Close
  • Français
  • English

[Contribution] Internet, ce quartier sensible [par Nathan Sigal, Cybersecurity Analyst, Cybelangel]

Partons d’une analogie nécessairement simplificatrice. On pourrait décrire Internet comme étant un quartier où règne une insécurité généralisée. D’un côté sévissent des criminels de haut vol qui frappent ici et là. Se protéger contre eux requiert des moyens importants. Parallèlement, tous subissent des incivilités et harcèlements permanents. La première catégorie d’acteurs malveillants impressionne, mais ce sont les petits délinquants qui rendent la vie difficile aux particuliers et commerçants.

Dans leur activité en ligne quotidienne, les usagers d’Internet font face à un danger sous-estimé tant par l’industrie de la cybersécurité que par les médias : celui de la cyber-délinquance. Les menaces de faible intensité n’ont pas à leur avantage l’évocation de pays exotiques et de services de renseignement comme ce peut être le cas pour les Advanced Persistent Threat (APT). Mais la médiocrité des cyber-délinquants est compensée par leur grand nombre. Pour contrer cette menace, il faut en finir avec le cliché du pirate adolescent inoffensif qui opère depuis sa chambre. Pour analyser ce type d’attaquants, les professionnels de la sécurité peuvent recourir à des outils connus comme la Cyber Kill Chain ou les TTP (tactiques, techniques et procédures).

Qui sont les cyber-délinquants­?

Contrairement aux cyber-criminels et aux menaces étatiques, les cyber-délinquants ne sont pas identifiés en fonction de leurs objectifs mais plutôt selon leur niveau technique. Ces « petits » pirates ont des compétences limitées. Ils sont animés par la volonté de nuire plutôt que la possibilité d’améliorer leurs connaissances en sécurité informatique. Ils opèrent dans la continuité des script kiddies, ces anti-héros du monde du hacking. Un rapport publié par l’université Carnegie-Mellon en 2005 définit les script kiddies comme « les profiteurs des failles de sécurité d’Internet les plus immatures mais malheureusement tout aussi dangereux que les autres »[1]. Mais là où le script kiddie est une figure risible et peu impressionnante, le cyber-délinquant a une capacité de nuisance accrue. En 2014, il sait exploiter au mieux les marchés noirs, canaux toxiques et attaques automatisées qui n’existaient pas autrefois.

Une différence majeure oppose les cyber-délinquants aux menaces avancées : ils ne s’obstinent pas contre des cibles qui leur résistent, car ils savent qu’il existe une pléthore de victimes à aller chercher ailleurs. De manière générale, repousser une première attaque d’un cyber-délinquant permet de s’en débarrasser. On ne peut en dire autant des APT.

On serait tenté d’accorder de l’importance aux motivations politiques et idéologiques des cyber-délinquants. Ainsi, le groupe LulzSec aurait volé des données de dizaines d’entreprises en 2011 pour « sensibiliser » à la sécurité. En réalité, ces légitimations données a posteriori ont peu d’importance pour les professionnels de la sécurité. Les états d’âme des cyber-délinquants sont une façade qui dissimule assez mal une aspiration à la gloire. Les hacktivistes sont nombreux à venir chercher leur quart d’heure de célébrité dans les failles de sécurité d’entreprises innocentes.

Les propos du pirate Topiary, dont l’œuvre soi-disant humaniste a coûté des dizaines de millions de dollars à des entreprises comme Sony ou Nintendo, sont édifiants. Ainsi, il se décrivait en 2011 comme un « habitant d’Internet passionné par le changement », désireux de « promouvoir la révolution »[2]. Quel sérieux accorder aux propos politiques de cet adolescent, traîné hors de la maison de ses parents le 27 juillet 2011 par la police britannique ?

Quel niveau de menace ?

Si risible soit la philosophie de certains hacktivistes, la menace qu’incarnent les cyber-délinquants est à prendre au sérieux. Le danger pèse d’abord sur la réputation des victimes. Les cyber-délinquants tentent à tout prix d’humilier leurs proies. Quel que soit le mode d’attaque choisi, une campagne de publicité est organisée sur Twitter et sur des sites spécialisés. En novembre 2014, l’opération Anonymous OpAntiRep s’attaque aux forces de police en France et en Italie. Les adresses et numéros de téléphone de centaines de policiers italiens sont publiés le 22 novembre. Une image est associée à la publication, laissant peu de place à l’imagination : un individu portant un masque Anonymous est sur le point d’égorger un cochon, avec pour sous-titre « police owned »[3].

L’atteinte à la réputation se prolonge parfois l’extorsion de fonds, devenue une activité de choix des cyber-délinquants[4]. A ce titre, l’attaque dont a été victime la branche française du restaurateur Domino’s Pizza est édifiante. En juin 2014, un groupe du nom de Rex Mundi annonçait avoir volé la base de données des clients de Domino’s en France. Les attaquants exigeaient 30 000 euros pour ne pas publier les informations. Quelques mois plus tard, la base de données circulait sur Internet après que la victime eut refusé de payer. Les données personnelles de près de 600 000 français, dont leurs numéros de téléphone et adresses postales, se retrouvaient ainsi exposées[5].

Les cyber-délinquants ont pour certains d’entre eux des méthodes de détection et de cartographie des cibles similaires aux cybercriminels et aux APT. Avant de s’attaquer à une cible, ils recherchent des documents mal protégés qui pourraient les aider à commettre leur forfait. Ces low-hanging fruits[6] que collectent les cyber-délinquants au-delà des périmètres bien gardés du SI de l’entreprise recèlent souvent des informations sensibles. De l’appel d’offre à l’annuaire en passant par la description d’une application interne, tout est bon pour préparer une attaque en profondeur. C’est l’analyse que fait le journaliste Brian Krebs à propos de l’attaque contre l’américain Target. La chaîne de magasins a elle-même « facilité le travail des attaquants » en laissant « d’immenses quantités de documents internes destinés à ses fournisseurs sur divers serveurs web ouverts ne requérant aucun login »[7].

Aujourd’hui, les cyber-délinquants ratissent le deep web à la recherche de ces informations. Celles-ci sont ensuite distribuées sur des canaux toxiques et pourront être réutilisées par des attaquants plus déterminés, qu’il s’agisse d’hacktivistes ou d’organisations cybercriminelles. L’opération Anonymous OpTestet, qui vise des centaines d’organisations affiliées de près ou de loin au projet du barrage de Sivens, illustre bien cela. Les hacktivistes se concertent sur des canaux de discussion pour trouver des informations qui permettraient de pirater des sites comme celui des bus du Tarn ou de syndicats d’agriculteurs[8]. Ils partagent ces informations avec des attaquants capables de les exploiter pour nuire autant que possible aux organisations visées.

Automatisation et démocratisation des outils d’attaque

Ainsi, le phénomène de la cyber-délinquance pourrait évoquer à de nombreux professionnels de la cybersécurité aux script kiddies d’autrefois : des nuisibles aisément repoussés que l’âge ne manquerait pas d’assagir. En réalité, les progrès en matière d’automatisation et de démocratisation des outils d’attaques en font des adversaires d’un tout autre calibre. Trois tendances de l’écosystème cybercriminel sont derrière cette capacité de nuisance accrue des cyber-délinquants.

La première tendance est celle du Malware-as-a-Service. On trouve aujourd’hui des Remote Access Tools (RAT) vendus clés-en-main pour quelques dizaines d’euros sur les marchés noirs[9]. Le cyber-délinquant achète un moyen d’hébergement et de livraison du malware ainsi que les outils nécessaires à l’exploitation chez la victime (captation des mots de passe, données bancaires, images de la webcam, etc). En novembre 2014, les enquêteurs de la gendarmerie arrêtaient en France des individus suspectés d’avoir utilisé de tels malware. Le colonel Freyssinet décrit alors les suspects comme étant « des adolescents et des jeunes adultes »[10].

L’industrialisation des exploits[11] est le deuxième phénomène qui booste la cyber-délinquance. Là où les cybercriminels et groupes APT font de la R&D en matière d’attaques informatiques, les cyber-délinquants copient et testent massivement. En octobre 2014, des chercheurs découvraient Sandworm, un groupe APT de haut niveau œuvrant en faveur d’intérêts russes[12]. La particularité de ces attaquants est l’utilisation d’une vulnérabilité jusqu’alors inconnue visant une fonctionnalité de Windows. Quelques jours à peine après qu’elle eut été découverte, le CERT américain prévenait que la vulnérabilité était exploitée par des « petits pirates ». Des emails de phishing avec une pièce jointe prétendant donner des conseils pour empêcher la diffusion d’Ebola délivraient en réalité la vulnérabilité utilisée jusque-là par Sandworm[13].

Enfin, il faut souligner l’ancrage des cyber-délinquants dans l’écosystème des attaquants. Les cyber-délinquants ne sont pas les script kiddies d’autrefois, qui opéraient ponctuellement et individuellement. En effet, les cyber-délinquants peuvent être manipulés par des réseaux cybercriminels évolués[14]. C’est particulièrement le cas pour les vols de cartes de crédit, dont l’exploitation financière est complexe. Sur les forums utilisés par les cyber-délinquants, le vol de cartes de paiement et les différents moyens d’escroquer des particuliers sont un sujet récurent[15]. La cyber-délinquance peut ainsi constituer un chemin vers la cybercriminalité en bonne et due forme.

La Kill Chain des cyber-délinquants

Le concept de Cyber Kill Chain est partiellement applicable aux cyber-délinquants[16]. La Cyber Kill Chain invite à ne pas considérer une cyber-attaque comme un évènement ponctuel. Au contraire, il existe plusieurs étapes entre le moment où l’attaquant détermine ses objectifs et celui où il y parvient.

La première étape pour les cyber-délinquants consiste à déterminer des cibles. Pour ce type d’attaquant, deux grands types de ciblages existent. Le premier est réalisé en fonction de motivations politiques plus ou moins fondées. Des entreprises peuvent être attaquées pour une relation indirecte avec une cible primaire. Par exemple, n’importe quelle entreprise présente en Israël est susceptible de faire l’objet d’attaques d’hacktivistes hostiles au gouvernement israélien. Plus souvent, c’est le ciblage d’opportunité qui prime : peu importe la cible, pour peu qu’elle soit vulnérable. Des outils automatiques peuvent être utilisés, mais un simple moteur de recherche suffit à trouver des proies[17].

Le partage public des cibles est une procédure typique des cyber-délinquants auxquels les attaquants plus avancés n’ont pas recours. De nombreux cyber-délinquants se spécialisent d’ailleurs dans la détection de failles sur des sites web et publient le résultat de leur travail sur des sites comme Pastebin. A ce titre, l’opération OpTestet précédemment citée est exemplaire.

Vient ensuite la reconnaissance sur les cibles. Contrairement à celle faite par les attaquants avancés, elle est automatisée, générique et limitée. Les cyber-délinquants bénéficient des outils utilisés par les professionnels de la sécurité informatique. Créés avec des intentions louables, ils trouvent une utilisation malveillante dans les mains des cyber-délinquants. Le scanner de ports Nmap en est un bon exemple. Metasploit permet aux attaquants de tester des vulnérabilités connues sur leurs cibles.

La nature de l’attaque est entièrement déterminée par les failles détectées et non pas par des objectifs fixés ex ante. Dans les cas les plus triviaux, il s’agit d’attaques par déni de service. Une bonne connaissance des outils automatiques permet aux administrateurs système de prévenir ce type d’attaque. Le défacement est également monnaie courante, et s’appuie généralement sur des failles Cross Site Scripting. Enfin, le vol de base de données est le résultat le plus abouti pour les cyber-délinquants. Plusieurs méthodes sont employées pour y parvenir. Les plus typiques sont le social engineering (les identifiants de l’administrateur sont obtenus en trompant la confiance de celui-ci) et les injections SQL (du code malveillant est injecté dans le site web). On notera que les cyber-délinquants n’établissent habituellement pas de présence persistante et discrète sur les réseaux visés.

Opérer au niveau des cyber-délinquants

Ignorer la partie faible du champ de la menace est une double erreur. D’abord, la cyber-délinquance représente une menace non-négligeable pour la réputation et les données des victimes. En outre, la cybercriminalité représente un écosystème au sein duquel les attaquants de différents niveaux interagissent et se renforcent mutuellement. Pour revenir à l’analogie du quartier sensible, les incivilités et les crimes plus sérieux forment un tout.

Aujourd’hui, le business de la cybersécurité est inadéquat pour répondre à la cyber-délinquance. Les principaux vendeurs mettent en avant des menaces de haut niveau. Ils s’en tiennent à l’édification de défenses périmétriques et en profondeur pour protéger l’ensemble du SI de l’entreprise. Mais ces solutions coûteuses n’opèrent pas au même niveau que les cyber-délinquants. Ceux-ci ne s’attaquent pas de front à ces défenses mais préfèrent glaner sur le dark web et le deep web des données piratées ou oubliées. Il est essentiel pour une organisation de prendre connaissance des informations la concernant qui circulent sur les parties peu accessibles du web. Ces informations sont le levier permettant aux attaquants de trouver et d’exploiter des failles.

Les professionnels de la sécurité doivent aujourd’hui comprendre le danger réel pour la sécurité globale d’Internet que représente la cyber-délinquance. Il s’agit d’établir la typologie des groupes les plus actifs et d’étudier leur kill chain tel qu’on le fait pour les menaces avancées. Comprendre les techniques, tactiques et procédures des attaquants permet de mettre naturellement en place des mesures de protection adéquates.

 

Nathan SIGAL
Cybersecurity Analyst
Cybelangel

————–

[1] Nancy R. Mead, Erci D. Hough et Theodore R. Stehney II. “Security Quality Requirements Engineering (SQUARE) Methodology”, Carnegie Mellon University, Novembre 2005.

[2] The Guardian, « Why hacker group LulzSec went on the attack », 14 juillet 2011.

[3] Blog officiel de Anonymous Italie, « Anonymous Polizia Penitenzaria », 22 novembre.

[4] L’article du Guardian cité en (2) explique d’ailleurs qu’une société américaine, Unveillance, dit avoir été victime de chantage de la part du pirate Topiary et ses acolytes.

[5] lemonde.fr, « Après son piratage, la base de donnée de Domino’s Pizza publiée sur Internet », 21 novembre 2011.

[6] « Low-hanging fruits » désigne en anglais des objectifs facilement atteignables, demandant peu d’efforts.

[7] Brian Krebs, « Email Attack on Vendor Set Up Breach at Target », krebsonsecurity.com, 12 février 2014.

[8] Discussions relevées par CybelAngel. Note d’analyse sur demande.

[9] Lillian Ablon, Martin C. Libicki et Andrea A. Golay, “Markets for Cybercrime Tools and Stolen Data”, RAND, 2014.

[10] Le Point, “Opération “Mousetrap” : les cybergendarmes s’attaquent aux “petits” criminels du Net », 21 novembre 2014.

[11] Un exploit est un programme qui permet d’exploiter une faille de sécurité.

[12] Blog de iSight Partners, “iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign”, 14 octobre 2014.

[13] US-CERT, “Ebola Phishing Scams and Malware Campaigns”, 16 octobre 2014.

[14] Steven D’Alfsono, “Who Are ‘Knowing’ Money Mules?”, securityintelligence.com, 18 septembre 2014.

[15] Discussions relevées par CybelAngel sur des sources ouvertes.

[16] Hutchins, Eric M., Michael J Cloppert, Rohan M. Amin, « Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains », Lockheed Martin, mars 2011.

[17] La Google Hacking Database, bien connue des pirates, référence des centaines de recherches Google permettant de trouver des sites ou serveurs vulnérables en quelques clics.