[Entrée n°4] Dans le doute, Meriadoc, il faut toujours suivre son flair.

Par défaut
Nick Sadek - Illustration série au profit d'un article au sujet de la cyberdéfense.

Nick Sadek – Illustration tirée d’une série au sujet de la cyberguerre. Oui, rien que ça.

Franchement, je ne dis pas ça, parce que je suis un garçon fragile, mais avouez que mettre aux enchères des outils d’attaque informatique liés à la NSA, ça ne manque tout de même pas de panache. Imaginez maintenant que les attaquants créent pour l’occasion une grossière légende, qui associe revendications fumeuses sur fond de lutte des classes et personnage de space-opéra. Avouez que l’affaire commence à prendre une tournure, pour le moins, amusante.

Derrière cette situation passablement cocasse, quelques faits qu’il me semblent pas inutile de souligner. Remarquons en premier lieu, que pour un mois de relâche – nous sommes en août que diable – l’actualité cybernétique est particulièrement dense et notamment liée à de nombreuses révélations, qui impliquent tour à tour, sans trop avoir l’air de, la Russie et les États-Unis. A la louche, parce que je suis magnanime : l’affaire du DNC, les révélations relatives au groupe Sauron, les russes qui affirment être la cible d’attaques sophistiquées et maintenant notre Shadow Broker qui semble vouloir faire trembler la NSA. Je concède ne pas être un observateur très futé, mais tout de même, avouez que cela fait beaucoup d’événements sans dénominateur commun apparent.

Par ailleurs, les revendications du Shadow Broker ne semblent pas très sérieuses. Je ne dis pas que vouloir lutter contre les nantis et le pouvoir n’est pas louable, mais la méthode dans ce cas présent manque clairement de souffle. De même, je ne dis pas non plus que le principe d’une enchère publique ne manque pas de panache, mais là aussi, il faut reconnaître que le dispositif ne sert pas d’éventuelles motivations financières. Avec moins de 1000€ en jeu à ce jour en une grosse semaine, je suis tenté de dire, que s’il s’agit d’argent, l’affaire est mal engagée. Par conséquent, il faudra le concéder, la théorie d’un groupe d’hacktivistes aux motivations politiques ne tient pas la route. Cette couverture est d’ailleurs si peu crédible, qu’elle pourrait prêter à sourire si le contexte géopolitique ne suscitait pas tant de questions.

Portrait du Shadow Broker (Mass Effect 2). Le garçon ne parait pas sympathique. On préférait que ce soit encore un coup des russes.

Portrait du Shadow Broker (Mass Effect 2). Le garçon ne parait pas sympathique. On préférait que ce soit encore un coup des russes.

D’ailleurs coïncidence rigolote qui n’en est peut être pas une. Il semblerait qu’une partie des bitcoins utilisés pour nourrir l’enchère proviendrait d’un lot saisi par le FBI dans le cadre de la fermeture du site de vente de produits illégaux, Silk Road. L’information est sans frais et mériterait d’être savamment recoupée, mais avouez que l’anecdote est cocasse.

D’autre part, l’extrait des documents partagés par l’attaquant en guise de bonne foi est passablement intriguant. Les données à caractère technique, puisqu’il s’agit d’outils et de scripts à fin de lutte informatique offensive (LIO), sont à priori à la fois inédits et légitimes, c’est à dire associés au groupe baptisé Equation Group, très fortement suspecté d’être lié à la NSA – agence dont on ne présente plus l’activité en ces murs, tant elle est connue comme le loup blanc. Outils toutefois assez anciens, car datant de 2013 pour les plus récents. Une éternité donc, mais bref, passons.

Cependant, difficile d’évaluer l’origine et les motivations de cette compromission. Les plus sensibles se laisseront à fantasmer sur une compromission interne, qui parait toutefois bien improbable, mais qui, rappelant l’affaire Snowden, pourrait servir le discours de l’attaquant. L’hypothèse d’un serveur C2 associé aux opérations de LIO de la NSA compromis par l’attaquant il y a plusieurs mois et dont les données ne seraient que publiées aujourd’hui parait plus crédible. Même s’il ne repose sur aucun fait tangible, je le crains. La thèse ne reste pas moins séduisante pour nombre d’observateurs assidus, dont je partage d’ailleurs les conclusions.

Point trop de naïveté n’en faut. Cet étrange déballage d’affaires compromettantes de chaque coté de l’Atlantique n’est probablement pas le fruit d’un fortuit alignement des planètes. Les différents éléments publiés ça et là d’un niveau de fiabilité variable suggèrent au moins une hypothèse, qui me parait pas inutile de développer, en précisant une fois de plus, même si je suis sûr que cela n’est pas nécessaire, mais grossier personnage que je suis, je me permets tout de même, qu’il s’agit d’une hypothèse sur la base de faits dont la fiabilité reste à confirmer.

Imaginons donc un instant que l’affaire du DNC ait provoqué ou tout du moins participé à créer un contexte favorable à l’engagement d’un silencieux bras de fer entre Moscou et Washington, qui se traduit :

  • Coté américain, par des tentatives de compromission du dispositif d’attaque russe, en gros les serveurs C2 utilisés dans les opérations russes en cours ;
  • Coté russe, par un renforcement de la campagne d’influence contre Washington. Opération d’influence, à priori assez complexe, destinée à obtenir de multiples effets sur différentes audience-cible, et dont, je le crains, j’ai du mal à percevoir l’effet désiré. Peut être parce que je me plante après tout.

Dans ce contexte l’affaire du Shadow Broker pourrait avoir pour objet de faire passer un message dissuasif par le canal le plus à même de déstabiliser Washington, tout en rendant, par la même occasion, une réponse officielle du gouvernement Obama plus complexe. A titre d’exemple, publier des outils d’attaque associés à la NSA rappelle, si l’était besoin, à la communauté internationale et aux citoyens américains, l’hypocrisie de l’administration américaine. Hypocrisie partagée par nombre d’États bien entendu, mais qui reste toujours un peu embarrassant d’évoquer publiquement.  Je vois là une belle exploitation des faiblesses du colosse américain, d’autant plus bienvenue, que les documents sont assez anciens. Ce qui serait maintenant assez marrant, c’est que l’on constate dans les semaines à venir l’utilisation par des groupes étatiques russes d’outils disponibles dans le leak publié par Shadow Broker.

Bon, vous l’aurez compris cette hypothèse me séduit particulièrement. Je sais, je suis un garçon facile. Quoiqu’il en soit, si l’hypothèse d’une confrontation grandissante entre les deux tours se confirme, il ne sera pas inintéressant de suivre avec un intérêt renouvelé les architectures d’attaque des groupes associés aux États-Unis et à la Russie, car je n’imagine pas un instant les États-Unis rester les bras ballants face à une éventuelle manœuvre de Moscou.

Cela dit, il semblerait toutefois que, dans cette affaire, la Russie ait pris une longueur d’avance en dictant le tempo de la manœuvre et les règles du jeu, tant il est vrai que dans le cyberespace – oui, j’ai dit cyber – est un monde de faux semblant, et que, par conséquent, la cohérence du discours prime souvent sur la réalité des faits.

A ce jeu là, on le concédera, Moscou semble remarquablement bien se démerder.

[Entrée n°3] Les cons, ça ose tout. C’est même à ça qu’on les reconnaît.

Par défaut
From Jeff Östberg to a Wired text called "warfare has changed forever now that there are no secrets".

Jeff Örtberg – Warfare has changed forever now that there are no secrets (Wired)

Je ne suis pas de nature sensible, mais la persistante routine qui consiste à infecter l’ordinateur de son voisin par message piégé a encore suscité dernièrement chez moi une ébauche de bourdonnement intellectuel, qui me semble pas inutile de partager avec vous.

Je le concède, la pèche aux cétacés n’est pas une pratique nouvelle. Cependant, deux récents événements (ici et ) ont, une fois de plus, attiré mon attention sur cette intrigante pratique, qui semble, à première vue, régner sans partage au royaume de l’infection informatique.

Parlons donc harponnage (aʀpɔn) un instant. D’abord parce que la pratique éclaire quelques principes de lutte informatique pas forcément inintéressants, parce que c’est d’actualité, et enfin parce que la technique de harponnage peut potentiellement placer chacun de nous au centre du grand échiquier cybernétique. Dès lors que l’on occupera une place clé dans la société bien entendu. Encore que. Bref. Tout un programme donc.

Ce courriel d'apparence innofensif va exposer votre modeste bécane à la curiosité moscovite (Trend Micro)

Ce courriel d’apparence inoffensif va pourtant exposer votre modeste bécane à la curiosité moscovite. (Trend Micro)

Une première remarque en préambule. Une rapide étude des dernières grandes opérations d’espionnage informatique – non, je ne dirais pas cyber, c’est un gros mot – ne laisse que peu de place au doute. A première vue, et même dans le cadre d’opérations sophistiquées impliquant l’exploitation de plusieurs vulnérabilités 0-day, ainsi que la conception de logiciels malveillants modulaires, l’utilisation de messages piégés reste la norme.

Une fois passée la stupeur causée par cette évidente révélation, le lecteur sera tenté de chercher les causes de cette domination du courriel suspect, que l’on dit pourtant contesté par plusieurs autres vecteurs, tels que le point d’eau, la clé USB ou la complicité interne – pour n’en citer que quelques uns. Que ce dernier se rassure, les explications ne manquent pas et reposent sur autant de principes, qui me semblent fondateurs en matière de lutte informatique offensive. LIO en français, les gars, LIO.

En premier lieu, tordons le cou une nouvelle fois à deux idées reçues : une attaque informatique est peu coûteuse – ça dépend, les hackers sont des complexes d’œdipe en cagoules noires et lunettes grossissantes – c’est vrai pour les lunettes, c’est faux pour la cagoule. Partons donc du principe qu’une opération d’origine étatique répond à un objectif et engage des moyens, dont le commanditaire d’origine politique, attendra un retour sur investissement. Une mission, des hommes, des moyens, un tempo.

Ce principe oblige l’attaquant à structurer son attaque et à élaborer une ligne d’action qui lui permettra d’obtenir l’effet recherché en engageant un minimum de moyens parmi ceux à sa disposition. La lutte informatique repose sur un vivier de moyens humains à la fois rares et très spécialisés. Je vous mets au défi de trouver dans votre entourage un spécialiste rétro-ingénierie qui programme en Delphi. Autrement dit, on tachera donc à ne pas gaspiller ses précieuses forces et à concentrer ses efforts sur l’effet majeur d’une attaque informatique : l’élévation de privilège à fin de prise de contrôle à distance.

Revenons donc à notre harponnage, voulez-vous. En la matière, on gagera que la technique de harponnage jouit d’un rapport coût/effet pour le moins redoutable. Plusieurs observateurs évoquent même un taux d’infection de plus de 70% pour certains groupes étatiques. Ce dernier point, associé à une remarquable flexibilité d’emploi, explique en grande partie la popularité des techniques de hameçonnage et de harponnage.

Ainsi, en fonction de ses besoins ou de ses moyens, l’attaquant aura tout loisir de privilégier une attaque en profondeur en envoyant un message ciblé, en général d’apparence légitime, à un acteur clé de l’architecture réseau visé, imaginons le DSI, ou simplement de s’orienter vers une campagne de hameçonnage sensiblement moins sophistiquée, mais qui pourra toutefois ouvrir de multiples portes, générer un bruit conséquent et perturber les mécanismes de défense de la cible. D’aucuns me feront remarquer qu’il est possible de combiner les deux. Effectivement. On aurait d’ailleurs tort de s’en priver.

Cette efficacité, que les plus modestes qualifieront de bon aloi, tient à trois principaux facteurs :

  • La domination des réseaux sociaux ou, mieux dit, l’empreinte grossissantes de nos empreintes numériques. En la matière, parait-il que Linked’In serait du bain béni pour l’apprenti attaquant. Plus généralement, l’internet est un vivier d’informations de source ouverte très facile d’accès, dont on aurait tort de sous-estimer l’apport. Duchemin évoque sa participation à un salon de Défense. Bien, construisons lui un mail d’apparence légitime au sujet de son inscription. Comment ça, déjà vu ?
  • Le mauvais (ou l’absence de) paramétrage(s) de certains serveurs de courriels, qui sont parfois, il faut le concéder, de vraies passoires.
  • La crédulité de l’utilisateur. Vous, moi. A peu près tout le monde après 18H et avant le café de 9h.
Exemple de fichier infecté (.ppt) utilisé dans le cadre de la campagne Patchwork. Pas mal pour des petits nouveaux non ?

Exemple de fichier infecté (.ppt) utilisé dans le cadre de la campagne Patchwork. Pas mal pour des petits nouveaux, non ? (Cymmetria)

Dans le milieu, il est communément admis, à raison, que le principal maillon faible de la défense est le vecteur humain, pour tout un tas de raisons qui seront, pourquoi pas, un jour l’objet d’un article. Or, ce vecteur est souvent sous-estimé, quand il n’est tout simplement pas négligé. Quand elle est menée – dans le meilleur des cas – la sensibilisation du personnel repose sur des mécanismes de culpabilisation, qui ne poussent pas le personnel, particulièrement les VIP, à réagir efficacement (et rapidement) en cas de doute.

Malheureusement, de nombreux précédents l’indiquent. Bien souvent, c’est bien la vigilance et la réactivité de l’utilisateur qui permet de lever le doute rapidement. A titre, d’exemple, certains attaquants, parmi les plus érudits, préfèrent agir en début/fin de journée. L’idée est d’attaquer quand le dispositif de sécurité est le plus fragile. Par exemple, quand le personnel dédié à la SSI est absent ou occupé ailleurs, afin de gagner de précieuses heures sur la défense. Or ces précieuses heures peuvent être suffisantes pour permettre à l’adversaire de se déplacer dans le réseau et commencer un éventuel sabotage ou une exfiltration de données. Les cinéphiles se rappelleront sans doute du passage de data-center dans la série M.Robot.

Le lecteur intrigué pourra sans doute trouver sur l’internet quelques astuces ici et là pour élever son niveau de vigilance. Pour ma part, je me contenterai de rappeler qu’il n’est jamais malvenu de faire part de ses doutes à son RSSI de quartier. D’autre part, un coup d’œil rapide sur le lien, l’origine de l’expéditeur ou l’extension en pièce jointe, associé à une petite mise en perspective du message par rapport à la politique organisationnelle de son organisme, permet d’éviter de transformer une regrettable boulette en catastrophe nationale.

En cas de doute, on ne le répétera jamais assez, il n’est jamais trop tard pour aller à confesse et ainsi donner de précieux renseignements à la défense, qui, à ne pas douter, est déjà entrain de seller ses chevaux pour partir en guerre contre l’ennemi. Vae victis, les gars, Vae victis.