Cyberguerre et cybercriminalité : Internet, champ de bataille des temps modernes ?

Par :
Emmanuel Le Bohec

mar, 21/02/2012 - 13:11

Cyber-agression, blocage de sites institutionnels, divulgation de données, vol d’informations stratégiques, divulgation du code source de logiciels commerciaux, manifestations et revendications… "hacktivistes", pirates en tous genres multiplient, ces derniers temps, les actions d'éclat, particulièrement en France. Retour sur quelques unes de ces attaques numériques dévastatrices pour analyser les motivations de leurs auteurs et décrypter le mode opératoire employé afin de mieux les combattre. Par Emmanuel Le Bohec, Regional Manager chez Corero Network Security.

1ère partie : Quelques attaques récentes…

DDoS en série en représailles contre Sony

Fin mars 2011, Sony engage une action en justice contre des développeurs ayant modifié le logiciel de sa console PlayStation 3. Pour protester, le collectif Anonymous lance une attaque DDoS qui paralyse les sites PlayStationNetwork.com. Le 20 avril, Sony déconnecte les services PlayStation Network et Qriocity, après avoir détecté une intrusion sur les serveurs du réseau, hébergés dans un data center.

Mais ce n‘est que la partie émergée de l'iceberg ! Après enquête, Sony déclare que, lors de l'attaque DDoS sur les serveurs du service PSN, les données personnelles de 77 millions d'utilisateurs ont été volées.

Selon Sony, l’attaque était très sophistiquée. Déguisée en procédure d’achat, elle est passée inaperçue. Conséquence de ces événements : Sony décide d'ajouter des systèmes de surveillance automatisés afin de détecter toute activité inhabituelle sur le réseau, pour se défendre de futures attaques.

Piratage de MySQL, l’envers de la manipulation

Lundi 26 septembre 2011, des pirates compromettent MySQL.com, le site officiel de la base de données open source du même nom. Les visiteurs du site sont redirigés vers un domaine qui tente d'installer des programmes malveillants sur leurs machines, via le pack Black Hole, agissant contre les navigateurs des utilisateurs et des plug-ins tels que Flash et Java. Comble d’ironie, les pirates profitent d’une faille de sécurité pour placer une requête SQL qui fait anormalement réagir le système et compromet sa sécurité. Une simple visite de MySQL.com avec une plate-forme de navigation vulnérable se traduit par une infection.

L’attaque a permis de voler la liste complète des noms et mots de passe des utilisateurs dont une partie a été publiée.

RSA et les dessous du vol de données

L’attaque récente de RSA, la Division Sécurité d'EMC Corp., débute par deux vagues de phishing, ciblant de vrais employés de l’entreprise - probablement identifiés grâce à une phase de ‘social engineering’, voire simplement en surfant sur les réseaux sociaux « professionnels » de type LinkedIn - avec l’envoi d’un courrier électronique comprenant un fichier Microsoft Excel en pièce jointe, jouant sur la curiosité des destinataires via le titre alléchant, « plan de recrutement 2011 ». Ce document ne contient pas directement le virus ou le trojan, mais un film Flash mal formé et dont l’ouverture permet l’exécution de code malveillant, via une vulnérabilité du lecteur Flash d’Adobe.

L’ouverture de la pièce jointe déclenche donc l’exécution de code malveillant et la compromission de l’ordinateur, permettant l’intrusion et l’exfiltration de données d’un serveur compromis.

Selon RSA, le mode opératoire relève de l’Advanced Persistent Threat (voir 2ème partie pour plus de détails sur l’APT). Les Menaces Persistantes Avancées sont des attaques élaborées, ciblées et durant dans le temps.

C’est un scénario d’attaque similaire qui a été mis en œuvre pour s’introduire dans le réseau informatique de Bercy.

Espionnage de Lockheed-Martin

En avril 2009, une intrusion ayant permis de copier et détourner des téra-octets de données liées à la conception du nouvel avion de chasse F-35 Lightning II - un projet ultra-confidentiel de près de 300 milliards de dollars dirigé par Lockheed Martin - est détectée. Plus inquiétant encore, les systèmes informatiques impliqués dans la fuite d’informations auraient été infiltrés au moins 2 ans auparavant. Les espions sont entrés grâce aux vulnérabilités des réseaux d’entreprises sous-traitantes et ont chiffré les données volées rendant très difficile l’identification des responsables, mais aussi des données volées.

Le 21 mai dernier, les réseaux informatiques de Lockheed-Martin qui fabrique d’autres équipements essentiels pour le compte de l’armée américaine, ont été la cible d’une attaque importante, qui, selon la firme, a été repoussée.

Dénis de service en série, en signe de protestation

En janvier dernier, la justice américaine a demandé à Verisign de fermer l'accès au site de partage de fichiers Megaupload.com. En représailles, les Anonymous lancent des attaques, notamment contre les sites Web du FBI, de la Justice américaine, de la Maison Blanche, de RIAA, d’Universal Music, de Vivendi.fr et d’Hadopi. Mais l’indisponibilité des sites et les cyber-manifestations étaient-elles les seules motivations de ces actions ?

Attaques, dénis de service, intrusions et vols de données en augmentation

A travers ces quelques faits marquants récents (on pourrait en citer encore bien d’autres), on observe quelques constantes. L'objectif final reste l’infraction du système ciblé et le vol de données, qu’elles soient personnelles ou d'entreprise. Plus de 125 000 attaques se seraient produites aux seuls États-Unis en 2010 ! Et le mouvement se poursuit !

Il faut dire que la délinquance informatique prospère aujourd’hui. Elle dispose de réseaux hautement spécialisés qui se composent et se recomposent de manière dynamique avec une extraordinaire capacité d’adaptation. La liste des suspects est longue. Assistons-nous à une cybercriminalité qui se développe ou à une cyberguerre montante ? Certains pays sont régulièrement accusés d’être derrière l’intrusion sur les réseaux informatiques d’entreprises ou d’organisations gouvernementales qui sont confrontées à la prolifération des fraudes informatiques. Sur la toile, le combat est quotidien pour déjouer les agissements des réseaux criminels, dont les connaissances informatiques sont impressionnantes. Ainsi, en 2011, on a recensé 419 violations de données, 23 millions d’enregistrements impliqués, 1/3 provenant d’attaques malveillantes.

Une guérilla de mercenaires

Au début des années 2000, les pirates étaient des étudiants doués en informatique qui cherchaient la gloire dans le défi. Les temps ont bien changé ! Les profils des « guérilleros » sont variés. Ce sont de simples individus comme des joueurs, des novices en informatique ou des geeks, des salariés insatisfaits ou qui ont démissionné, des hacktivistes tels les Anonymous ou LulzSec, des hackers qui travaillent pour les mafias… La frontière entre le crime organisé et l’hacktivisme est d’ailleurs parfois si mince qu’elle est difficile à cerner.

Ainsi, si les informations télévisées nous parlent de la politisation des hackers, le hacking s’est en réalité « professionnalisé ». Les hackers d’aujourd’hui, sont nombreux, organisés et formés. Véritables mercenaires, certains groupes vendent leurs services à prix élevé à des filières criminelles ou à des états pour nuire ou récupérer, généralement sur commande, des données confidentielles, économiques ou privées. Ce « commerce » serait équivalent à celui du marché de la sécurité informatique.

Un butin hétéroclite

Que vole-t-on ? Tout d’abord, des données personnelles, avec, par ordre croissant d’intérêt : numéros de carte de crédit, dossier médical, e-mails, mot de passe, numéro de sécurité sociale et détails personnels mais surtout historique d’achats en ligne, car ces derniers permettent de cibler de futures attaques de phishing, souvent plus lucratives. Mais on vole également des données professionnelles, qu’elles soient juridiques, commerciales, marketing ou techniques : contrats, tarifs et remises, coûts de production, campagne prévue, informations concurrentielles, spécifications de produits, projets de R&D, résultats de tests, etc.

Tout monde peut être visé

La cible ? Ce sont d’abord les particuliers car, en général, moins éduqués et moins protégés, ils représentent une cible facile (notamment pour les débutants) d’autant plus que l’anonymat fourni par l’univers numérique, facilite la tâche des malfaiteurs. Mais, les sociétés, les associations et les administrations sont également d’excellentes cibles, souvent pour les mêmes raisons. Le vol numérique est moins risqué et moins pénalisé que le vol physique. Il est facile de se cacher et de fuir ! Bien que demandant plus de compétences dans le cas d’entreprises, il est aussi plus lucratif.

 

Les armes dépendent de l’objectif

Les pirates utilisent des kits logiciels criminels, des virus et des vers, des réseaux zombies (botnets) et leurs serveurs C & C… Les botnets, servant à l’origine, à gérer des canaux de discussions ou proposer des services de jeux, de statistiques, etc. ont été détournés de leur usage pour créer des réseaux de machines zombies. Ils permettent le relais des spams (commerce illégal, manipulation d'informations…), le phishing, l’infection par des virus, des vers et autres malwares, des attaques DoS et DDoS, la fraude au clic abusif sur un lien qui déclenchera un programme malveillant, l’extraction d’informations (pour la revente), des opérations de calcul distribué pour « craquer » des mots de passe ou la gestion d'accès à des sites de ventes de contrefaçons ou de produits interdits…

N’importe quelle machine connectée à internet peut devenir une machine zombie, parfois à l’insu de son propriétaire !

Attaques DoS / DDoS, le blocage commando

Une attaque par déni de service (denial of service - DoS) rend indisponible un service. Elle bloque, par exemple, un serveur de fichiers, rend impossible l'accès à un serveur web ou à un site internet, empêche la distribution du courriel…

De plus en plus sophistiquées, les attaques par déni de service impliquent une multitude de « soldats ou zombies ». On parle désormais de DDoS (distributed denial of service). Après les premières attaques perpétrées par des crackers attirés par l’exploit et le fun, on a vu apparaître des attaques DoS et DDoS par des pirates spécialisés dans la levée d’armées de zombies, qu’ils louent ensuite à des cybercriminels pour attaquer une cible particulière. Le nombre de dénis de service a suivi la forte progression du nombre d’échanges commerciaux sur Internet.

Les attaques massives, qui inondent le réseau pour l’empêcher de fonctionner, représentent le moyen le plus traditionnel et visible, tant au niveau des opérateurs que des routeurs d’accès de l’entreprise.

Mais une nouvelle génération d’attaques par déni de service est apparue. Elle vise, elle les applications. C’est un moyen moins massif,  moins détectable et plus intelligent que d'utiliser des connexions et le trafic légitimes (les nombreuses « erreurs 404 » ou des échanges de données très lents comme le fait Slowloris, par exemple), pour consommer non plus la bande passante mais les ressources des équipements et serveurs traversés, qu’il s’agisse de serveurs web mais aussi d’équipements réseaux comme les répartiteurs de charge ou des pare-feu.

Mais ce qui est plus inquiétant aujourd’hui, c’est qu’une même attaque combine plusieurs moyens utilisés à l’origine individuellement. Ce sont les fameuses APT évoquées précédemment, dans lesquelles les attaquants suivent de véritables plans de bataille, déchiffrables étape par étape, mais souvent lorsqu’il est trop tard.

 

2e partie : les APT

Les APT, une tactique militaire

Les menaces persistantes avancées (APT) sont aujourd’hui, les menaces les plus sophistiquées et les plus structurées. Alliant patience et furtivité, elles mélangent plusieurs modes opératoires et leur impact financier est d’autant plus important qu’elles sont détectées tardivement. La menace est réelle et relève de plus en plus d’une véritable stratégie que l’on pourrait voir décrite dans un manuel militaire.

 

Comment se déroule une APT ?

 

1 – Identification des objectifs et mise en œuvre des moyens nécessaires

Presque toujours commanditée, l’APT est méthodiquement organisée. Les attaquants identifient les objectifs à atteindre et les moyens d’accès. Ils déterminent les ressources à mettre en œuvre, les niveaux d’expertise requis pour atteindre la cible. L’objectif est de ne surtout pas minimiser les forces engagées en sous-évaluant les défenses adverses car cela causerait l’échec de l’attaque. Plus l’objectif est important, plus les moyens mis en œuvre sont nombreux, complexes et experts.

2 – Reconnaissance du terrain

Les attaquants recherchent toutes les informations qui concernent la cible : contacts, schéma d’architecture, pour identifier les comptes d’accès à privilèges et les moyens de connexion de l’entreprise. Des outils logiciels effectuent très rapidement une recherche structurée sur Internet (pages web, contenus, serveurs, etc.). Des campagnes de « ping » et de scans des ports réseaux, permettant des opérations de fingerprinting (identification des applications et OS installés sur les serveurs visibles sur Internet mais surtout de leurs versions) et donc de mieux cibler les attaques à lancer. Les pirates peuvent également chercher à prendre le contrôle de points d’ancrage dans l’entreprise. Ils visent quelques postes de travail en utilisant souvent le phishing pour hameçonner des utilisateurs et installer des postes d’observation avancés, toujours dans le but de préparer les phases ultérieures.

3 – Tirs de barrage, infiltration et effet de surprise

Ainsi renseignés sur les réseaux, la sécurité et les services utilisés et disposant souvent d’accès basiques au réseau de l’entreprise ciblée, les assaillants se préparent à lancer une offensive de grande ampleur via l’exploitation des vulnérabilités identifiées ou l’attaque depuis leurs postes avancés, c’est-à-dire avec des complicités internes (qu’elles soient volontaires ou non). Les pirates tentent avant tout, de masquer leur forfait mais aussi la cible réelle de l’attaque en créant un écran de fumée, comme le feraient des militaires en lançant leurs fumigènes. Ils essaient également d’affaiblir les défenses de la cible par un tir de barrage ou une attaque massive visible de tous (y compris souvent du grand public). Dans les deux cas, l’attaque par déni de service, dite DoS, massive, distribuée (DDoS) ou non peut être utilisée. Dans le premier cas, l’énorme quantité de logs (traces des connexions) générée rend beaucoup plus difficile la détection de l’attaque plus fine visant à pénétrer le réseau de l’entreprise. Dans le second cas, les équipements réseau et sécurité étant submergés, les intrusions peuvent passer et parfois même utiliser des vulnérabilités connues de ces équipements.

4 – Siège, encerclement, fortification et saute-mouton

Une fois l’accès obtenu, quelques opérations techniques permettent d’accroître les privilèges des pirates pour rendre le code malveillant ainsi installé, transparent et persistant sur le système. Doté au minimum des droits d’accès accordés aux utilisateurs propriétaires des machines cibles, les attaquants explorent le réseau pour atteindre les serveurs de données. Ils utilisent les vulnérabilités applicatives, les informations résidant ou transitant par le poste compromis ou des mécanismes réseau pour accéder à de nouvelles machines disposant de droits d’accès plus étendus et contenant des informations plus sensibles, en utilisant la technique de saute-mouton que l’on retrouve dans l’infanterie. A chaque étape, du code malveillant est installé et la machine « verrouillée », telle un bastion, afin de conserver un contrôle durable.

5 – Contrôle des principales voies d’accès, furtivité et utilisation du terrain

Les pirates cherchent ensuite un canal « permanent » pour extraire des informations dans l’immédiat mais aussi pour pouvoir exfiltrer des documents ou des mises à jour, ultérieurement. Ils installent alors des outils de rebond, des proxys et des outils de chiffrement. Dans certains cas, ils vont jusqu’à faire muter le code utilisé afin de demeurer indétectables par les solutions de sécurité installées, utilisant donc de véritables contre-mesures électroniques. Le chemin ainsi sécurisé leur permet également de quitter le champ d’action en effaçant toute trace de leur passage, restant inaperçus jusqu’au bout.

Une APT conduit toujours à une fuite de données

Le but ultime de l’APT est de voler et d’exfiltrer, d’un réseau informatique, des informations précises sur une personne, un groupe d’individus ou une organisation. Dans certains cas, lorsque la mission est terminée, l’attaquant peut décider, soit de disparaître en effaçant toutes ses traces, soit de saboter les installations qu’il occupait et espionnait.

L'inter-connectivité de plus en plus grande rend les frontières plus difficiles à définir et la sécurité plus difficile à appliquer. Les fusions-acquisitions ont ouvert le système d’information comme les besoins entre les filiales de plusieurs pays, les entrepreneurs, les sous-traitants, les clients, les employés... qui sont de plus connectés et reliés entre eux par Internet. La démocratisation du haut débit et de l’utilisation de PC, tablettes et smartphones personnels donnant accès à Internet, les comportements individuels ou collectifs négligents ainsi que les outils de piratage informatique automatisé facilitent la vie des hackers tout en la rendant plus difficile aux responsables informatiques.

Contre-attaque ou guerre de tranchées ?

On assiste donc à une véritable et interminable partie de cyber-échecs. Les pirates ont l’avantage des blancs, donc du premier coup et de la stratégie. Il faut détecter le comportement, l'activité et le trafic anormaux.

Le comportement humain est encore une fois l’élément-clé… Il concerne les utilisateurs comme les informaticiens. La maladresse et l’erreur humaine qui font exécuter un traitement non souhaité sont les premiers risques. La formation des utilisateurs, inconscients ou ignorants des risques qu'ils font courir au système d’information, est indispensable. Ils peuvent introduire des programmes malveillants sans le savoir, en connectant simplement un ordinateur portable ou une tablette personnelle sur le réseau de l'entreprise ou en utilisant une clé USB sur leur PC. Les manipulations inconsidérées sont aussi monnaie courante.

L’authentification est de toute évidence le premier rempart aux attaques informatiques. Les noms d’utilisateur/mot de passe (login/password) sont personnels et ne doivent jamais être communiqués... même pour rendre service. Détourner les mots de passe est un exercice courant pour les hackers qui cherchent les accès à privilèges pour prendre le contrôle d'un système ou d'un réseau.

Construire une base de défense

Il est capital de disposer d’architectures IT cohérentes. Le partitionnement, la protection interne (zone-tampon, DMZ, multiples obstacles d’authentification), la visibilité et le contrôle sont des moyens de défense en profondeur. Le filtrage bi-directionnel, permettant de contrôler les paquets entrants ET sortants, est essentiel pour prévenir une attaque mais aussi la détecter lorsque l’intrusion a déjà eu lieu, soit en place avant l’installation de l’équipement de filtrage, soit apportée via un réseau moins sécurisé (sous-traitant) ou via un employé qui introduit un équipement mobile personnel (PC, BYOD, etc.).

Dans tous les cas, les moyens de défense et la protection à mettre en place doivent être proportionnels à la valeur des actifs à protéger. Pour évaluer correctement les risques engendrés par la criminalité informatique, il convient d’avoir une vision globale des dangers et des techniques utilisées par les hackers. Il faut aussi analyser correctement les vulnérabilités propres à chaque site, définir le niveau de sécurité souhaité et enfin, mettre en place une politique de sécurité qui tienne compte des problèmes liés au poste d’administrateur et de ceux de l’utilisateur afin d’éviter d’en créer de nouveaux…

L’histoire est sans fin… C'est un travail de chaque instant, comportant des tests de défense continus, la mise en place des meilleures technologies de chaque catégorie, se chevauchant légèrement pour aider à découvrir les éventuels problèmes que les solutions « tout-en-un » peuvent manquer. Enfin, il faut poursuivre sans cesse l’éducation et la sensibilisation des salariés... car le problème se situe souvent entre le clavier et le fauteuil !

 

Problem Exist Between Keybord And Chair

 

Emmanuel Le Bohec, Regional Manager chez Corero Network Security

A propos de l'auteur

Emmanuel Le Bohec