoir s’il peut y avoir des suites judiciaires. Les personnes qui critiquent ces actions se voient parfois reprocher d’être favorables aux pédophiles.

Pour l’instant, il semblerait que sont essentiellement concernés des personnes résidant en Belgique ou aux Pays-Bas.

Beaucoup de problèmes sont soulevés par ces actions:

ceux qui les réalisent commettent différentes infractions et ils pourraient être mis en cause ;
de façon générale, il n’est pas du rôle du public de mener des enquêtes, mais celui des autorités judiciaires, dans le cadre prévu par la loi qui préserve les droits des individus et la présomption d’innocence ;
au passage, des personnes totalement innocentes peuvent voir leur identité mise en relation avec des infractions qu’ils n’ont pas commises, qu’il s’agisse d’erreurs d’appréciation, d’absence de preuves, de pseudonymes ou d’homonymes ;
il n’est pas certain que cela puisse permettre des enquêtes judiciaires, selon les circonstances et selon les pays ;
des enquêtes judiciaires en cours pourraient être compromises, notamment s’agissant d’opérations visant à infiltrer ce type de plateformes.

Sur Twitter aussi

Ce qu’il ne faut pas faire sur Twiter

Une autre série de débats est née de multiples « retweets » ces derniers jours appelant à signaler des comptes Twitter soupçonnés soit très clairement de diffuser des images à caractère pédopornographique, soit d’être favorables à la pédophilie. On pourra notamment lire l’article du Figaro à ce sujet et un article de blog cité par cet article (blog de Paul da Silva).

Que font les services d’enquête et la justice ?

L’action dans ce domaine est quotidienne et résolue, en Europe et plus particulièrement en France. La législation française est particulièrement claire, réprimant tout aussi bien la pédopornographie que les propositions sexuelles à des mineurs de moins de quinze ans. La pédopornographie est toute représentation pornographique mettant en scène des mineurs (c’est-à-dire des personnes de moins de 18 ans). Sont interdites la fabrication de ces documents (images ou vidéos notamment), leur diffusion ou encore leur détention ou leur consultation habituelle. Plusieurs dizaines d’enquêteurs de la police et de la gendarmerie ont été formés en France depuis le vote de la loi sur la prévention de la délinquance en 2007 aux investigations sous pseudonyme qui permettent notamment de mener des enquêtes dans des espaces de discussion destinés à préparer ou réaliser de telles infractions contre des mineurs.

L’action judiciaire se déroule la plupart du temps avec une certaine discrétion pour préserver les droits de l’ensemble des parties, qu’il s’agisse des victimes ou des mis en cause. Certaines affaires sont médiatisées pour sensibiliser le public sur cette action et contribuer à la prévention de tels faits, ou parce qu’elles se sont déroulées sous le regard du public. Au passage, contrairement à ce qui a pu être écrit dans la presse récemment, ce n’est certainement pas la semaine dernière « la première fois » qu’un compte Twitter a été fermé pour diffusion de contenus pédopornographiques.

Que peut faire le public contre les atteintes aux mineurs sur Internet ?

Il est important de se tenir informé sur les risques, notamment si l’on est parent ou que l’on s’occupe d’enfants. Il est important dans ce contexte de maintenir un dialogue avec les enfants sur leur pratique de l’Internet et selon leur âge de contrôler éventuellement cet usage (par exemple avec l’aide d’un logiciel de contrôle parental, mais ce ne sera jamais suffisant).

Si on découvre des faits qui semblent relever d’infractions de cette nature, la seule bonne solution est de les signaler aux services chargés d’enquêter sur ces faits. En France, la plateforme de signalement conjointe à la police et à la gendarmerie est hébergée par l’OCLCTIC et joignable à l’adresse: https://www.internet-signalement.gouv.fr/. En Belgique, l’adresse est https://www.ecops.be/. Une vérification systématique est réalisée sur les signalements transmis à cette équipe et si une enquête est justifiée elle sera rapidement confiée à un service spécialisé. D’autres canaux existent pour la dénonciation de contenus illicites de ce type, notamment le Point de contact de l’AFA en France (et le lien présent obligatoirement depuis la page d’accueil de tout FAI ou hébergeur en France), ou encore le réseau INHOPE.

Il ne faut surtout pas rediffuser l’adresse de ces contenus (qu’il s’agisse de l’adresse d’un site Web ou le pseudonyme d’un compte Twitter) à d’autres en appelant à les « dénoncer en masse ». D’abord c’est contre-productif, parce que l’objectif est justement que ce type de contenu ne puisse être visible et qu’une seule dénonciation suffit à ce qu’un contenu soit évalué, notamment sur les plateformes de signalement officielles. Ensuite, on risque de soi-même commettre une infraction : pour diffamation si la situation a été mal évaluée (on retweete souvent ce type de message sans vérifier, ce qui semble normal) ou bien a contrario si l’on facilite la diffusion du contenu illégal (ne pas oublier que Twitter est un média mondial et qu’on est en principe lu et lisible par tout le monde).

Rajoutons que sur Twitter en particulier (voir la page d’information), comme sur Facebook (pages d’aide), on peut directement signaler un contenu préjudiciable par différentes fonctions (Lien « Signaler ce contenu » à côté d’une vidéo ou d’une image sur Twitter, ou lien « Signaler » dans le menu déroulant de chaque contenu sur Facebook).

Si un enfant est manifestement en danger immédiat, il faut prévenir rapidement des services capables de traiter urgemment la situation, par exemple en composant le 17 ou le 112 en France ou encore le 119 Allo Enfance en Danger (le 119 est joignable 24h/24 et 7 jours sur 7). Voir sur Wikipédia la liste des numéros d’urgence selon votre pays.

Enfin, si l’on souhaite s’investir durablement, différentes associations contribuent en France et ailleurs à la lutte contre les atteintes aux mineurs sur Internet. On peut citer sans ordre de préférence la Fondation pour l’Enfance, Action Innocence ou encore e-Enfance, et il y en a d’autres abordant ces questions sous différents angles.

12 août 2012 by Éric Freyssinet Atteintes aux mineurs Juridique Prévention 9

Les rançongiciels sont toujours très actifs

Site d’information http://stopransomware.fr/

Au mois de décembre, nous faisions état du lancement de plusieurs campagnes de diffusions de virus se faisant passer pour des services de police dans toute l’Europe et au-delà, en France l’image de la gendarmerie étant particulièrement utilisée à cette fin. Une réunion de coordination s’est tenue au siège d’Europol à la Haye le 25 avril 2012.

Le développement de ces campagnes est évidemment très suivi par les services de police et des investigations sont en cours. Les chercheurs en sécurité et les sociétés spécialisées en sécurité publient de nombreuses analyses sur le comportement des virus impliqués, des infrastructures qui servent à les diffuser et des groupes qui semblent être derrière ces pratiques. La figure ci-dessous donne un résumé des variantes qui sont aujourd’hui observées – elles sont documentées aussi sur le wiki Botnets.fr dans la rubrique Police lock:

Variantes des rançongiciels policiers

Fonctionnement

Le principe rencontré est souvent très similaire:

La victime est attirée par différents moyens vers des plateformes d’attaques (exploit kits):
- Affichage d’une bannière publicitaire sur un site Web légitime (sites à fort trafic, souvent des sites Web de streaming pornographique)
- Affichage d’une page Web légitime dont le contenu a été modifié illégalement (des scripts malveillants ont été installés sur le serveur à l’insu de leurs propriétaires)
Selon la configuration de l’ordinateur de la victime, différents scripts lui sont présentés pour exploiter des vulnérabilités connues (notamment dans des extensions comme Flash ou Java) et un virus est téléchargé et installé.
Le virus affiche une page Web distante bloquant tout usage de l’ordinateur et réclamant le paiement d’une amende. Le contenu de la page est différent en fonction de l’adresse IP d’où la personne se connecte, pour s’adapter à son pays de résidence – en tous cas le pays d’où l’on se connecte.
Le paiement de cette rançon (il ne s’agit évidemment pas d’une amende légale) utilise des tickets de paiement électronique que l’on achète en général en France dans les bureaux de tabac (Ukash ou Paysafecard) et qui sont habituellement utilisés par les français sur des plateformes de jeux en ligne.
Le paiement de la rançon ne débloque évidemment pas l’ordinateur.
Certaines versions chiffrent des fichiers personnels et rendent le système encore plus difficilement utilisable.
Ils fonctionnent avec tous les principes des botnets : logiciel malveillant sur la machine de la victime, système de commande et de contrôle avec panneau de commande, réception d’ordres à exécuter (parfois même mises à jour et téléchargement d’autres virus), envoi d’informations vers le système de commande (les codes PIN des systèmes de paiement électronique).

Versions plus récentes

Les nouvelles versions continuent de se développer, notamment par leurs visuels, mais aussi par les infrastructures utilisées et donc vraisemblablement les équipes qui sont derrière:

Une nouvelle version du virus exploitant l’image de la gendarmerie française

Dans une autre variante, c’est l’image de la SACEM et de la police nationale française qui sont exploitées

Une autre version (repérée par Malekal.com) utilisant divers logos dont ceux de l’ANSSI et de l’OCLCTIC.

Que faire ?

Les points clés de l’action pour l’utilisateur final sont les suivants (on peut aussi consulter le document de prévention proposé par Europol):

Se tenir informé, et informer ses collègues et ses amis. L’information est cruciale pour prévenir les différentes formes d’escroquerie.
Tenir à jour son ordinateur (système d’exploitation, mais aussi tous les logiciels et les extensions que l’on utilise)
Ne jamais payer ce genre de rançons, elles ne débloquent pas la situation. Et on le rappelle: les services de police ne réclament pas le paiement d’amendes en bloquant les ordinateurs.
Si on est contaminé chez soi, ne pas hésiter à chercher de l’aide auprès d’amis, de forums d’entraide (comme forum.malekal.com) et auprès des sociétés spécialisées dans la lutte contre les virus.
Si on est contaminé au travail, il est important d’en parler à son responsable informatique ou son correspondant en sécurité des systèmes d’information. Ils doivent être au courant de ce type d’incidents et pourront vous aider à rétablir un équipement en fonctionnement normal sans perdre vos données.

Quelques liens vers des outils gratuits de décontamination (non exhaustive, pardon d’avance si j’en oublie) :

F-Secure (Easy clean notamment et CD-ROM de récupération)
Kaspersky virus removal tool
Malwarebytes
Symantec Norton power eraser

17 mai 2012 by Éric Freyssinet Cybercriminalité Prévention Sécurité 115

Le DNS cible de toutes les attaques?

Le DNS (domain name system – voir l’article de Wikipédia) est ce service qui permet à votre ordinateur de faire le lien entre un nom de serveur et une adresse IP. Il permet aussi aujourd’hui de diffuser de plus en plus d’informations contribuant à la sécurité des domaines sur Internet. L’actualité de ce début d’année 2012 offre de nouvelles occasions d’en parler, abordons deux d’entre elles:

DNS Changer, un logiciel malveillant que l’on croyait maîtrisé, fait encore et toujours parler de lui et pourrait très bien empêcher certains d’entre nous de naviguer d’ici quelques jours ;
Une nouvelle vulnérabilité dite des « domaines fantômes » (Ghost domains) a été révélée récemment par des chercheurs, qui pourrait permettre à des domaines abandonnés ou fermés de continuer à survivre dans certaines portions de l’Internet et permettre des abus.

DNS Changer

Le 9 novembre 2011, le ministère de la justice américain annonce (voir l’histoire telle que la raconte le FBI) la réussite de son opération Ghost Click. Ainsi six résidents Estoniens ont été interpellés pour avoir géré une opération criminelle qui leur permettait d’escroquer des millions d’internautes et un certain nombre de sociétés gérant des campagnes publicitaires.

Une variante du cheval de Troie Zlob avait été créée, apparemment en 2006 ou un peu avant, pour modifier de façon massive la configuration DNS des victimes. La première version de ce cheval de Troie, appelé DNS Changer par la plupart des sociétés antivirus, modifiait la configuration des systèmes d’exploitation pour que la résolution des noms de domaine ne soit plus réalisée par les serveurs de noms de domaine du fournisseur d’accès de la victime, mais par une batterie de serveurs gérée par le groupe criminel. Une version ultérieure permettait même la modification de la configuration de certains routeurs locaux (les boîtiers que l’on installe chez soi pour permettre l’accès à plusieurs ordinateurs au travers de la même connexion Internet).

Les serveurs de noms de domaine contrôlés par le groupe criminel étaient sur les adresses IP suivantes:

85.255.112.0 à 85.255.127.255
67.210.0.0 à 67.210.15.255
93.188.160.0 à 93.188.167.255
77.67.83.0 à 77.67.83.255
213.109.64.0 à 213.109.79.255
64.28.176.0 à 64.28.191.255

Ainsi, le trafic légitime des utilisateurs était détourné vers des sites commerciaux associés à ces criminels, conduisant par exemple les victimes à effectuer des achats sur des sites illégitimes, ou bien l’ordinateur affichait des campagnes publicitaires non prévues. Cela leur permettait aussi d’empêcher les mises à jour de logiciels antivirus.

Le groupe criminel était à la tête d’une société qui avait pignon sur rue, Rove Digital (voir la synthèse réalisée par Trend Micro), elle-même ayant plusieurs filiales (Esthost, Estdomains, Cernel, UkrTelegroup,…) – j’ai déjà évoqué Estdomains dans un article précédent sur les hébergeurs malhonnêtes. Comme on peut le lire dans l’article de Trend Micro, leurs activités ne se limitaient pas aux DNS malveillants (commercialisation de faux antivirus notamment).

Des serveurs DNS remplacés par des serveurs sûrs, mais plus pour longtemps

Grâce à une décision judiciaire et l’assistance de sociétés spécialisées dans la sécurité informatique (regroupées dans le groupe de travail DCWG), l’ensemble de ces serveurs de noms de domaine ont été remplacés par des serveurs légitimes (gérés par ISC). L’avantage d’une telle solution est qu’elle n’a pas soudainement coupé des millions de personnes d’un accès normal à Internet. L’inconvénient est qu’elles ne se sont pas forcément rendues compte qu’elles étaient concernées.

Cette solution est à comparer à celle qu’ont employée les autorités néerlandaises lors du démantèlement du botnet Bredolab. Dans ce dernier cas, les victimes étaient redirigées, grâce à l’utilisation de fonctions intégrées dans le logiciel malveillant, vers une page Web les avertissant de la contamination:

Message de la police néerlandaise pour avertir les victimes du botnet Bredolab

Mais, dans les prochaines semaines, vraisemblablement le 8 mars, les serveurs gérés par le DCWG ne fonctionneront plus et les ordinateurs qui sont encore contaminés par ce logiciel malveillant ou qui ne sont pas complètement reconfigurés ne pourront plus accéder normalement à Internet, les serveurs DNS qu’ils utilisent n’étant plus accessibles. Il est donc important de vérifier qu’on n’est pas concerné.

Pour vous aider à faire cela, des serveurs Web ont été mis en place dans différentes parties du monde qui vous permettent de vérifier si vous pouvez être concerné. Ainsi le CERT-LEXSI a mis en place la semaine dernière un serveur http://www.dns-ok.fr/ qui doit vous afficher l’une des pages ci-dessous:

Tout va bien

Rien ne va plus

Si vous voulez aller plus loin et vérifier plus avant votre configuration, vous pouvez consulter ce document en anglais diffusé par le FBI (voir le PDF joint) et qui donne un peu plus de précisions sur les vérifications à effectuer. En pratique, il s’agit de vérifier que la configuration DNS de vos ordinateurs ou routeurs locaux ne pointe pas vers l’une des adresses IP listées plus haut dans l’article.

Vous trouverez d’autres ressources ici: http://www.dcwg.org/checkup.html et notamment une liste de serveurs de diagnostic par le Web ici: http://dns-ok.de/, http://dns-ok.be/, http://dns-ok.fi/, http://dns-ok.ax/, …

Que faire si vous pensez être concernés?

Les conseils sont ceux que l’on donne habituellement lors de la découverte d’une contamination virale informatique: sauvegardez vos données les plus sensibles, mettez à jour votre logiciel antivirus (après avoir réglé correctement votre configuration DNS) et lancez une procédure décontamination au démarrage si elle est disponible dans votre logiciel et n’oubliez pas de faire le ménage sur tous vos supports amovibles (clés USB) qui sont connus pour avoir été utilisés pour la diffusion de cette catégorie de logiciels malveillants. Vous trouverez d’autres conseils sur le blog Malekal.

Est-ce qu’il s’agissait d’un botnet ?

Oui. Il ne s’agit pas de la structure classique d’un botnet tel qu’on l’imagine habituellement (logiciel malveillant qui reçoit des commandes sur un serveur IRC ou en se connectant sur un serveur Web), mais il y a un bien une infrastructure de commande (les centaines de serveurs DNS de Rove Digital/Esthost), un langage de communication particulier au travers de ces serveurs DNS, et une prise de contrôle assez avancée du comportement de la machine des victimes. Cette organisation malveillante rentre donc bien dans la définition que nous donnons d’un botnet sur le wiki Botnets.fr.

C’est exactement ce que dit Trend Micro dans son article sur ce dossier. J’avais évoqué d’autres modes de commande originaux pour des botnets sur ce blog: des images ou des Google groups.

Les domaines fantômes

La vulnérabilité dite des ghost domains n’a aucun rapport avec l’opération Ghost Click que nous venons d’évoquer, mais elle concerne bien une faille dans les serveurs DNS, même si elle n’a pas d’impact immédiat pour la plupart des lecteurs de ce blog.

Des chercheurs chinois et américains (Jian Jiang, Jinjin Liang, Kang Li, Jun Li, Haixin Duan et Jianping Wu) ont ainsi mis en évidence, dans un article intitulé Ghost Domain Names: Revoked Yet Still Resolvable (voir le PDF), qu’il était possible de maintenir, dans la mémoire cache d’une grosse partie des serveurs DNS répartis sur la planète, la résolution d’un nom de domaine qui n’est normalement plus actif, longtemps après qu’il ait été révoqué.

En théorie, cela permet par exemple de maintenir en activité un système de commande et de contrôle d’un botnet longtemps après qu’il ait été mis hors service.

Principe de la vulnérabilité

Le principe décrit par les auteurs suppose d’interroger l’ensemble des serveurs DNS dans lesquels on cherche à maintenir l’information vivante, avec des requêtes qui provoquent une mise à jour. Pour ce faire:

si le nom de domaine que l’on cherche à protéger est fantome.com
que le serveur de nom de domaine principal de ce domaine est dns.fantome.com (pointant vers l’adresse IP x.y.z.t
on modifie le nom du serveur pour un autre, soit par exemple test.fantome.com (pointant toujours vers x.y.z.t)
et on interroge ensuite chacun des serveurs DNS attaqués pour qu’ils identifient test.fantome.com
comme ils ne connaissent pas test.fantome.com mais savent déjà résoudre les adresses du domaine fantome.com, ils se connectent sur x.y.z.t et se rendent alors compte qu’il a changé de nom et mettent à jour le serveur de nom de domaine pour fantome.com avec la valeur test.fantome.com et réinitialisent la valeur du TTL (time to live, voir Wikipédia), qui constitue en quelque sorte la date d’expiration de l’information dans le cache local du serveur DNS.

Ainsi, pour tous les serveurs qui sont vulnérables à cette attaque, si on les contacte au moins une fois par jour (ou juste un peu moins qu’un jour, si le TTL est configuré à 86400 secondes) pour provoquer une mise à jour, ils continueront de conserver l’information erronée, sans jamais vérifier auprès des registres de noms de domaine de plus haut niveau (voir Wikipédia).

Quel est le risque réel

Les chercheurs soulignent dans leur article qu’ils ont pu mesurer qu’une grande majorité des serveurs DNS sont concernés aujourd’hui par cette vulnérabilité. Et s’ils n’ont pas identifié une utilisation passée, ils ont pu montrer qu’elle fonctionnerait. L’un des scénarios qu’ils décrivent consisterait à cibler l’attaque contre des serveurs de noms de domaine d’un réseau donné. Des mises à jour sont en cours de déploiement dans différentes versions des serveurs DNS. Selon les spécialistes interrogés (voir l’article du Register), le risque n’est pas très grand étant donné que la vulnérabilité permet uniquement de maintenir en fonctionnement des domaines malicieux après leur disparition et non pas d’injecter des informations erronées sur des domaines légitimes existants (voilà quelques années, Dan Kaminsky mettait en lumière une faille beaucoup plus importante, en voir la synthèse chez Stéphane Bortzmeyer).

Conclusion

Internet fonctionne sur un ensemble de fonctions essentielles dont les serveurs DNS ou le protocole de routage BGP. Bien qu’ils soient relativement simples au départ, la complexité de l’Internet, la nécessité de diffuser et propager l’information rapidement les rend particulièrement vulnérables. Il est donc important de suivre leur sécurité du cœur de l’Internet jusque dans la mémoire de votre ordinateur.

Pour aller plus loin

J’ai déjà parlé du DNS dans plusieurs articles que vous pouvez retrouver ici:

Dans le compte-rendu du SSTIC 2011, deux présentations, celle de Stéphane Bortzmeyer (AFNIC) sur les vulnérabilités essentielles de l’Internet et la seconde de Guillaume Valadon et Yves Alexis Perez (ANSSI) sur le protocole DNS sécurisé DNSSEC (voir l’article de Stéphane Bortzmeyer sur le même sujet).
Un compte-rendu de l’atelier de l’AFNIC du 10 février 2011 sur les noms de domaines internationalisés
Un billet de février 2010 sur le statut juridique des traitements de l’adresse IP

D’autres articles sur les domaines fantômes:

The Register, DNS flaw reanimates slain evil sites as ghost domains
Infosec Institute, A new DNS exploitation technique: ghost domain names

19 février 2012 by Éric Freyssinet Cybercriminalité Prévention Sécurité 13

Safer Internet Day 2012

Le Safer Internet Day, ou Jour pour un Internet plus sûr, est organisé par INSAFE au mois de Février chaque année, pour promouvoir un usage plus sûr et plus responsable d’Internet et du téléphone mobile, notamment par les publics les plus jeunes. Il a lieu cette année le 7 février. En France, les activités du SID sont placées sous l’égide de la délégation aux usages de l’Internet.

Différentes activités seront organisées à travers la France et l’Europe. Vous trouverez plus d’information sur le détail de ces actions sur le site de l’opération en France. Vous aussi vous pouvez y participer, n’hésitez pas à vous inscrire.

A cette occasion, une vidéo de sensibilisation a été réalisée par la commission européenne:

[youtube=http://youtube.com/watch?v=bIQl_WaXbNM&w=560&h=315]

Dans le cadre du Safer Internet Day 2012, le point de contact de l’AFA lance un questionnaire à destination des jeunes de 13 ans et plus, qui sera accessible tout le mois de février, portant sur leur manière d’appréhender les contenus choquants sur Internet. Les résultats de cette enquête seront publiés en mars 2012, en clôture du Safer Internet Day.

1 février 2012 by Éric Freyssinet Prévention 0

Les réactions à l’affaire Megaupload – DDoS etc.

Tout le monde est évidemment au courant des suites de l’affaire Megaupload, sous la forme d’opérations revendiquées par différents groupes se revendiquant ou non de la bannière Anonymous.

Il n’est certainement pas question pour moi de questionner la légitimité d’un débat ou de l’expression publique, dans le respect des lois, y compris de façon particulièrement visible, pour réagir à un tel évènement ou s’opposer à des projets de lois. Toutefois, dans le cas présent, il me semble important de rappeler certaines réalités.

1. Le cas Megaupload

Sur le fond, je vous renvoie à mon article précédent sur le sujet, où vous retrouverez ce qui est reproché par les autorités américaines aux personnes mises ici en cause. Les accusations sont assez graves, tendent à montrer un système organisé visant à contourner la loi. Et bien entendu, encore une fois, les personnes ici mises en cause doivent être présumées innocentes jusqu’à ce qu’une décision judiciaire définitive ait été prise. Il est important que la justice puisse faire son travail sereinement et je ne suis pas certain que l’agitation actuelle y contribue.

Sur la forme, il existe un débat sur la proportionnalité des mesures. C’est celui exprimé souvent par des « Anonymous », repris dans certaines expressions publiques et par exemple dans l’article de Pierre Col. Soit. Nous n’avons ni vous ni moi en main l’ensemble des éléments qui ont conduit les autorités américaines à saisir l’intégralité des serveurs. Ils vont certainement s’en expliquer dans le détail, mais en tous cas le mandat qu’ils ont reçu par la mise en accusation du grand jury de Virgine les autorisait bien à saisir l’intégralité des biens et matériels de ces entreprises.

2. Sur les moyens d’expression utilisés

En l’état actuel du droit, l’essentiel des actions menées actuellement relèvent de différentes infractions pénales:

défacements: l’accès frauduleux dans des systèmes de traitement automatisé de données (article 323-1 du code pénal), puis la modification frauduleuse de données (article 323-3 du code pénal), sont punis en France de 2 à 5 ans d’emprisonnement au maximum et jusqu’à 75.000 € d’amende;
DDoS: les attaques en déni de service sont punies, au titre de l’entrave au fonctionnement d’un système de traitement automatisé de données (article 323-2 du code pénal), de 5 ans d’emprisonnement au maximum et jusqu’à 75.000 € d’amende ;
« publication » de catalogues entiers de maisons de disques: la diffusion de contrefaçons d’oeuvres de l’esprit peut être punie d’un maximum de 3 ans d’emprisonnement et 300.000 € d’amende.

Différentes analogies sont mises actuellement en avant. On compare ainsi beaucoup les attaques en déni de service à des « sit-in » ou autres « occupations » de l’espace public.

Sur le plan factuel, une attaque en déni de service distribué ne se contente pas d’empêcher les autres de se connecter sur un serveur, mais envoie par exemple sur le serveur un nombre de connexions supérieur à celui qu’il peut encaisser, ou que sa connexion puisse accepter. Parmi les conséquences éventuelles (très variables selon les cas):

simples difficultés d’accès, atteintes à l’image de l’organisation visée,
serveur arrêté totalement (vulnérabilités documentées ou non des serveurs),
dans de rares cas la compromission des données (par exemple, grâce à des requêtes spécialement destinées à s’en prendre aux bases de données sous-jacentes, ce n’est apparemment pas le cas dans l’usage fait aujourd’hui de l’outil LOIC),
investissements (au moins en termes d’heures ingénieur / technicien) pour remettre en fonctionnement,
coût de la sécurisation contre un type d’attaques non encore pris en compte (pas forcément à la portée financière de n’importe quelle entreprise ou organisation),
la perte de clients ou le fait que des clients n’aient pas accès à leurs services légitimes, dédommagement de ces clients ou de ces usagers (flagrant lors de l’attaque de certaines banques en ligne voilà un an),
éventuellement une perte de chance pour ces mêmes clients ou usagers (voir article Wikipédia sur les dommages au civil en droit français),
des atteintes à la liberté d’expression (cas flagrant de l’Express hier, mais les médias ne sont pas les seuls à disposer de la liberté d’expression),
selon la cible et si les services du serveur sont essentiels, mise en danger de la vie d’autrui, etc. (pas rencontré dans les attaques de cette semaine apparemment).

Sur le plan juridique, l’occupation illégale de l’espace public (attroupement), a généralement pour seule conséquence le risque d’un usage de la force pour disperser cet attroupement (article 431-3 du code pénal).

3. Tentative de conclusion

Sur le fond, chacun est évidemment et très heureusement libre d’avoir son avis et de l’exprimer suite à ce qui est advenu à la société Megaupload et ses dirigeants, et nous en apprendrons certainement plus dans les mois qui viennent.

Sur la forme des réactions, alors que nous habitons des pays démocratiques, où la liberté de s’exprimer, de manifester est particulièrement large et même facilitée, l’utilisation de tactiques certes efficaces sur le plan du bruit médiatique telles que des attaques informatiques me semblent à la fois contre-productives et dangereuses. Contre-productives parce que très clivantes et stigmatisantes (il y a forcément une portion non négligeable de la population qui n’adhérera pas), et dangereuses parce que le risque juridique est très mal évalué par ceux qui y participent.

Et comme on le dit très souvent, les conseilleurs ne sont pas les payeurs: expliquer aux jeunes et moins jeunes que participer à des DDoS et autres opérations du même type relèverait de la manifestation ou du sit-in est aujourd’hui factuellement et juridiquement faux.

24 janvier 2012 by Éric Freyssinet Cybercriminalité Juridique Prévention 35

Attention au détournement de l’affaire Megaupload

Faux site Megaupload

Avant de faire un billet plus approfondi sur le dossier Megaupload, un petit billet d’alerte sur une campagne de manipulation en cours sur les réseaux sociaux. Une adresse IP est diffusée depuis le soir même de la fermeture de Megaupload en promettant le retour du site, avec des messages du genre:

si on remonte quelques heures plus tôt dans la recherche sur Twitter on trouvait d’ailleurs le 18 janvier un autre usage de cet IP: la diffusion d’informations sur la façon de regarder gratuitement sur Internet le match Real Madrid – FC Barcelone:

Dès que cette IP a commencé à circulé j’ai senti qu’il y avait certainement un piège là-derrière, tout simplement parce qu’on ne relance pas un service comme Megaupload derrière une simple adresse IP, étant donnée l’infrastructure complexe qu’il faut pour accepter des millions de visiteurs par jour.

Mon tweet de vendredi matin ...

Cela s’est confirmé un peu plus tard avec différents blogs qui soulignent les incohérences (cf sur le blog reflets.info). Dès hier, PC Inpact a obtenu une confirmation « officielle » (sur cette brève).

Pourquoi une adresse IP ?

En fait ce site est aussi accessible par un nom de domaine trompeur: megavideo.bz (comme on peut le lire sur ce site en langue espagnole), mais il aurait été rapidement filtré par Twitter et d’autres formes de filtres. En effet, lorsque vous postez une URL dans Twitter, elle est automatiquement remplacée par un service de redirection de Twitter (http://t.co/) qui leur permet de repérer et de bloquer les URL dangereuses (j’en parlais au mois de juillet ici-même).

Et il semble donc que, malheureusement, le filtre mis en place par Twitter ne fonctionne pas encore pour les adresses IP.

Conclusion

La version accessible aujourd’hui est tristounette:

Et pour cause, la première version de la page se contentait d’être un copier-coller du site original avec dans le code des liens vers les images et les scripts CSS (qui régissent la présentation) hébergés sur www-static.megaupload.com … qui depuis a été débranché, vraisemblablement dans le cadre de l’enquête en cours. On note au passage les liens Facebook et Twitter qui incitent rediffuser l’adresse et le message larmoyant qui avertit sur les risque de hameçonnage… (oui à quoi peut servir une telle audience ?).

La bonne résolution du jour que je vous recommande est donc: je ne retwitterai pas l’adresse IP du nouveau site de Megaupload (qui n’en est pas un).

21 janvier 2012 by Éric Freyssinet Actualité judiciaire Cybercriminalité Prévention 5

Le virus « Gendarmerie » – Bilan de la semaine

Site d’information http://stopransomware.fr/

Mise à jour du 15 janvier 2012: Attention, ce virus se propage toujours, par exemple avec des variantes réclamant 100 euros et utilisant ce genre de pages d’avertissement, comme le signale le forum Malekal (voir ici):

Drôle de semaine pour pas mal d’usagers de l’Internet et pour la communauté NTECH de la gendarmerie. En effet, dès samedi 10 décembre nous avons commencé à recevoir des sollicitations au sujet de tentatives d’escroquerie utilisant l’image de la gendarmerie. La spécificité de cette campagne par rapport aux escroqueries par courrier électronique dont nous sommes familiers, c’est qu’elles exploitaient un virus informatique.

Le processus vécu par les victimes est le suivant: en visitant un site à fort trafic (notamment des sites diffusant des vidéos en streaming), une publicité affichée sur le site déclenche l’exécution d’un programme qui exploite une vulnérabilité présente sur leur ordinateur (notamment dans des versions de Java sous Windows XP et Windows Vista). Celle-ci installe ensuite le cheval de Troie (souvent après des messages d’avertissement mal interprétés par les victimes) qui vient bloquer l’ordinateur et affiche un message réclamant le paiement d’une amende.

Les escroqueries sur Internet adoptent de nombreux ressorts pour parvenir à leurs fins. Celle-ci en cumule plusieurs qu’il est intéressant de décomposer:

l’utilisation de l’image d’une institution ou d’une entreprise;
la faute que l’on peut réparer;
l’obstruction.

Utilisation de l’image d’une institution

Les campagnes de phishing, les escroqueries à la lotterie et beaucoup d’autres formes de scams utilisent l’image d’une institution. Récemment ont été évoquées les campagnes de phishing liées aux impôts, mais ce sont aussi les plus grandes marques – et en particulier les établissements bancaires et les sociétés de l’Internet – qui voient leur image utilisée. Très souvent c’est uniquement le logo et la marque, mais parfois cela va plus loin et c’est toute la mise en page classique d’un document ou d’un site Web qui sont utilisés pour tromper la victime.

Dans le cas présent, c’est le logo de la gendarmerie qui est exploité, associé à celui de la République française. Ils sont naturellement associés au respect de la loi:

Le symbole de la République utilisé est une de ses représentations historiques: le faisceau de licteur, mais dans la version que l’on retrouve sur Wikipédia. Il est aujourd’hui utilisé par la Présidence de la République et on le retrouve par exemple sur nos passeports.

C’est donc très clairement le public français qui est visé. D’ailleurs, la version du virus qui est diffusée en France est effectivement liée à l’implantation géographique de la victime. En effet, comme ont pu le noter certains analystes (voir article sur Malekal), le mode de diffusion de ce virus utilise la possibilité pour des bannières publicitaires de s’adapter au pays d’où provient la connexion (c’est une fonctionnalité offerte par les sociétés qui offrent ce type de services). Derrière ce sont de véritables kits qui sont exploités (comme Blackhole) et donc vont permettre de déclencher des vulnérabilités en fonction de la configuration de la machine visée.

Dans les cas précédents qui ont été rapportés récemment, ce sont d’autres services de police qui ont été utilisés, en particulier la police allemande, mais aussi suisse, espagnole, hollandaise ou argentine.

La faute que l’on peut réparer

Le message d’alerte affiche ensuite une liste de fautes que l’on aurait commises: pédopornographie et atteintes aux droits d’auteurs. Ce mécanisme fait appel à l’inconscient collectif fortement marqué par ces sujets. Ainsi, une personne qui va sur des sites pornographiques en se cachant de son entourage pourra penser qu’il a pu visiter des sites illégaux sans y faire attention. Une autre qui télécharge des séries ou des films, sans toujours vérifier si leur origine est légale se sentira concernée. La victime est alors placée dans l’incertitude (qu’est-ce qu’on me reproche exactement ?), dans le qu’en dira-t-on (qu’est-ce que vont en penser ma femme, mes collègues ?) et dans la crainte d’une action policière (je n’ai jamais rencontré les gendarmes… est-ce qu’ils vont être durs avec moi ?).

Mais tout de suite, est offerte la possibilité de s’en sortir, par le paiement d’une amende. Le montant a l’air suffisamment sérieux (100 ou 200€ dans les cas rapportés), même si la méthode de paiement paraît un peu moins officielle (tickets et cartes prépayés).

Dans les autres formes de rançons réclamées par des escrocs, souvent le ressort de la sexualité est utilisé (et les interdits qui y sont associés), et l’accusation très forte et exagérée pour faire peur (« la femme avec qui tu discutais était ma petite sœur mineure… »). Il s’agit ici d’isoler les victimes, de les placer dans un angle dont elles ne pensent pas pouvoir se sortir, où elles auront même peur d’appeler à l’aide. L’escroc est devenu le seul ami de la victime, celui qui peut l’aider.

L’obstruction

C’est la même logique et d’autres ressorts qui sont utilisés dans les virus de rançonnement et exploités ici de façon complémentaire. L’ordinateur ne fonctionne plus et on en a besoin (ou bien on a peur d’expliquer à son propriétaire qui nous l’a prêté qu’on a fait une bêtise). Un obstacle de plus donc entre la victime et la solution de son problème. Dans certaines formes simplifiées de ces virus, c’est un simple blocage de l’ordinateur (fenêtre d’avertissement empêchant l’utilisation et parfois chiffrement des données rendant l’ordinateur inutilisable) ou du téléphone qui est réalisé:

Voir l'article d'origine ici

Bilan de la semaine

Dès le week-end dernier, la communauté des enquêteurs NTECH s’est mobilisée pour échanger de l’information sur ces affaires, d’abord pour avertir les collègues de ces cas, puis donner les bons conseils aux enquêteurs et aux victimes. Des fiches d’information ont par exemple été diffusées par les NTECH dans chaque département. Des échanges ont aussi lieu avec la police nationale, localement et nationalement (avec l’OCLCTIC et la plateforme de signalement Pharos, avec la BEFTI à Paris), qui reçoivent aussi de nombreuses sollicitations.

Pour faciliter la coordination, la permanence de la division de lutte contre la cybercriminalité, a ainsi reçu et traité plusieurs dizaines d’appels par jour sur ce dossier, recoupé et relayé les informations.

Le service de presse (SIRPA) de la gendarmerie a diffusé l’information auprès de l’AFP dès mardi (dépêche AFP reprise ici sur Tahiti infos) pour informer les médias et les pousser à reprendre les informations utiles diffusées sur un certain nombre de forums d’entraide.

L’information est reprise:

Mercredi 14 décembre, l’Est éclair, Numérama, Europe1, 20Minutes
Jeudi 15 décembre, France-Soir, l’Expansion.com, 01Net, Newzilla, Génération NT, leParisien.fr, le Télégramme, Presse Océan
Vendredi 16 décembre, France 3 Nord-Pas-de-Calais, L’Alsace, JT 13h France 2 (25′)
Samedi 17 décembre, La voix du Nord

Plusieurs centaines de personnes ont dû voir leur machine contaminée au cours de la semaine en France par cette variante du logiciel malveillant. Tout le territoire français était concerné, d’où l’intérêt d’un dispositif dense d’enquêteurs formés ou sensibilisés à ces questions. Moins d’une dizaine de personnes ont effectivement payé la somme, des plaintes ont alors été prises et des enquêtes ouvertes.

Les conseils

D’abord de bon sens: la gendarmerie, la police ou les services publics en général, n’iront pas bloquer votre ordinateur et vous menacer de devoir payer une amende, encore moins pour des faits totalement vagues et par un moyen de paiement plutôt réservé à des applications ludiques. Donc, dans ces cas-là se renseigner sur Internet (comme l’ont fait de nombreuses victimes sur des forums d’échanges) ou appeler l’administration concernée et ne jamais payer de sommes d’argent dans un tel contexte.

Sur le plan technique ensuite: tenir à jour son système d’exploitation, les différents logiciels et ajouts (plugins) installés (Java, Flash, Adobe reader pour ne citer que quelques-uns), ainsi que les solutions de sécurité (tels les antivirus). Pour les personnes dont l’ordinateur a été contaminé, plusieurs guides d’aide à la désinfection existent (Melani– agence Suisse de sécurité informatique – signalé par @xylit0l, Malekal).

Sur le plan judiciaire enfin. Evidemment, l’installation malveillante d’un virus sur un ordinateur constitue une atteinte à un système de traitement automatisé de données, puni notamment en France par les articles 323-1 et suivants du code pénal. Toutefois, il n’est pas forcément judicieux de porter plainte pour toutes les occurrences de tels faits, même si vous en avez parfaitement le droit. Nous sommes parfaitement au courant que chaque jour des centaines de personnes sont concernées en France et les enquêteurs de la communauté NTECH sont d’ailleurs mobilisés pour répondre à vos questions et vous assister, en particulier sur ce cas comme je vous l’expliquais plus haut.

Dans ce cas, le conseil que l’on peut donner, est de ne déposer formellement plainte que si vous avez malheureusement payé la rançon réclamée. Cela nous permettra d’envisager, avec l’accord des juridictions locales concernées (votre Procureur de la République), de remonter sur les moyens de paiement utilisés.

Autres images

Version OCLCTIC

17 décembre 2011 by Éric Freyssinet Actualité judiciaire Juridique Prévention Sécurité 183

Enquête sur un phising par Twitter

Ce matin, je suis surpris par un message un peu incongru d’un de mes contacts sur Twitter:

Guidé uniquement par ma curiosité je décide de suivre le lien qui m’amène sur une page http://mspaworldwide.net/twitter/ qui ressemble en tous points à la page d’accueil de Twitter:

Un petit regard au code source finit de me convaincre qu’il s’agit bien d’un phishing:

et … si l’on remplit le petit formulaire de connexion on est finalement redirigé sans encombre sur la vraie page de twitter (qui, si on est déjà connectés, affiche de toutes façons la liste des publications de nos contacts). Rien de très « high-tech » donc.

Je suis déjà surpris que de nombreuses heures après le début de cette campagne de phishing mon navigateur n’affiche pas une alerte (testé sous Chrome, Firefox, Internet Explorer, à cette heure – 12:07 – seul ce dernier affiche une alerte). Au passage toujours, Twitter utilise http://t.co/ pour relayer ce lien (quand on clique dessus en réalité on passe par http://t.co/2acFQb3 avant d’être redirigé vers le lien original en tinyurl) qui est un domaine censé permettre à Twitter de lutter contre ce genre de problèmes:

Apparemment leur système n’a pas encore détecté le problème… Les pages d’aide de Twitter nous indiquent qu’on peut signaler les abus de http://t.co/ en envoyant un message à tcoabuse@twitter.com, ce que je viens de faire évidemment.

Je ne sais pas si mon contact a laissé accès à son compte à une application mal intentionnée ou a succombé à la tentative de phishing elle-même… dans l’un et l’autre cas l’ensemble de ses contacts ont donc pu recevoir un message direct les invitant à visiter cette page. (15:27: La victime me confirme que c’est passé par le site de phishing lui-même, pas d’application en cause).

Si vous-même êtes tombés dans le panneau, pas trop d’inquiétude et suivez les indications du support de Twitter pour changer votre mot de passe. Je vous conseille de supprimer aussi les messages directs qui doivent apparaître dans votre compte à destination de vos amis (même si les courriers électroniques d’alerte sont sûrement déjà partis…).

Je ne suis pas le premier à parler de ça, bien évidemment (comme ici par exemple et @gcluley en parlait au début du mois de juillet dans un de ses articles, ou encore (17:18) @5ct34m il y a quelques jours qui notait qu’on retrouvait la même IP derrière une URL différente).

Epilogue concernant le site de phishing lui-même (14:19): il est hébergé en Chine. En outre, l’adresse IP hébergeant le site Web de Phishing est 220.164.140.252, qui renvoie, à l’heure où j’écris ces lignes (17:25) à des noms de domaine aux noms intéressants comme iltwitter.com, itiwitter.com ou ltwitteri.com entre autres (voir l’image agrandie pour en apercevoir la liste):

Je pense que seul Twitter peut nous en dire plus sur quelles adresses IP se connectent sur les comptes des victimes. Les infractions que l’on pourrait viser pour cette affaire sont essentiellement celles de collecte déloyale de données à caractère personnel, accès frauduleux à un système de traitement automatisé de données et peut-être le détournement de correspondances privées (les scammers envoient des messages, mais en théorie ils peuvent aussi consulter les autres messages).

Mise à jour (14:51): Chrome n’annonçant toujours pas la page comme du phishing, j’essaie de trouver la fonction qui permet de le signaler. Alors:

Ouvrir le menu en cliquant sur la petite clé à molette ;
Outils > Signaler un problème… et ensuite on suit le guide !

Sous Firefox, malgré les nombreuses indications quant à leur nouvelle version qui serait encore meilleure en matière de lutte contre le phishing, je n’ai pas trouvé où était la fonction pour signaler un phishing, ni sur leur site d’aide en ligne… Mais bon, comme ils utilisent « Google Safe Browsing« , je suppose qu’il suffit de le faire via Chrome ! Mais c’est dommage de ne pas avoir une fonction intégrée pour signaler un site.

Sous Internet Explorer, même principe que sous Chrome:

Affichage du menu
Sécurité… Signaler un site Web d’hameçonnage.

18:12 Suite de l’enquête. Un peu agacé que le site de phishing soit toujours accessible, je me suis amusé à chercher un peu plus loin et j’ai découvert que sur le même serveur il y avait une autre forme de phishing qui se fait passer une application Twitter « StalkTrak », censée vous indiquer qui vous suit avec des intentions malhonnêtes sur Twitter:

Le fonctionnement est similaire et derrière l’URL http://mspaworldwide.net/app1/function.api.stalktrak.htm vous avez donc un formulaire qui vous invite à nouveau à rentrer votre identifiant et votre mot de passe Twitter, avec un aspect graphique qui ressemble à celui de Twitter.

Ceux qui se sont fait avoir se retrouvent apparemment à faire la publicité de l’application. Topsy nous donne une petite idée du trafic autour de ce site depuis quelques jours (cliquer sur l’image pour l’agrandir):

On note ainsi un pic le 29 juillet, avec un début de propagation le 27.

Stalktrak lui-même (ce qui semble confirmer ce que je rappelais un peu plus haut sur l’adresse IP du serveur suite à une indication de @5ct34m), tourne aussi au moins depuis le début du mois de juillet comme on peut le lire sur cet article de blog (avec une petite vidéo dedans) et où l’on retrouve un des noms de domaine évoqués précédemment.

05 août: Apparemment un nouveau domaine est apparu depuis hier qui délivre les mêmes contenus illégaux : 3xloanstoday.com. Évitez de vous y rendre et signalez le comme site de phishing.

31 juillet 2011 by Éric Freyssinet Prévention Sécurité 18