Prévention du piratage informatique - Dans la tête d'un pirate

L'être humain est par nature sociable, curieux et communique avec ses semblables. Soit il le fait sans arrière-pensée soit pour échanger ou obtenir de l'information. Point faible de cette intelligence, certaines personnes sont moins bien intentionnées que d'autres et visent un objectif malveillant en cherchant à communiquer avec les autres; vous l'avez compris en matière d'informatique, il s'agit des fameux cyberpirates.

Parmi les nombreux supports de communication accessibles aux pirates informatiques, Internet ne faisant l'objet de pratiquement aucun contrôle, il constitue un support de prédilection pour atteindre les ordinateurs et leurs données. Mais nous verrons qu'il représente aussi un sérieux défi pour les responsables de la sécurité informatique des entreprises et pour les particuliers.

De manière générale, tout utilisateur d'un ordinateur relié à Internet (ou à un réseau d'entreprise mal protégé) doit envisager qu'un jour un cyberpirate directement ou par le biais d'un programme) puisse accéder à son insu à ses données et qu'au pire il l'empêche d'y accéder ou les détruise.

Prenons un simple exemple : l'appel au support technique. Imaginons qu'un internaute appelle le service technique de son fournisseur d'accès suite à un problème avec sa nouvelle ligne en fibre optique pour la TV et Internet. Après avoir décrit le problème et sur base de son numéro de téléphone ou de la MAC addresse de son routeur, sans l'aviser car il peut êtrre absent, l'agent de la société va sans doute vérifier la ligne du client. A distance, il est en mesure de modifier certains paramètres de l'installation, y compris de se connecter sur son routeur qui pourtant est protégé par un mot de passe. Si cet agent est malveillant et le client naïf, en lui posant quelques questions il pourrait trouver le moyen d'accéder à son ordinateur.

Quant aux menaces venant d'Internet, on n'imagine pas à quel point elles sont nombreuses aujourd'hui car elles sont virtuelles, transitant surnoisement par les ordinateurs. Seules les attaques les plus sévères sont communiquées aux médias.

Or des tests ont montré qu'il suffit de relier un ordinateur à Internet pour qu'il fasse l'objet d'une attaque par un virus en l'espace de quelques minutes. D'autres tests montrent qu'en 24 heures un ordinateur connecté fait l'objet de plus de 7600 tentatives d'accès rien que sur les cinq principaux ports TCP/UDP (ports 113, 135, 137, 139, 445), soit plus de 5 tentatives chaque minute !

Netstat - Network statistics

Un ordinateur communique avec le monde extérieur et d'autant plus souvent que de nombreux services et programmes sont actifs : programmes en mémoire, accès à Internet, etc.

Faites l'expérience. Lancez une session DOS via le menu Démarrer/Start : CMD

Tapez la commande : netstat -ano

Cette commande est compatible sous Mac OS X et Linux. Elle affiche les informations sur les connexions TCP actives et les ports TCP et UDP ouverts, leur état, leur adresse et leur identifiant. La liste défile sur plusieurs écrans dont voici un extrait :

Ces activités n'ont rien d'anormal et prouvent simplement que les fonctions et les programmes de votre ordinateur dialoguent correctement entre elles.

En revanche, elles pourraient occasionnellement révéler une activité suspecte que mettra en évidence un anti-virus, un firewall ou un IDS.

Tapez exit pour sortir ou fermez la fenêtre.

Bien sûr une fraction notable d'entre elles font partie de l'activité normale de l'ordinateur (broadcast NetBios sur le port 137 par exemple, connexion à un site Internet, appel au time server pour des synchronisations, attente d'une réponse du router, etc) mais beaucoup d'autres états "established" sont de réelles tentatives d'intrusion, des attaques et autres activités virales qui exigent au minimum que l'ordinateur soit scanné par un anti-virus et surveillé par un firewall (pare-feu).

Face à ces risques, leur fréquence et leur éventuelle gravité, le principal objectif de la sécurité informatique est de maintenir l'intégrité et la disponibilté des données pour les seules personnes ayant besoin de les connaître. Sans une politique de sécurité efficace, une organisation risque de mettre ses affaires en péril. Sans dispositifs de sécurité, votre ordinateur personnel risque également de rapidement devenir la proie des pirates et ingérable !

Sachant cela, comment protéger les biens informatiques (données, services, matériels, etc.) et quels sont les moyens techniques mis à notre disposition ? En principe, dans une entreprise lourdement informatisée, les risques de piratage et leurs impacts potentiels sur les affaires ont été évalués, identifiés et chaque type de menace potentielle a fait l'objet d'un scénario et d'une contre-mesure : face aux accès physiques non autorisés par exemple, l'entreprise se protège en utilisant des badges magnétiques personnels et des portes d'accès individuelles verrouillées; face aux virus informatiques l'entreprise se protège en utilisant un logiciel anti-virus mis à jour quotidiennement ou plus fréquemment encore; face aux vulnérabilités des systèmes d'exploitation et des logiciels, les entreprises installent des mises à jour; face aux tentatives d'intrusion par Internet, l'entreprise installe des dispositifs filtrant et analysant le trafic entrant et sortant (firewall, IDS, serveur d'authentification,...), etc.

A défaut de mettre en place ces moyens de sécurité, toute personne malveillante pourra exploiter les failles et les vulnérabilités du système et au pire la victime verra son ordinateur ou son réseau informatique vérolé, ses fichiers encryptés ou détruits, avec toutes les pertes commerciales éventuelles. Ce ne sont pas des attaques à prendre à la légère mais au contraire qu'il faut anticiper et contre lesquelles chacun doit se prémunir immédiatement en installant les contre-mesures y compris des contrôles adéquats.

Foi d'auditeur informatique, tout système informatique aussi bien pensé soit-il, présente des points faibles, des vulnérabilités ou des failles, c'est-à-dire des "portes dérobées" (backdoor) auxquelles le programmeur ou le fabricant n'a pas pensé, pour citer par exemple :

- un bug de sécurité dans le système d'exploitation qui permet de contourner les contrôles d'accès

- un logiciel mal programmé dont la valeur d'un champ n'est pas contrôlée créant de lui-même ou par du code lancé de l'extérieur un "overflow" (le programme écrit hors de l'espace alloué à la mémoire tampon, écrasant de ce fait ses propres informations), rendant le système imprévisible et offrant parfois une voie d'accès aux pirates

- une voie d'accès cachée (trap door) permettant aux développeurs de débuguer une application

- un script client-serveur (CGI) auquel le programmeur a donné tous les droits d'accès sur le serveur web

- une vulnérabilité d'un système de Single Sign-On (SSO) permettant à un utilisateur distant non authentifié de se connecter comme administrateur

- un bug permettant à un utilisateur distant authentifié de se connecter sur un serveur de clé de cryptage et d'y lancer du code provoquant un overflow.

etc., autant de failles ou de vulnérabilités que connaissent très bien les cyberpirates.

A ces failles, il faut bien sûr ajouter la divulgation d'informations sensibles par les utilisateurs eux-mêmes, soit par inadvertance soit intentionnellement par appât du gain ou d'autres motifs. Nous y reviendrons.

Si généralement les cyberpirates exploitent des vulnérabilités (failles) software connues, nous verrons ci-dessous que certains utilisent des méthodes inattendues, pas toujours lourdes ni complexes face auxquelles les responsables de la sécurité informatique sont pourtant démunis.

Un pirate informatique peut-il rester anonyme ? On entend ou on lit parfois qu'il serait possible de rester anonyme sur Internet. D'autres vous diront le contraire, et qu'il est impossible d'agir sans laisser de traces, apportant pour preuve les traces laissées dans les logs système et le fait que les pirates qui ont essayé de s'introduire dans les systèmes se sont faits attraper... Info ou intox ?

Pour le savoir, nous devons nous adresser aux principaux intéressés, les pirates eux-mêmes. Qu'en pense notamment les membres du Chaos Computer Club allemand et autres adeptes des conventions underground ?

L'expérience démontre qu'il est toujours possible de passer à travers les mailles du filet tendu par les experts de la sécurité informatique, et en particulier pour un pirated'agir à l'insu de son hôte.

Encore aujourd'hui, en parallèle des réseaux allemands de téléphonie mobile, il existe un réseau gratuit underground appelé "One" qu'utilise les pirates. Son existence même prouve qu'il est possible de profiter des vulnérabilités des systèmes durant des mois sinon des années sans être inquiété.

Comme le mois dernier, le mois d'avant et depuis des années, on peut s'attendre ce mois-ci à ce que les sites Internet vulnérables soient piratés par des personnes bien ou mal intentionnées. Chaque mois sinon chaque semaine, les sites d'actualité tel Zataz ou les forums consacrés au sujet nous relatent des intrusions.

Le piratage informatique est une passion pour de nombreux jeunes, dont plus d'un deviendront des experts en leur domaine, des programmeurs, des administrateurs système, des employés de la sécurité informatique ou des auditeurs IT. Malheureusement, alors que le pirate voit souvent son action comme un jeu d'adresse, son acte est parfois criminel dans la mesure où il peut coûter très cher à la victime en temps perdu, en manque à gagner, en destruction de documents et du fait de l'atteinte morale à l'image et la réputation de la personne ou de la société. On y reviendra.

Afin d'agir de manière préventive et conscientiser tous les directeurs et managers d'entreprises, les administrateurs réseau, les webmasters, les auteurs de site Internet et les titulaires d'un compte sur Internet des risques qu'ils prennent en diffusant publiquement des informations ou en ne protégeant pas leurs biens informatiques, nous allons décrire la facilité déconcertante avec laquelle peut agir un pirate informatique. Nous ne décrirons aucune méthode d'intrusion en détail mais uniquement les points clés des méthodes les plus répandues.

Nous prendrons l'exemple d'une simple intrusion par Internet, puis nous généraliserons ce cas particulier en dressant la liste des menaces et risques potentiels auxquels nous pouvons tous un jour être confrontés.

"Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux". Si cette règle s'appliquait à l'art de la guerre du temps du général Sun Tzu, plus de deux millénaires plus tard, nous pouvons encore l'appliquer à l'art de la guerre dans le cyberespace.

Pour comprendre comment opère un pirate et contrer ses attaques, il faut penser comme lui et se mettre dans sa tête.

Pirater proprement un système par Internet ou s'attaquer à un réseau informatique en restant anonyme, sans laisser de traces comme l'a appris récemment à ses dépens le jeune pirate belge SpyNet, devient une tâche difficile aujourd'hui.

En effet, les autorités n'hésitent pas à imposer aux fournisseurs d'accès de stocker des informations personnelles sur leurs clients (adresse MAC, adresse IP, adresse e-mail, mots-clés, etc), de bloquer certains ports de leur ordinateur ou carrément de les moucharder afin de les surveiller.

Quand les fournisseurs d'accès ou de services ainsi que l'Etat en arrivent à ce niveau de contrôle, il faut se demander si la société n'est pas en train de perdre ses libertés fondamentales, et le scandale PRISM de la NSA renforce cette idée. Restons vigilants.

Face à des mesures de contrôle parfois illégales, le pirate n'a pas d'autre choix que de connaître les méthodes de son adversaire et d'être plus malin que lui. Ce sont les deux premières règles qu'il doit appliquer dans sa guerre dans le cyberespace s'il veut avoir une chance d'en sortir victorieux.

Pour agir anonymement sur Internet, un pirate doit agir comme un espion. Il doit commencer par travailler à distance afin de ne pas être repéré. Il doit rendre son ordinateur anonyme, c'est-à-dire ne laisser aucune trace de son point d'entrée sur le net, ni software, ni hardware. Ensuite évidemment, il doit travailler avec un pseudonyme, personnel ou usurpé, et enfin, il ne doit laisser aucune trace locale de son travail derrière lui.

Pour mener à bien son projet, le pirate doit maîtriser les subtilités des configurations des serveurs et des commandes des systèmes d'exploitations qu'il veut attaquer, au risque de rester au portail. Il doit notamment parfaitement connaître les commandes système Microsoft et Unix et accessoirement de Linux, Novell et AppleTalk.

Cela passe aussi par une connaisse parfaite du modèle OSI (Open Systems Interconnection) et, dans le cas d'Internet, de la pile TCP/IP (celle qui va de la couche 3-réseau jusqu'à la couche 7-application) et de la manière dont les différentes couches communiquent entre elles.

Voici une représentation du modèle OSI et ses applications concrètes tel qu'il fut normalisé en 1977 et sa version TCP/IP de 1994 :

Couche	Modèle OSI	Service/Support	Modèle TCP/IP	Contenu, fonction ou appareil
7	Application	FTP, Telnet, SMTP, POP, HTTP, VoIP, Netware, Apple,...	Applications Services Internet	Logiciel, format des données
6	Présentation	UUCP, Unicode, NCP, XDR...		Mise en forme, cryptage et compression, ANSI
5	Session	SSL, RTP, RPC, ASP, PAP...		Gestion des communications
4	Transport	TCP, UDP, RTP, SPX, ATP...	Transport TCP	Gestion des erreurs
3	Réseau	IP, ARP, ICMP, X.25, IPSec,...	IP	Datagrammes, gestion du routage, Router, ...
2	Liaison de données	Trame Ethernet, ODI, NDIS, LocalTalk, Token Ring, ...	Accès au réseau	MAC address, Wi-Fi, Bridge, Switch, Token,...
1	Physique	Bit, topologie et câblage	Accès au réseau	Modem, carte réseau, 10BaseT, Hub, Repeater,...

A la différence du modèle OSI, dans le modèle TCP/IP, les couches 1 et 2 sont reprises dans la couche "Accès au réseau", tandis que les couches 5, 6 et 7 font partie d'une même couche appelée "Applications Services Internet". Le modèle TCP/IP est notamment utilisé par les navigateurs Internet (Explorer, Chrome, Safari, etc) qui rassemblent la couche Session (cookies et IP tracking), la Présentation (RSA) et l'Application dans le même service applicatif (logiciel).

En raison des développements tout azimut autour du modèle OSI de base, les nouveaux systèmes présentent des vulnérabilités inhérentes à leur développement ou leur utilisation. Etant donné que les standards comme IP sont par nature très répandus, ils sont devenus de facto la cible privilégiée des cyberpirates.

Nous serons donc également amenés à faire référence aux modèles OSI et TCP/IP lorsque nous aborderons les menaces qui planent sur nos ordinateurs en fonction du type d'attaque et les moyens de protections.

- Travailler à partir d'un lieu public où le pirate peut utiliser du matériel en libre service et discrètement (hotspot Wi-Fi, cybercafé, université, etc). Il n'a toutefois jamais un contrôle total sur l'ordinateur.

- Utiliser un ordinateur portable équipé d'une carte Wi-Fi (portée ~100 m) ou d'un périphérique Bluetooth (portée ~15 m).

L'idéal est d'opérer avec des connexions digitales et des systèmes relais analogiques (liaisons RF ondes-courtes et micro-ondes) afin de brouiller les pistes.

C'est pour éviter ce piratage des lignes que la plupart des employeurs interdisent à leur personnel d'utiliser leur système Wi-Fi ou Bluetooth personnel dans l'entreprise, quitte à leur fournir gratuitement des smartphones mais dont les accès et autres synchronisations sont contrôlés.

Que le pirate opère depuis l'étranger voire même depuis un site offshore n'est pas une garantie d'immunité puisqu'Interpol pourra si nécessaire le poursuivre autour du monde. Mais généralement les pirates sont optimistes quant à l'issue de leur projet, restant dans leur pays ou les bureaux même de leur employeur et comptant sur leur savoir-faire pour glisser entre les mailles de la sécurité.

Côté logiciel, il y a pléthore de solutions que les pirates et les auditeurs IT notamment ne manqueront pas d'explorer. Citons-en quelques-unes :

- BackTrack est un outil d'audit de sécurité. Disponible à l'origine pour les ordinateurs de bureau, il existe aujourd'hui une version pour les tablettes. On peut l'installer sur le disque dur soit l'utiliser depuis une clé USB soit en "Live CD" ou "Live DVD", c'est-à-dire uniquement chargé en mémoire. Basé sur Slax, sous licence GNU/Linux, il regroupe les distributions Whax et Auditor. Cet outil vous permet de tester le système cible, identifier ses vulnérabilités, de le protéger, mais évidemment on peut l'utiliser dans l'autre sens, pour pénétrer un système via les "exploitation tools".

Présentation d'un test de pénétration avec BackTrack par Kernel Meltdown, 2012

- Knoppix est un système d'exploitation sous licence GNU/Linux. En version Live CD, il se charge totalement en mémoire, ne laissant aucune trace de l'attaque sur le disque local.

- Virtual PC ou Qemu est un émulateur de PC (processeur x86) qui permet de faire tourner un autre système d'exploitation sur un ordinateur. Une fois installé, le pirate opère à partir de ce système. Il le supprime lorsque son attaque est terminée.

Viennent ensuite tous les utilitaires permettant d'identifier les vulnérabilités et de scanner les ports d'un système : Metasploit framework, scanport, asmodeous, jakal, nmap, strobe, etc, sans oublier les logiciels permettant de casser les mots de passe comme John the Ripper et LophtCrack qui sont soit gratuits soit vendus très bon marché.

Il existe également des logiciels permettant de retrouver les mots de passe des applications en ligne dans le répertoire cache des fichiers temporaires utilisés par le navigateur Internet. Dans une entreprise ou en cas de suspicion, il n'est donc pas inutile de supprimer tout l'historique, y compris les cookies et autre mots de passe sauvegardés localement par votre navigateur Internet.

Ainsi que nous l'avons dit, un pirate digne de nom connaît également les commandes réseau et leurs options jusqu'au bout des doigts. Ipconfig, arp et autre ping sont des commandes ordinaires que tout administrateur réseau connaît mais qui deviennent des armes dans les mains d'un cyberpirate.

A travers les protocoles, les ordinateurs sont très bavards car ils s'échangent continuellement des messages pour établir et maintenir leurs connexions, pour se synchroniser, etc. Il faut donc que l'ordinateur utilisé en dise le moins possible tout en permettant au cyberpirate de mener son attaque ou lui permettre de leurrer la cible sur son identité.

Le pirate peut également exploiter le manque de prévoyance de la victime qui utiliserait la configuration système et les paramètres par défaut, sans aucune mesure de protection. Ou au contraire, il peut utiliser des ports ou des services qui ne sont pas standards pour éviter d'être de suite repéré par le système de surveillance du système adverse.

Le pirate va donc commencer par modifier l'adresse MAC de son ordinateur, c'est-à-dire l'adresse physique reconnue par les applications et les machines pour échanger les messages. C'est très simple, il suffit de modifier les propriétés de la carte réseau dans l'interface système : sur PC, il faut choisir la carte réseau, puis activer l'option "Adresse Administrée localement" et encoder dans le champ Valeur, un texte constitué de 12 caractères hexadécimaux. Pour empêcher cette modification, il est donc impératif d'interdire l'accès à cette option du Panneau de Configuration ou au fichier correspondant (devmgmt.msc sous Windows) en limitant les droits de l'utilisateur ou via les policies (stratégies).

Ensuite, un pirate sérieux ne va jamais utiliser une adresse IP fixe. Il laissera le système la choisir dynamiquement, et si possible utilisera une adresse IP différente à chaque session, quitte à effacer la table à chaque fois.

Il faut également veiller à sauvegarder le moins possible d'informations sensibles sur son propre ordinateur. En utilisant un émulateur par exemple, lorsque l'attaque est terminée, il est impératif d'effacer toute trace du logiciel d'émulation en utilisant un "degausseur" comme l'armée américaine l'exige (directive DoD 5220.22-M), mais c'est très cher, ou en réécrivant à de multiples reprises de nouvelles données sur le disque afin d'empêcher toute possibilité de récupérer les données effacées. Toutefois, ces méthodes ne sont jamais garanties à 100%. Pour preuve, voyez cette liste de logiciels de récupération de données effacées. En fait, la solution idéale pour effacer toute preuve consiste à détruire physiquement le disque dur.

Les connexions à distance par ligne téléphonique vers un serveur RAS sont connues pour leur vulnérabilité, encore faut-il que le pirate connaisse le mot de passe de l'un des utilisateurs.

L'alternative est de se rapprocher de la victime et de passer par une liaison Wi-Fi qui n'aurait pas été sécurisée. Et dans ce cas, la jurisprudence a déjà condamné la victime plutôt que le pirate pour ne pas avoir sécurisé son accès ! On y reviendra donc un peu plus loin à propos du cryptage des liaisons Wi-Fi. Autant savoir.

Le reste est l'affaire des pirates. Qui vont-ils ennuyer et dans quel but, ce qu'ils souhaitent visualiser, intercepter, écouter, bloquer, modifier ou détruire ne dépend que de leurs motivations et de leurs moyens. C'est un autre débat. Quant à leur identification et leur capture, c'est le rôle de la cyberpolice de faire respecter le droit à la vie privée.

En ce qui nous concerne, nous savons que les cyberpirates existent et cette intrusion rapide dans la tête d'un pirate nous a fait comprendre combien il peut être facile pour une personne malveillante de s'attaquer à un ordinateur mal protégé connecté à Internet ou relié à un réseau d'entreprise.

A présent, du point de vue de la gestion de la sécurité informatique, la question est de savoir où sont les risques, quelle est leur probabilité, leurs impacts potentiels, comment s'en prémunir et avec quel niveau de sécurité devons-nous protéger nos biens informatiques des cyberpirates ?

Si nous avons déjà identifié les biens à protéger (c'est notre ordinateur personnel et les mémoires de masse périphériques ou le réseau d'une entreprise constitué de serveurs, ordinateurs de bureau, portables, périphériques et autres systèmes de backup), il reste à identifier les différents risques et menaces et déterminer comment peut-on les supprimer, les réduire ou s'en protéger. Ce sera l'objet des prochains chapitres.