Sécurité

C’est la rentrée – attaques DDoS sur Twitter ?

Image du blog de Cyxymu

Les vacances sont finies pour moi ou presque, l’actualité n’a pas été particulièrement active. J’ai continué d’alimenter la liste de signets que vous voyez dans la colonne de gauche du présent blog (sous le titre : « Mes derniers bookmarks »).

Un « événement » a fait la une de l’actualité, y compris dans les principaux journaux français (Le Monde par exemple et plus ici), à savoir l’attaque dont Twitter et Facebook ont été victimes. Je suis presque contraint de l’évoquer, tout en soulignant que des attaques en déni de service sont quotidiennes sur Internet, mais ce n’est pas réellement là le sujet.

Une attaque en déni de service distribué (plus d’explications sur Wikipédia), tout d’abord, consiste à empêcher l’accès des usagers légitimes d’un service sur Internet (donc par exemple un site Web tel que Twitter ou Facebook, ou votre blog personnel) en initiant des connexions multiples depuis plusieurs endroits sur Internet (d’où la notion de distribution).

Ce type d’attaque a été rendu célèbre par les événements survenus en Géorgie l’année dernière, où des attaques coordonnées contre les sites Web gouvernementaux ont accompagné les tensions militaires avec la Russie du mois d’août 2008. C’est donc assez logiquement qu’une explication politique a été trouvée à cette attaque contre Twitter et Facebook. En effet, l’hypothèse d’un attaque ciblant Cyxymu, un abonné Géorgien de Twitter et Facebook et s’exprimant pour l’indépendance la défense d’intérêts liés à la situation de l’Abkhazie s’est très rapidement propagée.

Évidemment, l’utilisation croissante de ces sites par des personnalités du monde politique n’est pas pour rien dans cette médiatisation de l’incident. Et la politique est souvent évoquée dans le cas d’attaques rendues publiques au cours des trois dernières années. La torpeur de l’été y est sans doute aussi pour quelque chose et cela montre aussi l’intérêt des médias pour ces nouvelles formes de communication et de diffusion de l’information.

La réalité des attaques en déni de service est qu’elles sont quotidiennes sur Internet. Les botnets, par exemple, que j’ai évoqués à plusieurs reprises ici, permettent ce genre d’attaques. Ces types de services sont même commercialisés par des groupes criminels pour quelques dizaines ou centaines de dollars, vantant la possibilité d’empêcher le fonctionnement du site Web de son concurrent. Certains (comme Max Kelly, directeur de la sécurité chez Facebook, répondant ici à CNet News), ont émis l’hypothèse que cette attaque particulière aurait été rendue possible grâce à la diffusion de spams supposément émis par Cyxymu et conduisant des milliers d’usagers à se connecter en même temps sur son « tweet » (blog de Cyxymu).

L’explication est-elle convaincante ? L’information sur la coïncidence entre le spam visant Cyxymu et les incidences sur Twitter et Facebook est perturbante, parce qu’elle vise encore la Russie ou plutôt des citoyens Russes, mais sa source est intéressante : Max Kelly a certainement accès aux journaux des serveurs Web de sa société (Facebook) et donc à l’origine des clics qui ont conduit à cet incident, où en tous cas d’une partie d’entre eux.

Cette affaire mérite-t-elle un tel intérêt ? Oui, au sens où la défaillance pendant plusieurs heures d’un site Web aussi utilisé (et utile selon les points de vue) que Twitter en tant que telle est un événement. Les protections contre les attaques en déni de service ne sont pas facile à mettre en œuvre et supposent souvent d’installer des infrastructures supplémentaires en amont des serveurs Web pour filtrer les requêtes problématiques. Il semblerait que dans ce cas il s’agissait – au moins partiellement – de connexions légitimes provenant d’internautes réels utilisant leur propre navigateur : il paraît difficile d’imaginer de filtrer de telles connexions (il faudrait filtrer au niveau applicatif, à savoir sur la base du contenu de la requête lui-même – l’adresse de la page demandée – qui est quasiment le même pour tous les clics).

En tous cas, il sera essentiel que des dispositifs plus efficaces soient inventés pour lutter contre les attaques en déni de service, notamment dans le cas de serveurs utilisés par autant d’internautes dans le monde. Le « cloud computing », c’est-à-dire le développement de technologies qui permettent de stocker toutes ses données dans des serveurs accessibles et exploitables de partout sur Internet n’est pas viable à long terme dans de telles conditions (on voit combien les incidents dont souffrent parfois les plateformes de Google fait douter ses usagers).

PS: Information incidente révélée aujourd’hui par Jose Nazario de chez Arbor Networks (origine ici). Celui-ci a découvert pendant des investigations sur cette affaire d’attaque en déni de service contre Twitter, que des comptes Twitter sont utilisés par des criminels Brésiliens comme outil pour diffuser les commandes à destination d’un botnet, dont la fonction est vraisemblablement la collecte illégale de données personnelles.

Rapport 2008 de l’observatoire de la sécurité des cartes de paiement

oscpmenu Le 9 juillet dernier, M. Christian Noyer, gouverneur de la Banque de France et président en exercice de l’observatoire de sécurité des cartes de paiement (OSCP), présentait le rapport 2008 publié par cet organisme.

Conclusions du rapport 2008

Le rapport rendu public le 9 juillet dernier reprend la structure classique de ces documents, dont le premier a été publié en 2004 :

le chapitre 1 qui s’attarde sur le sujet des cartes émises immédiatement en magasin ou en agence ;
le chapitre 2 portant sur les statistiques de fraude ;
le chapitre 3 portant sur la veille technologique ;
le chapitre 4, enfin, qui revient sur les évolutions en matière de certification de la sécurité des cartes et des terminaux de paiement.

Le point saillant cette année est très certainement une reprise légère de la hausse des taux de fraude sur les paiements par carte bancaire, avec un accent tout particulier sur la fraude réalisée sur Internet, concomitante à une forte augmentation de ce secteur d’affaires.

C’est justement sur le secteur de la vente à distance que s’est penché le groupe de travail chargé de la veille technologique. On y constate qu’outre la nécessité d’augmenter les moyens de sécurisation de ces paiements il faut être attentif à leur acceptabilité par l’usager, au risque de voir ceux-ci se détourner vers des sites moins sécurisés, mais plus faciles d’accès. Un certain nombre d’internautes se diraient en effet rebutés par le dispositif « 3DSecure ». C’est bien là le défi qui est posé : inventer des solutions de sécurisation des paiement plus faciles d’usage.

On retrouve dans le même troisième chapitre une étude sur l’impact du co-marquage en matière de sécurité des paiements, ainsi que des travaux sur la sécurité des réseaux d’automates de paiement.

L’observatoire de la sécurité des cartes de paiement

L’OSCP a été créé par la loi n°2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne (article 39), modifiant l’article L.141-4 du code monétaire et financier. Les missions de l’observatoire sont:

le suivi de la mise en œuvre des mesures adoptées par les émetteurs et les commerçants pour renforcer la sécurité des cartes de paiement ;
l’établissement de statistiques en matière de fraude ;
d’assurer une veille technologique.

La liste des membres de l’observatoire à ce jour est consultable sur le même site.

Ses membres se réunissent trois fois par an pour établir le programme de travail et discuter du rapport de l’année à venir. Ce sont ensuite différents groupes de travail qui sont constitués pour couvrir les différents aspects et en particulier un groupe de travail sur les statistiques (piloté actuellement par Christian Aghroum, chef de l’OCLCTIC) et un groupe de travail chargé de la veille technologique (piloté par Mireille Campana).

La Banque de France assure le secrétariat de l’observatoire.

Agence nationale de la sécurité des systèmes d’information

Comme je vous l’annonçais voici quelques mois, l’agence nationale de la sécurité des systèmes d’information a été portée sur le fonds baptismaux ce matin par la publication du décret n°2009-834 du 7 juillet 2009 au journal officiel. Cette création fait suite aux propositions du livre blanc sur la défense et la sécurité nationale du 17 juin 2008 (voir les pages 53 et 182 notamment).

Cette nouvelle agence succède à la DCSSI, direction centrale de la sécurité des systèmes d’information, et reste placée sous l’autorité du secrétaire général pour la défense nationale. Toutefois, la création de cette agence présente très clairement la volonté d’en augmenter la portée et les missions, qui sont beaucoup plus détaillées que dans le décret qui créait précédemment la DCSSI. Ainsi, dans les mois qui viennent, on peut compter sur une augmentation sensible et nécessaire de ses effectifs.

Ses missions redéfinies sont:

d’assister le SGDN dans ses attributions dans le domaine de la SSI ;
d’être l’autorité nationale en matière de SSI (moyens sécurisés de communication pour la Présidence de la République et le gouvernement, inspection des systèmes de l’État, délivrance d’agréments, formation, etc.) ;
de se prononcer sur la sécurité de certains produits et services (signature électronique, agrément des centres d’évaluation, délivrance des autorisations en matière de cryptologie, instruction des demandes d’autorisation présentées en application de l’article 226-3 du code pénal) ;
d’apporter son concours aux services de l’État en matière de SSI ;
de soutenir et orienter la recherche et l’innovation dans ces domaines.

Un comité stratégique de la sécurité des systèmes d’information est créé pour proposer les orientations stratégiques de l’État en matière de SSI.

Le site web de l’ANSSI est accessible ici : http://www.anssi.gouv.fr/

8 juillet 2009 by Éric Freyssinet Juridique Sécurité 0

Hébergeurs malhonnêtes : nouvelle fermeture (3FN)

3FN

J’ai déjà pu évoquer plusieurs cas de fermetures d’hébergeurs malhonnêtes aux États-Unis cette année, notamment le cas de la société McColo. Cette semaine, un nouveau cas avec la société « Pricewert LLC » (société basée à Belize) et une évolution dans le processus qui a conduit à la fermeture de cet hébergeur : l’action résolue des services en charge de la protection des consommateurs et de la régulation du commerce aux USA (la FTC ou Federal trade commission).

On apprend donc jeudi, dans un communiqué de la FTC, qu’elle a obtenu en justice la fermeture de cet hébergeur qui exerce ses activités sous plusieurs dénominations (3FN et APS Telecom). L’investigation menée par la FTC aurait permis de démontrer que cette société aurait des liens avec des groupes criminels impliqués dans la distribution de logiciels malins, la distribution de pornographie enfantine ou des centres de commande de botnets.

La notion d’hébergeur malhonnête est ici définie par la FTC aussi par le fait que la société protégeait ses hôtes en ne répondant pas aux requêtes officielles ou en utilisant des techniques d’évasion numérique, c’est à dire ici l’hébergement sous des adresses IP différentes des mêmes services illicites.

La société 3FN (3fn.net) semblait être un hébergeur à la fois reconnu et critiqué. Cette société aurait été créée en 1999, est installée depuis cette époque en Californie. Ainsi, la société Triple Fiber Network a pu récemment annoncer la signature d’un contrat avec LEVEL3, l’un des plus gros fournisseurs de connectivité Internet. Selon les chiffres les plus récents, ce sont plus de 7600 domaines qui étaient hébergés chez 3FN. Des serveurs au contenu clairement malhonnête : Portland APS Telecom hébergeait ainsi ultimatepayment.com ou truebillingservices.com – des serveurs de paiement utilisés pour différentes escroqueries au faux antivirus (on note au passage des liens avec EstDomains dont l’accréditation ICANN a été interrompue en septembre 2008), IC Audit & Consulting – une escroquerie typique à l’emploi d’intermédiaires financiers, etc. Les exemeples sont innombrables.

Ainsi, le NCMEC aurait relevé plus de 700 rapports d’hébergements de contenus pédopornographiques, le premier remontant à 2004. Enfin, le botnet Cutwail aurait été affecté par cette nouvelle fermeture.

Pour mener ces investigations, la FTC a reçu le soutien de spécialistes de la NASA (qui dispose d’enquêteurs spécialisés, comme beaucoup de grandes agences américaines), l’université de Birmingham dans l’Alabama (l’équipe de Gary Warner), le National center for missing and exploited children (NCMEC), l’association Shadowserver, la société Symantec et le projet Spamhaus.

Les contraintes validées par le juge sont d’interdire à la société Pricewert LLC de poursuivre ses activités, de contraindre ses fournisseurs de connectivité à Internet et aux centres d’hébergement de cesser tout service à son profit. Les biens de la société ont aussi été gelés, en attente d’une première audience sur le fond qui devrait se tenir le 15 juin prochain.

Il sera intéressant de comprendre si cette société a été créée en 1999 pour commettre de tels méfaits, si c’est une dérive de ses gestionnaires attirés par l’appât du gain ou une prise de contrôle ultérieure. En tous cas des liens ont bien été établis avec des personnes originaires de l’Europe la plus orientale (y compris a priori le gestionnaire de la société 3FN). Enfin, il faut souligner ici l’implication des autorités américaines dans cette démarche, ce qui avait manqué dans les affaires McColo et Atrivo.

6 juin 2009 by Éric Freyssinet Actualité judiciaire Cybercriminalité Sécurité 3

Des fantasmes sur le Nokia 1100

Nokia 1100

Une histoire assez délirante cette semaine… Des « chercheurs » appartenant à un réseau d’experts basé aux Pays-Bas auraient réussi à trouver la raison pour laquelle les prix des Nokia 1100 (plus particulièrement ceux fabriqués à Bochum en Allemagne) grimperaient dans les sommets sur le marché noir. L’explication qu’on lit dans cet article est intrigante : on y lit qu’il serait possible de reprogrammer les téléphones Nokia 1100 pour recevoir les SMS de la banque à la place de l’utilisateur légitime.

Notons au passage que les Nokia 1100 sont des téléphones GSM distribués en Europe, donc utilisant une carte SIM.

C’est dans les détails que l’annonce devient surnaturelle : il serait possible de reprogrammer l’IMEI et l’IMSI du téléphone (littéralement dans l’article: l’information qui permet de se connecter au réseau de l’opérateur). Le lecteur averti commence déjà à tiquer, étant donné que l’IMSI est le numéro qui identifie l’abonné sur le réseau, qu’il se trouve sur la carte SIM (et non particulièrement dans la mémoire du téléphone) et que de toutes façons c’est une clé confidentielle (la clé Ki) qui est utilisée pour authentifier la carte SIM.

Et ensuite au détour d’une phrase: « For the final step, the hacker must also clone a SIM (Subscriber Identity Module) card, which Becker said is technically trivial. » (page 2 de l’article). Oui, forcément… Si on est capable de copier la carte SIM, effectivement, on pourra recevoir les SMS de l’abonné. Mais là cela devient complètement indépendant du terminal GSM utilisé, Nokia 1100 ou dernier N95, ce sera la même chose.

Enfin, le fin mot de l’histoire serait une utilisation pour recevoir des codes « mTAN » uniques envoyés par SMS, utilisés par les banques en Allemagne pour renforcer l’authentification de leurs utilisateurs de services en ligne.

Dans ce qu’on lit des déclarations d’Ultrascan, dans cet article et dans bien d’autres (un article un peu plus fouillé sur PCWorld), rien donc qui ne justifierait la particularité des GSM Nokia 1100 fabriqués en Allemagne au début des années 2000… D’ailleurs on trouve de tels téléphones à moins de 30 euros sur des sites d’enchères !

23 mai 2009 by Éric Freyssinet Criminalistique numérique Cybercriminalité Sécurité 1

Journée de l’Europe – Mais que fait l’Europe ?

Drapeau européen - Photo par Rock Cohen

Le 9 mai est traditionnellement la journée de l’Europe, dans toute l’Union Européenne, en souvenir de la déclaration de Robert Schuman pour une structuration de l’Europe, le 9 mai 1950.

C’est l’occasion de faire le point sur ce que fait l’Europe dans le domaine qui nous intéresse. Sur le plan institutionnel, nous avons aujourd’hui plusieurs instances intéressantes :

Au sein d’Europol, le HTCC ou high tech crime centre, est le point focal de l’activité d’Europol dans la lutte contre la cybercriminalité. En effet, depuis 2002, le mandat d’Europol a été étendu à toutes les formes graves de délinquance, y compris la cybercriminalité. 2009 devrait voir la création à Europol d’un système de centralisation de l’ensemble des signalements d’infractions (un des résultats de la présidence française de l’Union européenne) qui peuvent intéresser les Etats membres et ainsi en faciliter les investigations ;
L’ENISA, agence européenne de sécurité de l’information et des réseaux a été lancée en mars 2004. Elle manque encore de visibilité dans son action : elle est positionnée comme un centre d’expertise au service des états-membres, mais pas encore dans le concret. Peut-être cela sera-t-il amené à évoluer, par exemple dans la gestion de certaines crises liées à la sécurité des systèmes d’information ;
La commission européenne finance au travers de différents programmes la recherche et l’innovation, la formation ou le développement d’outils qui aident à la lutte contre la cybercriminalité. Ainsi le programme Safer Internet qui finance notamment le fonctionnement d’INHOPE – réseau européen des plateformes de signalement privées en matière de protection des mineurs sur Internet, mais aussi le programme ISEC de la direction générale justice liberté et sécurité qui comporte un volet important consacré à la lutte contre la cybercriminalité ou le septième programme cadre européen de financement de la recherche qui permet certaines initiatives (sous l’angle de la sécurité des systèmes).
Parmi les projets actuellement financés sur le programme ISEC, on peut citer :
- La création d’une coalition financière européenne dans la lutte contre la diffusion de documents pédopornographiques sur Internet, dont j’ai parlé voilà deux mois ;
- Les différentes activités du groupe de travail d’Europol sur l’harmonisation des formations des services de police dans la lutte contre la cybercriminalité.

Plusieurs textes législatifs de niveau européen sont intéressants à citer et certains devraient évoluer prochainement :

Tout d’abord, citons la convention du Conseil de l’Europe sur la cybercriminalité, qui bien qu’étant issu d’une instance européenne dépassant le cadre de l’Union Européenne, montre combien le continent européen est en avance dans cette lutte.
La directive 2002/58/CE « vie privée et communications électroniques », qui comporte depuis un modificatif de 2006 un dispositif plus précis harmonisant les obligations en matière de conservation des données par les opérateurs de communications électroniques (cette directive fait partie du fameux « Paquet Télécoms ») ;
La décision-cadre 2004/68/JAI relative à la lutte contre l’exploitation sexuelle des enfants et la pédopornographie, et qui harmonise la protection des mineurs, notamment sur Internet ;
La décision-cadre 2005/222/JAI relative aux attaques visant les systèmes d’information ;
Enfin, la politique de la commission européenne dans ce domaine est définie par la Communication 2007/267 « Vers une politique générale en matière de lutte contre la cybercriminalité » ;

Parmi les déclarations officielles récentes on peut citer les conclusions du conseil justice et affaires intérieures sur la cybercriminalité portées par la présidence française de l’union européenne du 24 octobre 2008 et la déclaration de Prague pour un « Internet plus sur pour les enfants » du 20 avril 2009.

Les évolutions que l’on peut attendre seront certainement basées sur des évolutions des directives ou décisions-cadres évoquées plus haut, que ne manquera pas de proposer la commission européenne cet automne. Le suivi du « Paquet Télécoms » est aussi très important. Ainsi j’évoquais le 05 mars dernier le dispositif introduit dans ce texte qui prévoit la notification obligatoire des incidents de sécurité subis par les opérateurs lorsqu’ils concernent de façon significative les données de leurs clients. Mais, mardi 05 mai dernier, la commissaire européenne aux télécommunications, Viviane Reding, évoquait le projet de la commission d’étendre cette mesure à l’ensemble des domaines économiques, dans un texte qui verrait son application d’ici la fin de l’année 2012. A suivre donc…

9 mai 2009 by Éric Freyssinet Juridique Prospective Sécurité 0

Torpig : visite du centre de commande d’un botnet

In English

Torcochon ?

Non, il ne s’agit pas ici du virus de la grippe porcine. Des chercheurs de l’université de Santa Barbara en Californie ont publié un rapport rendant compte des observations qu’ils ont pu faire lors d’une prise de contrôle temporaire d’un système de commande du botnet Torpig.

Il s’agit d’un botnet basé sur un logiciel malveillant (Torpig/Sinowal/Anserin/Mebroot) affectant les systèmes Microsoft Windows. Il aurait été d’abord repéré (selon RSA) en février 2006 ou en juillet 2005 selon d’autres spécialistes. Cela fait donc bientôt quatre ans que ce cheval de Troie sévit, et toujours aussi activement !

Les conclusions du rapport des chercheurs de Santa Barbara, reprises dans un article chez ZDNet, sont que cet outil malveillant permet de collecter actuellement des millions de mots de passe, des milliers de numéros de carte bancaire ou d’identifiants d’accès à des comptes bancaires. Ces chercheurs ont mis en ligne une page de suivi de ce projet.

C’est un nouvel exemple (j’en parlais déjà voici quelques semaines) des techniques qu’il est nécessaire aujourd’hui d’utiliser pour collecter efficacement de l’information sur ces botnets : il est nécessaire de les pénétrer. Aujourd’hui, de tels modes de collecte de preuve restent purement et simplement illégaux.

4 mai 2009 by Éric Freyssinet Cybercriminalité Prospective Sécurité 3

Rapport Symantec sur les menaces Internet d’avril 2009…

In English

XSS chez Symantec ?

La société Symantec publie ces jours-ci son rapport sur les menaces à la sécurité sur Internet en 2008. Le document est intégralement téléchargeable depuis le site de la société.

Il s’agit d’informations collectées par Symantec, notamment par la collecte de données auprès de ses clients et par ses propres équipes. Même si on ne doit pas prendre de telles études pour une vision parfaite de la situation, elles sont toujours très intéressantes à parcourir. Qu’en retenir ?

Les sites Web sont en tête des modes de compromission pour l’année 2008 ; ainsi, des sites particulièrement visités ont été compromis pour diffuser des logiciels malveillants ; la mise en place de ces vecteurs est facilitée par l’utilisation des mêmes plate-formes et la présence des mêmes vulnérabilités sur un nombre important de sites, qui sont parcourus automatiquement pour y déposer le vecteur ; les vulnérabilités concernées pour pénétrer ces sites sont souvent classées comme moyennes et donc ont moins de chance d’avoir été comblées ;
A contrario, le rapport souligne que c’est une vulnérabilité importante qui a été exploitée pour diffuser le ver le plus actif du moment – Conficker. A ce sujet, vous pouvez lire un intéressant point de vue sur le blog de Sid.
Les motivations des délinquants du Net sont toujours majoritairement financières – ce n’est pas près de changer. En effet, les charges actives des logiciels malveillants tout comme les attaques de hameçonnage ciblent tout particulièrement les données personnelles et les données liées aux instruments bancaires (cartes, comptes,…).
Le rapport confirme le marché noir dont font l’objet ces données et en particulier les numéros de cartes bancaires : 32% de l’offre sur les marchés noirs observés par Symantec pour des montants allant de quelques cents à 30 dollars, devant les informations sur l’accès aux comptes bancaires ou aux comptes de courrier électronique. Les données liées aux cartes bancaires sont manifestement les plus faciles à intercepter et à réutiliser.
Des kits clés en main de fabrication de virus et autres vers se sont répandus de façon accrue en 2008, entraînant une hausse spectaculaire des codes malicieux distincts observés (+165%).
Enfin, ils soulignent les résultats d’actions concertées pour lutter contre la diffusion des menaces les plus vivaces (comme la diffusion de Conficker depuis la fin 2008 et la création du groupe de travail contre Conficker). Comme je l’ai déjà écrit, on peut en tous cas regretter que les pouvoirs publics n’y soient pas officiellement associés pour permettre des suites judiciaires à ces mesures techniques et à cette collecte de preuves.

Ce rapport, comme d’autres sources d’informations, confirment chiffres et exemples concrets à l’appui, la présence de plus en plus prégnante de groupes criminels organisés derrière les menaces qui pèsent aujourd’hui sur Internet.

Enfin, il est amusant de noter que la menace la plus significative pour 2008, à savoir l’exploitation de vulnérabilités sur des sites Web – notamment de type cross-site scripting – aurait aussi frappé Symantec, comme le souligne une alerte publiée aujourd’hui. Cela démontre une fois de plus que nul n’est à l’abri de ces failles – comme de nombreux autres cas cités dans l’article – et l’important est d’être à l’affût et de corriger rapidement ses défaillances

15 avril 2009 by Éric Freyssinet Cybercriminalité Sécurité 0

Botnets à louer

BBC Click

Le 12 mars dernier, une affaire faisait le tour de l’actualité sur Internet : des journalistes de la BBC ont montré dans un reportage comment il était possible aujourd’hui de louer les services d’un botnet, ces réseaux de machines zombies qui permettent de commettre la plupart des malveillances sur Internet : diffusion de courriers électroniques non sollicités (spams), attaques en déni de service distribué, hébergement furtif de sites de phishing, etc.

Fonctionnement de principe des botnets

L’idée est de diffuser via Internet un ver, c’est-à-dire un virus qui se propage de proche en proche par ses propres moyens. Ce ver en contaminant un ordinateur en prend pratiquement le contrôle, se connecte à un serveur de commande piloté par le propriétaire du botnet, et la machine devient ce qu’on appelle une machine zombie. La particularité de ce type de virus c’est qu’il ne perturbe pas forcément de façon exagérée le fonctionnement de l’ordinateur qui l’héberge, mais a plutôt intérêt à ce qu’il soit connecté aussi souvent que possible sur Internet et en plein état de marche, pour pouvoir profiter de sa connectivité et de sa puissance de calcul.

C’est par le cumul des capacités de dizaines ou de centaines de milliers de tels zombies que les criminels constituent des botnets – réseaux de bots – qu’ils peuvent exploiter pour commettre leurs méfaits de façon distribuée. Le serveur de commande peut-être un serveur IRC (protocole permettant de dialoguer en temps réel au travers d’un réseau de serveurs interconnectés), un serveur Web ou tout autre protocole au travers duquel le diffuseur du virus pourra faire passer ses commandes et être sûr que toutes les machines contaminées et connectées le visitent régulièrement.

Le ver Conficker – qui est sensé faire l’actualité ce 1er avril (voir l’article que j’ai rédigé voilà quelques jours) – est conçu pour obtenir ses mises à jour et les commandes de son propriétaire de façon similaire, en se connectant sur des serveurs Web dont l’adresse est calculée par un algorithme évolutif.

L’affaire BBC

Ce que cherchaient à mettre en lumière les journalistes de l’émission Click de la BBC, c’était qu’il était possible de louer les services d’un botnet, pour quelques heures ou quelques jours. Le débat qui a germé sur Internet et dans l’actualité par la suite venait de la démonstration qu’avaient cherché à faire les journalistes : non seulement ont-ils loué un botnet de quelques 22.000 machines et donc utilisé à leur insu – et donc de façon illégale – les ordinateurs d’autant de victimes, mais aussi ont-ils testé les fonctionnalités de ce botnet, en envoyant des spams vers des adresses de courrier électronique leur appartenant et en attaquant de façon concertée un serveur Web – hébergé lui aussi de connivence avec les journalistes, heureusement ! On ne sait pas quels dégâts ils ont pu faire au passage…

Dans leurs explications, justifiant leurs actions, les journalistes se camouflaient derrière l’idée qu’ils n’ont pas utilisé le botnet avec des intentions malhonnêtes. Par exemple, ils n’ont pas collecté de données personnelles sur les ordinateurs zombies. Or, il est clair, qu’ils ont pénétré frauduleusement dans les ordinateurs de ces quelques 22.000 victimes, modifié leur comportement, fait transiter des données étrangères (les spams et les attaques), et l’intention frauduleuse est bien là. C’est comme si un délinquant essayait de s’exonérer d’avoir volé une voiture parce qu’il la rend avec quelques litres d’essence en moins seulement et qu’il s’en est seulement servi pour faire le tour de la ville…

Passons, leur démonstration reste inéressante, et il revient à la justice anglaise de décider ou non de l’opportunité de poursuites…

Mais après ?

Un blogueur de ZDnet attire notre attention sur quelques détails de ce reportage, qui se révèlent particulièrement intéressants. Dancho Danchev est un observateur attentif du développement de ces botnets en kit. Ainsi, pour lui, l’exemplaire montré dans le reportage est relativement récent. La plateforme « Chimera » serait commercialisée par un prestataire russe, qui est connu pour une autre série de botnets appelée « Zeus », qui a par exemple des modules optionnels permettant de faciliter le vol de numéros de cartes bancaires sur Internet – autrement appelé carding.

Il conclue ainsi son article :

Le plus inquiétant avec ce type de services de location de logiciels malicieux ou de botnets est leur effort manifeste sur la standardisation, avec pour conséquence une plus grande efficacité et une capacité à changer d’échelle très facilement. Par exemple, à un « consommateur » qui s’interrogeait – avant d’acheter les « services » – sur la capacité du logiciel de contrôle de botnet à contrôler plus de 50.000 hôtes contaminés, le marchand lui a répondu que le botnet le plus important qu’ils opéraient comportait 1,2 millions d’hôtes et fonctionnait parfaitement.

Il ne fait donc plus doute aujourd’hui que non seulement le crime organisé s’est emparé des nouveaux modes de délinquance numériques, mais il en optimise les performances et le rapport. Les botnets sont autant de phénomènes à surveiller, tout comme les hébergeurs malhonnêtes évoqués en novembre dernier. Pour une action plus efficace à leur encontre une action concertée des pouvoirs publics – notamment judiciaires et d’investigation – mais aussi des acteurs techniques de l’Internet est absolument nécessaire.

31 mars 2009 by Éric Freyssinet Cybercriminalité Prospective Sécurité 0

Conficker ou la chronique d’une pandémie informatique (de plus)

Diagramme Microsoft sur Conficker

Chaque année donne lieu à l’annonce d’une nouvelle pandémie numérique et on pouvait croire que les oracles s’étaient calmés. Mais non: à l’automne dernier on nous annonçait le lundi noir des attaques informatiques… Et maintenant voilà la saga Conficker.

En préambule je tiens à souligner qu’il est indispensable d’avoir une bonne hygiène informatique et donc de ne pas laisser sortir son ordinateur sans un bon antivirus, de ne pas cliquer sur n’importe quoi reçu via Internet d’un inconnu.

L’histoire de Conficker

La chronologie des événements publics est la suivante :

Le 23 octobre 2008, Microsoft publie une vulnérabilité (bulletin de sécurité MS08-067) touchant ses systèmes d’exploitation et souligne la nécessité d’appliquer rapidement un correctif ;
Quelques jours après, de premières tentatives d’exploitations de cette vulnérabilité sont révélées ;
Le ver Conficker apparaît selon les éditeurs entre le 21 et le 24 novembre 2008. Il prend différents noms selon les éditeurs d’antivirus (Downadup, Conficker, Kido,…)
La version Conficker.B apparaît une semaine plus tard environ ;
La version Conficker.C apparaît la première semaine de janvier 2009, il se propage aussi par ouverture de fichiers par l’utilisateur, partage de fichiers sur le réseau, il exploite des vulnérabilités dans les mots de passe pour modifier la politique de sécurité ;
Ces vers se mettent à jour en se connectant à différents serveurs de commande ;
Le 12 février 2009, Microsoft annonce la création d’une coalition industrielle pour lutter contre la propagation de ce ver ;
Le 13 février 2009, Microsoft annonce une récompense de $250.000 à qui fournira des informations sur le commanditaire de ce ver.

Le buzz

Il nous est souvent annoncé qu’il s’agit de l’une des infections virales les plus importantes, avec entre 9 et 15 ou 20 millions d’ordinateurs infectés dans le monde. Cet incident viral est typique de la surcommunication à laquelle nous avons droit régulièrement autour des infections virales. La chronologie type colle : surenchère d’annonces par les éditeurs d’antivirus, annonce d’une action décisive des grandes sociétés de l’Internet et d’une rançon. On nous fait même la liste chaque semaine des infections de tel site supposé sensible, le blocage au sol d’avions de combat (c’est bizarre qu’on ne nous parle pas de blocage au sol d’avions de ligne ?).

On nous annonce même, qu’après étude, le ver Conficker serait né au Japon – il est bien connu que l’empire du soleil levant est un repaire de nouveaux cybercriminels… C’est surtout, de par sa position géographique, un des premiers pays industrialisés qui se réveille chaque matin.

Que va-t-il se passer le 1er avril 2009 ?

Étudions plus précisément ce qu’on nous annonce : le mode de contrôle de Conficker va changer et tous les petits vers vont se connecter selon ce nouveau mode. Une étude détaillée de la version C du ver Conficker nous indique que le 1er avril 2009, l’algorithme de génération de domaines de téléchargement nouvelle version sera activé, et démultiplier le nombre de domaines Internet vers lesquels chaque ver va tenter de se connecter. Il s’agit apparemment d’une stratégie de ses développeurs pour contourner les blocages mis en place par les opérateurs.

Conclusion : on continuera d’observer un nouveau mode de commande de ce ver, mais rien n’indique qu’une infection nouvelle va se déployer grâce à cela. Donc il ne se passera pas grand chose, je pense qu’on peut tenir ce pari.

Ce qui est vrai jusqu’à présent c’est que l’infection par Conficker est assez efficace, qu’il est parfois difficile pour la supprimer, mais que c’est loin d’être impossible, rien donc de très nouveau de ce côté-là. Le constat le plus frappant est qu’il existe encore des machines aujourd’hui, parmi les centaines de millions installées dans le monde, qui n’ont pas fait de mise à jour pour la vulnérabilité annoncée par la société Microsoft en octobre dernier. La leçon à tirer de tout cela est donc qu’il est indispensable de penser à de meilleures stratégies de déploiement des mises à jour de sécurité.

P.S.: Un article en anglais que je viens de lire, dans la même tonalité.

28 mars 2009 by Éric Freyssinet Cybercriminalité Sécurité 6