[Entrée n°3] Les cons, ça ose tout. C’est même à ça qu’on les reconnaît.

Par défaut
From Jeff Östberg to a Wired text called "warfare has changed forever now that there are no secrets".

Jeff Örtberg – Warfare has changed forever now that there are no secrets (Wired)

Je ne suis pas de nature sensible, mais la persistante routine qui consiste à infecter l’ordinateur de son voisin par message piégé a encore suscité dernièrement chez moi une ébauche de bourdonnement intellectuel, qui me semble pas inutile de partager avec vous.

Je le concède, la pèche aux cétacés n’est pas une pratique nouvelle. Cependant, deux récents événements (ici et ) ont, une fois de plus, attiré mon attention sur cette intrigante pratique, qui semble, à première vue, régner sans partage au royaume de l’infection informatique.

Parlons donc harponnage (aʀpɔn) un instant. D’abord parce que la pratique éclaire quelques principes de lutte informatique pas forcément inintéressants, parce que c’est d’actualité, et enfin parce que la technique de harponnage peut potentiellement placer chacun de nous au centre du grand échiquier cybernétique. Dès lors que l’on occupera une place clé dans la société bien entendu. Encore que. Bref. Tout un programme donc.

Ce courriel d'apparence innofensif va exposer votre modeste bécane à la curiosité moscovite (Trend Micro)

Ce courriel d’apparence inoffensif va pourtant exposer votre modeste bécane à la curiosité moscovite. (Trend Micro)

Une première remarque en préambule. Une rapide étude des dernières grandes opérations d’espionnage informatique – non, je ne dirais pas cyber, c’est un gros mot – ne laisse que peu de place au doute. A première vue, et même dans le cadre d’opérations sophistiquées impliquant l’exploitation de plusieurs vulnérabilités 0-day, ainsi que la conception de logiciels malveillants modulaires, l’utilisation de messages piégés reste la norme.

Une fois passée la stupeur causée par cette évidente révélation, le lecteur sera tenté de chercher les causes de cette domination du courriel suspect, que l’on dit pourtant contesté par plusieurs autres vecteurs, tels que le point d’eau, la clé USB ou la complicité interne – pour n’en citer que quelques uns. Que ce dernier se rassure, les explications ne manquent pas et reposent sur autant de principes, qui me semblent fondateurs en matière de lutte informatique offensive. LIO en français, les gars, LIO.

En premier lieu, tordons le cou une nouvelle fois à deux idées reçues : une attaque informatique est peu coûteuse – ça dépend, les hackers sont des complexes d’œdipe en cagoules noires et lunettes grossissantes – c’est vrai pour les lunettes, c’est faux pour la cagoule. Partons donc du principe qu’une opération d’origine étatique répond à un objectif et engage des moyens, dont le commanditaire d’origine politique, attendra un retour sur investissement. Une mission, des hommes, des moyens, un tempo.

Ce principe oblige l’attaquant à structurer son attaque et à élaborer une ligne d’action qui lui permettra d’obtenir l’effet recherché en engageant un minimum de moyens parmi ceux à sa disposition. La lutte informatique repose sur un vivier de moyens humains à la fois rares et très spécialisés. Je vous mets au défi de trouver dans votre entourage un spécialiste rétro-ingénierie qui programme en Delphi. Autrement dit, on tachera donc à ne pas gaspiller ses précieuses forces et à concentrer ses efforts sur l’effet majeur d’une attaque informatique : l’élévation de privilège à fin de prise de contrôle à distance.

Revenons donc à notre harponnage, voulez-vous. En la matière, on gagera que la technique de harponnage jouit d’un rapport coût/effet pour le moins redoutable. Plusieurs observateurs évoquent même un taux d’infection de plus de 70% pour certains groupes étatiques. Ce dernier point, associé à une remarquable flexibilité d’emploi, explique en grande partie la popularité des techniques de hameçonnage et de harponnage.

Ainsi, en fonction de ses besoins ou de ses moyens, l’attaquant aura tout loisir de privilégier une attaque en profondeur en envoyant un message ciblé, en général d’apparence légitime, à un acteur clé de l’architecture réseau visé, imaginons le DSI, ou simplement de s’orienter vers une campagne de hameçonnage sensiblement moins sophistiquée, mais qui pourra toutefois ouvrir de multiples portes, générer un bruit conséquent et perturber les mécanismes de défense de la cible. D’aucuns me feront remarquer qu’il est possible de combiner les deux. Effectivement. On aurait d’ailleurs tort de s’en priver.

Cette efficacité, que les plus modestes qualifieront de bon aloi, tient à trois principaux facteurs :

  • La domination des réseaux sociaux ou, mieux dit, l’empreinte grossissantes de nos empreintes numériques. En la matière, parait-il que Linked’In serait du bain béni pour l’apprenti attaquant. Plus généralement, l’internet est un vivier d’informations de source ouverte très facile d’accès, dont on aurait tort de sous-estimer l’apport. Duchemin évoque sa participation à un salon de Défense. Bien, construisons lui un mail d’apparence légitime au sujet de son inscription. Comment ça, déjà vu ?
  • Le mauvais (ou l’absence de) paramétrage(s) de certains serveurs de courriels, qui sont parfois, il faut le concéder, de vraies passoires.
  • La crédulité de l’utilisateur. Vous, moi. A peu près tout le monde après 18H et avant le café de 9h.
Exemple de fichier infecté (.ppt) utilisé dans le cadre de la campagne Patchwork. Pas mal pour des petits nouveaux non ?

Exemple de fichier infecté (.ppt) utilisé dans le cadre de la campagne Patchwork. Pas mal pour des petits nouveaux, non ? (Cymmetria)

Dans le milieu, il est communément admis, à raison, que le principal maillon faible de la défense est le vecteur humain, pour tout un tas de raisons qui seront, pourquoi pas, un jour l’objet d’un article. Or, ce vecteur est souvent sous-estimé, quand il n’est tout simplement pas négligé. Quand elle est menée – dans le meilleur des cas – la sensibilisation du personnel repose sur des mécanismes de culpabilisation, qui ne poussent pas le personnel, particulièrement les VIP, à réagir efficacement (et rapidement) en cas de doute.

Malheureusement, de nombreux précédents l’indiquent. Bien souvent, c’est bien la vigilance et la réactivité de l’utilisateur qui permet de lever le doute rapidement. A titre, d’exemple, certains attaquants, parmi les plus érudits, préfèrent agir en début/fin de journée. L’idée est d’attaquer quand le dispositif de sécurité est le plus fragile. Par exemple, quand le personnel dédié à la SSI est absent ou occupé ailleurs, afin de gagner de précieuses heures sur la défense. Or ces précieuses heures peuvent être suffisantes pour permettre à l’adversaire de se déplacer dans le réseau et commencer un éventuel sabotage ou une exfiltration de données. Les cinéphiles se rappelleront sans doute du passage de data-center dans la série M.Robot.

Le lecteur intrigué pourra sans doute trouver sur l’internet quelques astuces ici et là pour élever son niveau de vigilance. Pour ma part, je me contenterai de rappeler qu’il n’est jamais malvenu de faire part de ses doutes à son RSSI de quartier. D’autre part, un coup d’œil rapide sur le lien, l’origine de l’expéditeur ou l’extension en pièce jointe, associé à une petite mise en perspective du message par rapport à la politique organisationnelle de son organisme, permet d’éviter de transformer une regrettable boulette en catastrophe nationale.

En cas de doute, on ne le répétera jamais assez, il n’est jamais trop tard pour aller à confesse et ainsi donner de précieux renseignements à la défense, qui, à ne pas douter, est déjà entrain de seller ses chevaux pour partir en guerre contre l’ennemi. Vae victis, les gars, Vae victis.