Menaces actuelles liées à Internet: auteurs, outils ... · Les attaques à grande échelle dues à des auteurs isolés constituent le socle de la pyramide. De telles menaces sont

Unité de pilotage informatique de la Confédération UPIC Service de renseignement de la Confédération SRC

Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI www.melani.admin.ch

Menaces actuelles liées à Internet: auteurs, outils utilisés, poursuites pénales et gestion de crise

Reto Inversini, Haute école spécialisée bernoise, en coopération avec Roman Hüssy.

19. janvier 2012

http://www.melani.admin.ch/

2/13

MELANI-rapport technique: Menaces, auteurs, outils utilisé

Contenu

Préface ................................................................................................................................. 3

Menaces ............................................................................................................................... 3

Classification des agresseurs ................................................................................................ 4

Services secrets – advanced persistent threats ................................................................. 4

Cyberactivistes .................................................................................................................. 5

Organisations cybercriminelles – attaques ciblées ............................................................ 6

Organisations cybercriminelles – attaques non ciblées ...................................................... 7

Individus isolés .................................................................................................................. 8

Outils utilisés ......................................................................................................................... 9

Kits servant à la création de maliciels (crimeware kits) ...................................................... 9

Réseaux de zombies ......................................................................................................... 9

Infrastructures des serveurs Command & Control (C&C) .................................................. 9

Outils DDoS..................................................................................................................... 10

Protection offerte par les organisations CSIRT/CERT ......................................................... 10

Lutte des autorités de poursuite pénale contre les réseaux de zombies .............................. 13

3/13


Préface

Le présent document s’adresse aux personnes chargées de la protection des infrastructures informatiques et des informations électroniques. Une première partie montre brièvement quelles menaces existent à l’heure actuelle, comment elles peuvent être classifiées et de qui elles émanent. Une deuxième partie explique les modalités de la création d’un CSIRT/CERT (Computer Security Incident Response Team / Computer Emergency Response Team). La dernière partie présente les moyens dont disposent les autorités de poursuite pénale pour combattre les réseaux de zombies.

Menaces

Internet fait peser toutes sortes de menaces sur les gouvernements, les entreprises et les particuliers. Un schéma pyramidal aide à les visualiser par grandes catégories.

Fig. 1: Pyramide des menaces, adaptée d’après sans.org

La menace la plus redoutée, désignée par l’acronyme anglais APT (Advanced Persistent Threat), forme le sommet de la pyramide. Elle occasionne souvent des dommages très élevés à une organisation spécifique ou à un pays. L’agresseur est disposé à investir énormément de temps, d’argent et de savoir-faire dans son attaque et dispose généralement de ressources considérables. Soucieux de ne pas se faire repérer le plus longtemps possible, il s’installe dans le réseau de sa victime pour y dérober les informations qui l’intéressent. Il n’y a pas énormément d’agresseurs potentiels, compte tenu des ressources requises. On connaît toutefois des exemples variés d’attaques fructueuses relevant de la catégorie ATP (p. ex. Aurora / attaque contre Google).

Au milieu de la pyramide figure la catégorie des cybercriminels ainsi que des cyberactivistes. Bien qu’ils disposent de ressources sensiblement moins élevées, il ne faut pas sous-estimer ce type de menace. En règle générale, ces agresseurs sont un peu moins endurants que dans le cas des APT. Encore que la frontière entre cybercriminalité et APT soit perméable. En particulier, on peut partir de l’idée que les services secrets ont pleinement accès aux infrastructures criminelles ou pourraient y accéder aisément, le cas échéant. En outre, ils

4/13


sont susceptibles de passer des ordres à de telles organisations, pour pouvoir nier avec succès toute implication en cas de découverte.

Les attaques à grande échelle dues à des auteurs isolés constituent le socle de la pyramide. De telles menaces sont à prendre au sérieux, malgré les ressources limitées qui leur sont consacrées, du simple fait qu’elles sont extrêmement nombreuses. Là encore, la frontière avec l’étage supérieur de la pyramide est perméable. Car ce sont souvent des organisations cybercriminelles qui organisent ou du moins commanditent les cyberattaques à grande échelle.

Classification des agresseurs

Les tableaux qui suivent classent les attaquants en fonction de leurs possibilités et de leurs mobiles. La victime pourra ainsi se faire une meilleure idée des objectifs de l’agresseur, de ses ressources et de sa persévérance. Il importe de souligner le caractère sommaire de cette classification.

Services secrets – advanced persistent threats

Nom Services secrets / organisations étatiques / Advanced Persistent Threat

Description Une organisation gouvernementale peut très bien jouer elle-même le rôle d’agresseur ou commanditer l’attaque. En règle générale, l’objectif est d’accéder à des informations (espionnage classique ou industriel). En cas de crise ou de fortes tensions, il se peut aussi que des infrastructures critiques soient attaquées ou de fausses informations volontairement ébruitées.

Mobiles Accès à des informations, perturbation d’infrastructures critiques, diffusion d’informations erronées

Ressources techniques On peut penser qu’une organisation gouvernementale ne négligera rien de ce qui est techniquement faisable. Les ressources sont considérables et des spécialistes sont disponibles ou peuvent être recrutés pour mener à bien toutes sortes de missions.

Ressources financières Illimitées, du moins tant que le résultat de l’attaque se justifie aux yeux de l’agresseur.

Rationalité Elevée

Endurance Elevée

Approche indiquée pour la défense Classification des données, systèmes bien

5/13


protégés. Cloisonnement vis-à-vis d’Internet des zones du réseau contenant des données ultrasensibles. Autorisations d’accès données sur la base du droit d’accès minimal.

Approche indiquée pour des poursuites pénales

Analyse des maliciels employés, étroite collaboration avec d’autres organisations policières, méthodes propres aux services de renseignement. Surveillance du trafic réseau entrant et sortant.

Résistance aux poursuites pénales Très élevée

Cibles probables • Systèmes renfermant des informations dignes d’être protégées

• Informations critiques

• Systèmes de personnes-clés ou de décideurs

• Installation de portes dérobées, difficiles à découvrir, dans des systèmes discrets

• Attaques ciblées visant à déjouer la confidentialité et l’intégrité des systèmes

• Attaques DDoS, en cas de fortes tensions politiques ou de crise. De telles attaques, tolérées ou commanditées par un Etat, émanent le plus souvent d’organisations paraétatiques ou non étatiques

• Infrastructures critiques

Cyberactivistes

Nom Cyberactivistes

Description Les cyberactivistes protestent à l’aide de moyens électroniques contre les décisions de gouvernements ou d’entreprises qui ne correspondent pas à leurs idéaux. On peut citer ici comme exemples les groupes de pirates Anonymous et LULZ. Il n’est question ici que des moyens illégaux, à distinguer des protestations en ligne – importantes et légitimes – reposant sur des moyens légaux.

Mobiles Les mobiles premiers sont de faire une déclaration, de capter l’attention et/ou de causer des dégâts à la cible.

6/13


Ressources techniques Les ressources et aptitudes techniques varient très fortement. Elles peuvent prendre des proportions considérables, lors de grandes actions spectaculaires (p. ex. attaques liées à la publication sur Wikileaks des dépêches des ambassades américaines).

Ressources financières Limitées. Mais comme généralement ces activités reposent sur une base volontaire, c’est sans importance pour l’agresseur.

Rationalité Faible à moyenne. Tout dépend de la forme d’organisation du groupe.

Endurance Moyenne

Approche indiquée pour la défense Systèmes dûment protégés. Protection de l’intégrité des systèmes à visibilité élevée. Préparation à affronter les attaques DDoS, mise en place d’outils et d’infrastructures ad hoc (p. ex. zone de quarantaine).


Collaboration avec les organisations policières ainsi qu’avec les services de renseignement. Identification des complices. Souvent, il suffit de montrer que les délits seront poursuivis pour que les attaques diminuent d’intensité.

Résistance aux poursuites pénales Moyenne

Cibles probables • Systèmes à visibilité élevée/retenant l’attention

• Accessibilité le plus souvent, parfois aussi intégrité des sites Web (défiguration)

Organisations cybercriminelles – attaques ciblées

Nom Organisations cybercriminelles – attaques ciblées

Description Des organisations cybercriminelles peuvent lancer des attaques ciblées comparables à une APT. Elles s’en prennent à des organisations étatiques ou privées, afin d’accéder à des informations et de les revendre, ou de s’en servir à leur avantage. Les systèmes de transactions financières sont très souvent pris pour cible. Les attaques menées au

7/13


début de 2011 contre les registres nationaux du CO2

constituent ici un bon exemple.1

Mobiles Le but premier est de se procurer et de revendre des données (espionnage industriel), ou d’utiliser à ses propres fins des systèmes de transactions financières.

Ressources techniques Moyennes à élevées, selon l’organisation

Ressources financières Moyennes à élevées, selon l’organisation


Endurance Moyenne

Approche indiquée pour la défense Systèmes bien protégés. Cloisonnement vis-à-vis d’Internet des zones du réseau contenant des données ultrasensibles. Autorisations d’accès données sur la base du droit d’accès minimal. Surveillance du trafic réseau entrant et sortant.


Analyse des maliciels utilisés, étroite collaboration avec d’autres organisations policières et les services de renseignement compétents. Observation des organisations cybercriminelles en activité.

Résistance aux poursuites pénales Moyenne à élevée. Des poursuites pénales dérangent toutefois les activités des agresseurs, qui cherchent à rester inaperçus des autorités.

Cibles probables • Systèmes renfermant des informations confidentielles susceptibles d’être revendues à un prix élevé.

• Systèmes renfermant des informations financières

Organisations cybercriminelles – attaques non ciblées

Nom Organisations cybercriminelles – attaques non ciblées

Description Il s’agit de la forme classique de cybercriminalité. Les pirates cherchent à tirer un profit financier de leurs attaques contre les systèmes d’utilisateurs finaux. Ils tentent de se procurer des données d’accès, de faire du chantage avec des attaques

1 Voir rapport semestriel MELANI - chapitre 3.1: http://www.melani.admin.ch/dokumentation/00123/00124/01128/index.html?lang=fr

8/13


DDoS ou d’envoyer des pourriels via les systèmes infectés. Ils opèrent souvent à l’aide de kits servant à la mise en place de réseaux de zombies.

Mobiles Appât du gain

Ressources techniques Moyennes, achat souvent de kits servant à la création de maliciels

Ressources financières Moyennes à élevées


Endurance Faible face à une cible spécifique

Approche indiquée pour la défense Surveillance du trafic réseau entrant et sortant des entreprises et des organisations gouvernementales. Surveillance des réseaux des fournisseurs d’accès Internet, information des utilisateurs finaux en cas d’identification d’un système infecté. Publication d’informations destinées aux utilisateurs finaux.


Analyse du trafic d’attaque (sinkholing) des domaines dont se servent les organisations cybercriminelles. Etude des réseaux de zombies ainsi que des maliciels utilisés. Analyse et blocage des flux financiers correspondants. Surveillance des agents financiers (money mules).

Résistance aux poursuites pénales Moyenne à élevée. Des poursuites pénales dérangent toutefois les affaires des cybercriminels, qui les évitent autant que possible.

Cibles probables • Systèmes mal protégés d’utilisateurs finaux

• Applications de eBanking

Individus isolés

Nom Individus isolés

Description Un individu isolé agit de son propre chef, avec des moyens limités.

Mobiles Variables selon l’agresseur

9/13


Ressources techniques Faibles

Ressources financières Faibles

Rationalité Variable selon l’agresseur

Endurance Faible à élevée, selon l’agresseurs

Approche indiquée pour la défense Systèmes bien protégés


Normale, poursuites pénales

Résistance aux poursuites pénales Faible

Cibles probables • Systèmes faiblement protégés, dans le cas des pirates adolescents (script kiddies)

• Cibles bien visibles et procurant un maximum d’attention, en cas d’acte de vengeance

Outils utilisés

Outre un grand nombre d’outils susceptibles de poursuivre également des buts légaux (balayeurs de ports, systèmes de détection d’intrusion, etc.), on trouve quatre instruments spécifiques à la cybercriminalité, qui sont brièvement décrits ci-dessous. Tous ont en commun d’être employés à tous les niveaux de la pyramide (voir chapitre Menaces).

Kits servant à la création de maliciels (crimeware kits) Les attaques électroniques reposent sur une panoplie d’outils et de techniques. Les crimeware kits servent à créer des maliciels et l’infrastructure nécessaire à leur fonctionnement, p. ex. à mettre en place des serveurs Command & Control.

Réseaux de zombies Les réseaux de zombies sont formés de nombreux ordinateurs infectés, gérés à partir d’un serveur Command & Control. Il s’agit d’un puissant vecteur d’attaques, pour les APT comme pour les organisations criminelles. Le cas échéant, des acteurs étatiques peuvent très bien aussi recourir aux services d’organisations criminelles et à leurs réseaux de zombies pour mener des attaques. Un réseau de zombies peut compter jusqu’à plusieurs millions d’ordinateurs infectés.

Infrastructures des serveurs Command & Control (C&C) Indépendamment des données auxquelles il s’intéresse (envoi de pourriels, vol de données bancaires, activités d’espionnage), un pirate doit pouvoir donner des ordres aux systèmes infectés et acheminer des données. Tel est le rôle des infrastructures des serveurs Command & Control. Comme cette structure constitue souvent le point faible des réseaux

10/13


de zombies, il importe d’agir à ce niveau dans le cadre des poursuites pénales et de l’observation à des fins de défense.

Outils DDoS On trouve en principe deux types d’outils pouvant servir à lancer des attaques DDoS:

• outils intégrés aux réseaux de zombies, généralement sous forme de module chargeable piloté par un serveur Command & Control;

• logiciels contrôlés par l’utilisateur, généralement basés sur des outils légaux de test aux marges (stress test). L’exemple typique est LOIC22 , auquel recourent volontiers les cyberactivistes comme anonymous.

Protection offerte par les organisations CSIRT/CERT

Les grandes entreprises sont toujours plus victimes d’attaques ciblées ou de grande envergure. D’où la nécessité de mettre en place des organisations et des architectures de sécurité informatique, afin de repousser de telles menaces. A cet effet, les entreprises de moyenne ou grande taille, ainsi que celles particulièrement exposées (p. ex. dans les technologies de pointe) devraient disposer d’une organisation chargée de traiter les incidents de sécurité. On peut penser à un CSIRT (Computer Security Incident Response Team) ou à un CERT (Computer Emergency Response Team), s’occupant des incidents de sécurité survenus dans l’infrastructure informatique interne d’une entreprise.

Un CISRT/CERT opère généralement à trois niveaux, à savoir: préparation aux incidents / détection et réaction / protection:

2 http://fr.wikipedia.org/wiki/LOIC

http://fr.wikipedia.org/wiki/LOIC

11/13


Fig. 2: Processus CSIRT/CERT, adaptation d’après cert.org

Le traitement des incidents proprement dits relève de la détection et de la réaction, même s’il suit toujours le schéma Détection / Triage / Réaction / Apprentissage. En particulier, il ne faut pas sous-estimer l’apprentissage à partir des incidents de sécurité, soit la possibilité d’examiner d’un œil critique, sur la base d’incidents réels, le dispositif de défense et d’y apporter les améliorations nécessaires. Ainsi, la communication sur les incidents de sécurité rencontrés est un volet essentiel de la gestion des risques au sein des entreprises. Il n’existe toutefois pas de solution universelle pour régler de tels incidents.

En règle générale, chaque incident de sécurité se présente différemment. D’où l’importance de veiller aux points suivants, en respectant scrupuleusement l’ordre indiqué:

1. Faut-il procéder à une copie exacte du système compromis pour l’investigation informatique? D’où la nécessité d’un équipement d’expertise minimum (Write Blocker) et d’une formation spécifique pour l’Incident Response Team.

2. Est-il nécessaire ou judicieux de laisser au pirate certains instruments, afin qu’il ne se doute pas d’avoir été découvert? Y a-t-il lieu de craindre que le pirate se venge s’il a été découvert?

3. Comment circonscrire l’attaque? Que faire à cet effet? Comment éviter d’autres infections ou la perte de données supplémentaires?

4. Qui faut-il informer?

12/13


5. Limitation de l’attaque (isolement, blocage sur des systèmes passerelle, blocage de fichiers, etc.).

6. Analyse de l’attaque (analyse du fichier journal pour découvrir autant possible toutes les machines infectées, ingénierie inverse du maliciel).

7. Prise de renseignements auprès de sources d’information externes (p. ex. MELANI).

8. Organisation d’échanges d’informations réguliers, d’abord toutes les 6 heures, puis toutes les 12 à 24 heures.

Les points 3 à 8 constituent un cycle, qui se poursuivra jusqu’à ce que l’incident soit résolu.

Un CSIRT/CERT a besoin, comme outils de travail, de systèmes de surveillance – trafic réseau, journal système et journal des applications. Les systèmes de détection des intrusions (IDS, intrusion detection system) ou de contrôle de l’intégrité peuvent également servir. Par ailleurs, la protection face aux pirates nécessite de prévoir, pour l’accès à Internet, des mécanismes de protection spécifiques. Par exemple, il est possible d’utiliser de manière centralisée des listes d’adresses bloquées et des analyseurs de virus. Or en dépit des meilleures précautions, il se peut qu’une cyberattaque soit fructueuse. Le cas échéant, il est crucial de la détecter rapidement et de bien réagir, afin de limiter autant que possible le dommage subi.

Comme les risques inhérents aux technologies de l’information sont en constante évolution, il faut ponctuellement réexaminer les mécanismes de protection, les actualiser et les adapter. En outre, il est très important de veiller à la formation et au perfectionnement du personnel des CSIRT/CERT dans ce domaine. En Suisse, les exploitants d’infrastructures critiques font partie du cercle fermé de clients de MELANI, et reçoivent à ce titre des informations sur les menaces actuelles.

13/13


Lutte des autorités de poursuite pénale contre les réseaux de zombies

Outre les stratégies de défense déjà établies, comme la mise en place d’organisations de type CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team), les poursuites pénales revêtent une grande importance. Ainsi, la place bancaire est un des fleurons de l’économie suisse. D’où l’importance de la protéger spécialement, pour justifier la confiance accordée aux banques suisses. A l’ère d’Internet, les hold-up se font toujours plus en ligne. Depuis quelques années, on assiste à une recrudescence des activités cybercriminelles dirigées contre les banques et leur clientèle. Beaucoup de pays l’ont expérimenté – y compris la Suisse. Ces derniers mois, des bandes criminelles s’en sont pris successivement, de manière ciblée, aux établissements financiers de plusieurs pays. Il est significatif que lorsque leurs agissements sont découverts et que les médias en parlent, les escrocs changent de cible et s’en prennent, selon le même schéma, à la clientèle des banques d’un autre pays.

Il est essentiel d’informer la population en cas de cyberattaque lancée contre les infrastructures suisses. Aujourd’hui déjà, cette tâche incombe à MELANI. De même, MELANI coordonne l’information entre les entreprises touchées. La répression efficace de la cybercriminalité requiert toutefois aussi la collaboration avec Interpol, Europol et les autorités des pays concernés. Une bonne coordination au niveau fédéral est d’autant plus importante ici que les ordinateurs infectés (réseaux de zombies) se trouvent dans de nombreux pays et sont généralement dirigés par un ou plusieurs serveurs Command & Control, eux-mêmes presque toujours exploités à l’étranger (Allemagne, Pays-Bas et Europe orientale). Pour pouvoir désactiver du réseau les serveurs C&C, il faut identifier rapidement les processus à l’œuvre. Au-delà des poursuites pénales proprement dites, qui s’avèrent parfois très complexes, le démantèlement des infrastructures des serveurs C&C découverts ainsi que l’analyse du trafic d’attaque (sinkholing) des domaines malveillants identifié ont pour effet de compliquer la tâche aux auteurs de telles attaques.

La bonne coopération des autorités de poursuite pénale, des CERT/CSIRT tant étatiques que privés, des services secrets et des organisations de défense des infrastructures critiques (cyberdéfense) joue un rôle-clé, d’autant plus que la lutte contre les menaces est une tâche commune à différentes organisations indépendantes les unes des autres. A ce propos, ces diverses organisations ont beau utiliser des méthodes différentes et avoir une approche différente des problèmes, toutes visent le même but, soit empêcher Internet de devenir une zone de non-droit, soumise à la loi du plus fort.

Documents

Menaces actuelles liées à Internet: auteurs, outils ... · Les attaques à grande échelle dues à des auteurs isolés constituent le socle de la pyramide. De telles menaces sont