Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Décideur Public - Univers Numérique

Décideur Public - Univers Numérique

Site d’informations gratuit et indépendant dédié à l'univers numérique et au secteur public. rita.audi@decideur-public.info


Internet, champ de bataille des temps modernes (1ère partie), par Emmanuel Le Bohec, Corero Network Security

Publié par Décideur Public - Systèmes d'Information sur 14 Février 2012, 13:59pm

Catégories : #Tribune libre

Emma-LeBohecCyber-agression, blocage de sites institutionnels, divulgation de données, vol d’informations stratégiques, divulgation du code source de logiciels commerciaux, manifestations et revendications… "hacktivistes", pirates en tous genres multiplient, ces derniers temps, les actions d'éclat, particulièrement en France. Retour sur quelques unes de ces attaques numériques dévastatrices pour analyser les motivations de leurs auteurs et décrypter le mode opératoire employé afin de mieux les combattre.

 

1ère partie : Quelques attaques récentes…

 

DDoS en série en représailles contre Sony

Fin mars 2011, Sony engage une action en justice contre des développeurs ayant modifié le logiciel de sa console PlayStation 3. Pour protester, le collectif Anonymous lance une attaque DDoS qui paralyse les sites PlayStationNetwork.com. Le 20 avril, Sony déconnecte les services PlayStation Network et Qriocity, après avoir détecté une intrusion sur les serveurs du réseau, hébergés dans un data center. Mais ce n‘est que la partie émergée de l'iceberg ! Après enquête, Sony déclare que, lors de l'attaque DDoS sur les serveurs du service PSN, les données personnelles de 77 millions d'utilisateurs ont été volées. Selon Sony, l’attaque était très sophistiquée. Déguisée en procédure d’achat, elle est passée inaperçue. Conséquence de ces événements : Sony décide d'ajouter des systèmes de surveillance automatisés afin de détecter toute activité inhabituelle sur le réseau, pour se défendre de futures attaques.

 

Piratage de MySQL, l’envers de la manipulation

Lundi 26 septembre 2011, des pirates compromettent MySQL.com, le site officiel de la base de données open source du même nom. Les visiteurs du site sont redirigés vers un domaine qui tente d'installer des programmes malveillants sur leurs machines, via le pack Black Hole, agissant contre les navigateurs des utilisateurs et des plug-ins tels que Flash et Java. Comble d’ironie, les pirates profitent d’une faille de sécurité pour placer une requête SQL qui fait anormalement réagir le système et compromet sa sécurité. Une simple visite de MySQL.com avec une plate-forme de navigation vulnérable se traduit par une infection. L’attaque a permis de voler la liste complète des noms et mots de passe des utilisateurs dont une partie a été publiée.

 

RSA et les dessous du vol de données

L’attaque récente de RSA, la Division Sécurité d'EMC Corp., débute par deux vagues de phishing, ciblant de vrais employés de l’entreprise - probablement identifiés grâce à une phase de ‘social engineering’, voire simplement en surfant sur les réseaux sociaux « professionnels » de type LinkedIn - avec l’envoi d’un courrier électronique comprenant un fichier Microsoft Excel en pièce jointe, jouant sur la curiosité des destinataires via le titre alléchant, « plan de recrutement 2011 ». Ce document ne contient pas directement le virus ou le trojan, mais un film Flash mal formé et dont l’ouverture permet l’exécution de code malveillant, via une vulnérabilité du lecteur Flash d’Adobe. L’ouverture de la pièce jointe déclenche donc l’exécution de code malveillant et la compromission de l’ordinateur, permettant l’intrusion et l’exfiltration de données d’un serveur compromis. Selon RSA, le mode opératoire relève de l’Advanced Persistent Threat (voir 2ème partie pour plus de détails sur l’APT). Les Menaces Persistantes Avancées sont des attaques élaborées, ciblées et durant dans le temps. C’est un scénario d’attaque similaire qui a été mis en œuvre pour s’introduire dans le réseau informatique de Bercy.

 

Espionnage de Lockheed-Martin

En avril 2009, une intrusion ayant permis de copier et détourner des téra-octets de données liées à la conception du nouvel avion de chasse F-35 Lightning II - un projet ultra-confidentiel de près de 300 milliards de dollars dirigé par Lockheed Martin - est détectée. Plus inquiétant encore, les systèmes informatiques impliqués dans la fuite d’informations auraient été infiltrés au moins 2 ans auparavant. Les espions sont entrés grâce aux vulnérabilités des réseaux d’entreprises sous-traitantes et ont chiffré les données volées rendant très difficile l’identification des responsables, mais aussi des données volées. Le 21 mai dernier, les réseaux informatiques de Lockheed-Martin qui fabrique d’autres équipements essentiels pour le compte de l’armée américaine, ont été la cible d’une attaque importante, qui, selon la firme, a été repoussée.

 

Dénis de service en série, en signe de protestation

En janvier dernier, la justice américaine a demandé à Verisign de fermer l'accès au site de partage de fichiers Megaupload.com. En représailles, les Anonymous lancent des attaques, notamment contre les sites Web du FBI, de la Justice américaine, de la Maison Blanche, de RIAA, d’Universal Music, de Vivendi.fr et d’Hadopi. Mais l’indisponibilité des sites et les cyber-manifestations étaient-elles les seules motivations de ces actions ?

 

Attaques, dénis de service, intrusions et vols de données en augmentation

A travers ces quelques faits marquants récents (on pourrait en citer encore bien d’autres), on observe quelques constantes. L'objectif final reste l’infraction du système ciblé et le vol de données, qu’elles soient personnelles ou d'entreprise. Plus de 125 000 attaques se seraient produites aux seuls États-Unis en 2010 ! Et le mouvement se poursuit ! Il faut dire que la délinquance informatique prospère aujourd’hui. Elle dispose de réseaux hautement spécialisés qui se composent et se recomposent de manière dynamique avec une extraordinaire capacité d’adaptation. La liste des suspects est longue. Assistons-nous à une cybercriminalité qui se développe ou à une cyberguerre montante ? Certains pays sont régulièrement accusés d’être derrière l’intrusion sur les réseaux informatiques d’entreprises ou d’organisations gouvernementales qui sont confrontées à la prolifération des fraudes informatiques. Sur la toile, le combat est quotidien pour déjouer les agissements des réseaux criminels, dont les connaissances informatiques sont impressionnantes. Ainsi, en 2011, on a recensé 419 violations de données, 23 millions d’enregistrements impliqués, 1/3 provenant d’attaques malveillantes.

 

Une guérilla de mercenaires

Au début des années 2000, les pirates étaient des étudiants doués en informatique qui cherchaient la gloire dans le défi. Les temps ont bien changé ! Les profils des « guérilleros » sont variés. Ce sont de simples individus comme des joueurs, des novices en informatique ou des geeks, des salariés insatisfaits ou qui ont démissionné, des hacktivistes tels les Anonymous ou LulzSec, des hackers qui travaillent pour les mafias… La frontière entre le crime organisé et l’hacktivisme est d’ailleurs parfois si mince qu’elle est difficile à cerner. Ainsi, si les informations télévisées nous parlent de la politisation des hackers, le hacking s’est en réalité « professionnalisé ». Les hackers d’aujourd’hui, sont nombreux, organisés et formés. Véritables mercenaires, certains groupes vendent leurs services à prix élevé à des filières criminelles ou à des états pour nuire ou récupérer, généralement sur commande, des données confidentielles, économiques ou privées. Ce « commerce » serait équivalent à celui du marché de la sécurité informatique.

 

Un butin hétéroclite

Que vole-t-on ? Tout d’abord, des données personnelles, avec, par ordre croissant d’intérêt : numéros de carte de crédit, dossier médical, e-mails, mot de passe, numéro de sécurité sociale et détails personnels mais surtout historique d’achats en ligne, car ces derniers permettent de cibler de futures attaques de phishing, souvent plus lucratives. Mais on vole également des données professionnelles, qu’elles soient juridiques, commerciales, marketing ou techniques : contrats, tarifs et remises, coûts de production, campagne prévue, informations concurrentielles, spécifications de produits, projets de R&D, résultats de tests, etc.

 

Tout monde peut être visé

La cible ? Ce sont d’abord les particuliers car, en général, moins éduqués et moins protégés, ils représentent une cible facile (notamment pour les débutants) d’autant plus que l’anonymat fourni par l’univers numérique, facilite la tâche des malfaiteurs. Mais, les sociétés, les associations et les administrations sont également d’excellentes cibles, souvent pour les mêmes raisons. Le vol numérique est moins risqué et moins pénalisé que le vol physique. Il est facile de se cacher et de fuir ! Bien que demandant plus de compétences dans le cas d’entreprises, il est aussi plus lucratif.

 

Les armes dépendent de l’objectif

Les pirates utilisent des kits logiciels criminels, des virus et des vers, des réseaux zombies (botnets) et leurs serveurs C & C… Les botnets, servant à l’origine, à gérer des canaux de discussions ou proposer des services de jeux, de statistiques, etc. ont été détournés de leur usage pour créer des réseaux de machines zombies. Ils permettent le relais des spams (commerce illégal, manipulation d'informations…), le phishing, l’infection par des virus, des vers et autres malwares, des attaques DoS et DDoS, la fraude au clic abusif sur un lien qui déclenchera un programme malveillant, l’extraction d’informations (pour la revente), des opérations de calcul distribué pour « craquer » des mots de passe ou la gestion d'accès à des sites de ventes de contrefaçons ou de produits interdits… N’importe quelle machine connectée à internet peut devenir une machine zombie, parfois à l’insu de son propriétaire !

 

Attaques DoS / DDoS, le blocage commando

Une attaque par déni de service (denial of service - DoS) rend indisponible un service. Elle bloque, par exemple, un serveur de fichiers, rend impossible l'accès à un serveur web ou à un site internet, empêche la distribution du courriel… De plus en plus sophistiquées, les attaques par déni de service impliquent une multitude de « soldats ou zombies ». On parle désormais de DDoS (distributed denial of service). Après les premières attaques perpétrées par des crackers attirés par l’exploit et le fun, on a vu apparaître des attaques DoS et DDoS par des pirates spécialisés dans la levée d’armées de zombies, qu’ils louent ensuite à des cybercriminels pour attaquer une cible particulière. Le nombre de dénis de service a suivi la forte progression du nombre d’échanges commerciaux sur Internet.

 

Les attaques massives, qui inondent le réseau pour l’empêcher de fonctionner, représentent le moyen le plus traditionnel et visible, tant au niveau des opérateurs que des routeurs d’accès de l’entreprise. Mais une nouvelle génération d’attaques par déni de service est apparue. Elle vise, elle les applications. C’est un moyen moins massif,  moins détectable et plus intelligent que d'utiliser des connexions et le trafic légitimes (les nombreuses « erreurs 404 » ou des échanges de données très lents comme le fait Slowloris, par exemple), pour consommer non plus la bande passante mais les ressources des équipements et serveurs traversés, qu’il s’agisse de serveurs web mais aussi d’équipements réseaux comme les répartiteurs de charge ou des pare-feu.

 

Mais ce qui est plus inquiétant aujourd’hui, c’est qu’une même attaque combine plusieurs moyens utilisés à l’origine individuellement. Ce sont les fameuses APT évoquées précédemment, dans lesquelles les attaquants suivent de véritables plans de bataille, déchiffrables étape par étape, mais souvent lorsqu’il est trop tard.

 

Par Emmanuel Le Bohec, regional manager chez Corero Network Security


Pour être informé des derniers articles, inscrivez vous :

Commenter cet article

Archives

Nous sommes sociaux !

Articles récents