Accueil
Envoyer
Imprimer
Partager
Cyber-agression, blocage de sites institutionnels, divulgation de données, vol d’informations stratégiques, divulgation du code source de logiciels commerciaux, manifestations et revendications… "hacktivistes", pirates en tous genres multiplient, ces derniers temps, les actions d'éclat, particulièrement en France. Retour sur quelques unes de ces attaques numériques dévastatrices pour analyser les motivations de leurs auteurs et décrypter le mode opératoire employé afin de mieux les combattre.
1ère partie : Quelques attaques récentes…
DDoS en série en représailles contre Sony
Fin mars 2011, Sony engage une action en justice contre des développeurs ayant modifié le logiciel de sa console PlayStation 3. Pour protester, le collectif Anonymous lance une attaque DDoS qui paralyse les sites PlayStationNetwork.com. Le 20 avril, Sony déconnecte les services PlayStation Network et Qriocity, après avoir détecté une intrusion sur les serveurs du réseau, hébergés dans un data center.
Mais ce n‘est que la partie émergée de l'iceberg ! Après enquête, Sony déclare que, lors de l'attaque DDoS sur les serveurs du service PSN, les données personnelles de 77 millions d'utilisateurs ont été volées.
Selon Sony, l’attaque était très sophistiquée. Déguisée en procédure d’achat, elle est passée inaperçue. Conséquence de ces événements : Sony décide d'ajouter des systèmes de surveillance automatisés afin de détecter toute activité inhabituelle sur le réseau, pour se défendre de futures attaques.
Piratage de MySQL, l’envers de la manipulation
Lundi 26 septembre 2011, des pirates compromettent MySQL.com, le site officiel de la base de données open source du même nom. Les visiteurs du site sont redirigés vers un domaine qui tente d'installer des programmes malveillants sur leurs machines, via le pack Black Hole, agissant contre les navigateurs des utilisateurs et des plug-ins tels que Flash et Java. Comble d’ironie, les pirates profitent d’une faille de sécurité pour placer une requête SQL qui fait anormalement réagir le système et compromet sa sécurité. Une simple visite de MySQL.com avec une plate-forme de navigation vulnérable se traduit par une infection.
L’attaque a permis de voler la liste complète des noms et mots de passe des utilisateurs dont une partie a été publiée.
RSA et les dessous du vol de données
L’attaque récente de RSA, la Division Sécurité d'EMC Corp., débute par deux vagues de phishing, ciblant de vrais employés de l’entreprise - probablement identifiés grâce à une phase de ‘social engineering’, voire simplement en surfant sur les réseaux sociaux « professionnels » de type LinkedIn - avec l’envoi d’un courrier électronique comprenant un fichier Microsoft Excel en pièce jointe, jouant sur la curiosité des destinataires via le titre alléchant, « plan de recrutement 2011 ». Ce document ne contient pas directement le virus ou le trojan, mais un film Flash mal formé et dont l’ouverture permet l’exécution de code malveillant, via une vulnérabilité du lecteur Flash d’Adobe.
L’ouverture de la pièce jointe déclenche donc l’exécution de code malveillant et la compromission de l’ordinateur, permettant l’intrusion et l’exfiltration de données d’un serveur compromis.
Selon RSA, le mode opératoire relève de l’Advanced Persistent Threat (voir 2ème partie pour plus de détails sur l’APT). Les Menaces Persistantes Avancées sont des attaques élaborées, ciblées et durant dans le temps.
C’est un scénario d’attaque similaire qui a été mis en œuvre pour s’introduire dans le réseau informatique de Bercy.
Espionnage de Lockheed-Martin
En avril 2009, une intrusion ayant permis de copier et détourner des téra-octets de données liées à la conception du nouvel avion de chasse F-35 Lightning II - un projet ultra-confidentiel de près de 300 milliards de dollars dirigé par Lockheed Martin - est détectée. Plus inquiétant encore, les systèmes informatiques impliqués dans la fuite d’informations auraient été infiltrés au moins 2 ans auparavant. Les espions sont entrés grâce aux vulnérabilités des réseaux d’entreprises sous-traitantes et ont chiffré les données volées rendant très difficile l’identification des responsables, mais aussi des données volées.
Le 21 mai dernier, les réseaux informatiques de Lockheed-Martin qui fabrique d’autres équipements essentiels pour le compte de l’armée américaine, ont été la cible d’une attaque importante, qui, selon la firme, a été repoussée.
Dénis de service en série, en signe de protestation
En janvier dernier, la justice américaine a demandé à Verisign de fermer l'accès au site de partage de fichiers Megaupload.com. En représailles, les Anonymous lancent des attaques, notamment contre les sites Web du FBI, de la Justice américaine, de la Maison Blanche, de RIAA, d’Universal Music, de Vivendi.fr et d’Hadopi. Mais l’indisponibilité des sites et les cyber-manifestations étaient-elles les seules motivations de ces actions ?
Attaques, dénis de service, intrusions et vols de données en augmentation
A travers ces quelques faits marquants récents (on pourrait en citer encore bien d’autres), on observe quelques constantes. L'objectif final reste l’infraction du système ciblé et le vol de données, qu’elles soient personnelles ou d'entreprise. Plus de 125 000 attaques se seraient produites aux seuls États-Unis en 2010 ! Et le mouvement se poursuit !
Il faut dire que la délinquance informatique prospère aujourd’hui. Elle dispose de réseaux hautement spécialisés qui se composent et se recomposent de manière dynamique avec une extraordinaire capacité d’adaptation. La liste des suspects est longue. Assistons-nous à une cybercriminalité qui se développe ou à une cyberguerre montante ? Certains pays sont régulièrement accusés d’être derrière l’intrusion sur les réseaux informatiques d’entreprises ou d’organisations gouvernementales qui sont confrontées à la prolifération des fraudes informatiques. Sur la toile, le combat est quotidien pour déjouer les agissements des réseaux criminels, dont les connaissances informatiques sont impressionnantes. Ainsi, en 2011, on a recensé 419 violations de données, 23 millions d’enregistrements impliqués, 1/3 provenant d’attaques malveillantes.
Une guérilla de mercenaires
Au début des années 2000, les pirates étaient des étudiants doués en informatique qui cherchaient la gloire dans le défi. Les temps ont bien changé ! Les profils des « guérilleros » sont variés. Ce sont de simples individus comme des joueurs, des novices en informatique ou des geeks, des salariés insatisfaits ou qui ont démissionné, des hacktivistes tels les Anonymous ou LulzSec, des hackers qui travaillent pour les mafias… La frontière entre le crime organisé et l’hacktivisme est d’ailleurs parfois si mince qu’elle est difficile à cerner.
Ainsi, si les informations télévisées nous parlent de la politisation des hackers, le hacking s’est en réalité « professionnalisé ». Les hackers d’aujourd’hui, sont nombreux, organisés et formés. Véritables mercenaires, certains groupes vendent leurs services à prix élevé à des filières criminelles ou à des états pour nuire ou récupérer, généralement sur commande, des données confidentielles, économiques ou privées. Ce « commerce » serait équivalent à celui du marché de la sécurité informatique.
Un butin hétéroclite
Que vole-t-on ? Tout d’abord, des données personnelles, avec, par ordre croissant d’intérêt : numéros de carte de crédit, dossier médical, e-mails, mot de passe, numéro de sécurité sociale et détails personnels mais surtout historique d’achats en ligne, car ces derniers permettent de cibler de futures attaques de phishing, souvent plus lucratives. Mais on vole également des données professionnelles, qu’elles soient juridiques, commerciales, marketing ou techniques : contrats, tarifs et remises, coûts de production, campagne prévue, informations concurrentielles, spécifications de produits, projets de R&D, résultats de tests, etc.
Tout le monde peut être visé
La cible ? Ce sont d’abord les particuliers car, en général, moins éduqués et moins protégés, ils représentent une cible facile (notamment pour les débutants) d’autant plus que l’anonymat fourni par l’univers numérique, facilite la tâche des malfaiteurs. Mais, les sociétés, les associations et les administrations sont également d’excellentes cibles, souvent pour les mêmes raisons. Le vol numérique est moins risqué et moins pénalisé que le vol physique. Il est facile de se cacher et de fuir ! Bien que demandant plus de compétences dans le cas d’entreprises, il est aussi plus lucratif.
Les armes dépendent de l’objectif
Les pirates utilisent des kits logiciels criminels, des virus et des vers, des réseaux zombies (botnets) et leurs serveurs C & C… Les botnets, servant à l’origine, à gérer des canaux de discussions ou proposer des services de jeux, de statistiques, etc. ont été détournés de leur usage pour créer des réseaux de machines zombies. Ils permettent le relais des spams (commerce illégal, manipulation d'informations…), le phishing, l’infection par des virus, des vers et autres malwares, des attaques DoS et DDoS, la fraude au clic abusif sur un lien qui déclenchera un programme malveillant, l’extraction d’informations (pour la revente), des opérations de calcul distribué pour « craquer » des mots de passe ou la gestion d'accès à des sites de ventes de contrefaçons ou de produits interdits…
N’importe quelle machine connectée à internet peut devenir une machine zombie, parfois à l’insu de son propriétaire !
Attaques DoS / DDoS, le blocage commando
Une attaque par déni de service (denial of service - DoS) rend indisponible un service. Elle bloque, par exemple, un serveur de fichiers, rend impossible l'accès à un serveur web ou à un site internet, empêche la distribution du courriel…
De plus en plus sophistiquées, les attaques par déni de service impliquent une multitude de « soldats ou zombies ». On parle désormais de DDoS (distributed denial of service). Après les premières attaques perpétrées par des crackers attirés par l’exploit et le fun, on a vu apparaître des attaques DoS et DDoS par des pirates spécialisés dans la levée d’armées de zombies, qu’ils louent ensuite à des cybercriminels pour attaquer une cible particulière. Le nombre de dénis de service a suivi la forte progression du nombre d’échanges commerciaux sur Internet.
Les attaques massives, qui inondent le réseau pour l’empêcher de fonctionner, représentent le moyen le plus traditionnel et visible, tant au niveau des opérateurs que des routeurs d’accès de l’entreprise.
Mais une nouvelle génération d’attaques par déni de service est apparue. Elle vise, elle les applications. C’est un moyen moins massif, moins détectable et plus intelligent que d'utiliser des connexions et le trafic légitimes (les nombreuses « erreurs 404 » ou des échanges de données très lents comme le fait Slowloris, par exemple), pour consommer non plus la bande passante mais les ressources des équipements et serveurs traversés, qu’il s’agisse de serveurs web mais aussi d’équipements réseaux comme les répartiteurs de charge ou des pare-feu.
Mais ce qui est plus inquiétant aujourd’hui, c’est qu’une même attaque combine plusieurs moyens utilisés à l’origine individuellement. Ce sont les fameuses APT évoquées précédemment, dans lesquelles les attaquants suivent de véritables plans de bataille, déchiffrables étape par étape, mais souvent lorsqu’il est trop tard.
Prochain article : 2ème partie : les APT
Emmanuel Le BOHEC est Regional Manager en charge des Ventes et du Marketing pour la France, la Belgique, le Luxembourg, la Suisse romande et l’Afrique francophone chez Corero Network Security. Il avait auparavant exercé plusieurs fonctions commerciales chez Cyber Networks (actuellement British Telecom) et Fortinet. Après un Master en Gestion-Finance de LIBS (Lincoln International Business School), Ecole Supérieure de Commerce à Paris, Emmanuel LE BOHEC a étudié plusieurs années aux Etats-Unis (University of North Carolina à Charlotte et Emory University à Atlanta) et est titulaire d’une Maîtrise d’histoire économique.
A propos de Corero Network Security
Corero Network Security (CNS : LN), anciennement Top Layer Security, est le premier fournisseur mondial de Systèmes de Défense (DDS) contre les Dénis de Service Distribué (DDoS) et de systèmes novateurs de Prévention des Intrusions sur le réseau (IPS).
Reconnu pour son innovation et son leadership par ses clients, les media et les analystes de l'industrie, Corero est implanté aux Etats-Unis (siège), en Allemagne, Chine (Hong Kong), Espagne, Etats-Unis, France, Italie, Japon, Malaisie, Royaume-Uni, Ukraine et Taïwan.
Corero Network Security regroupe plus de 75 collaborateurs.
www.corero.com
1ère partie : Quelques attaques récentes…
DDoS en série en représailles contre Sony
Fin mars 2011, Sony engage une action en justice contre des développeurs ayant modifié le logiciel de sa console PlayStation 3. Pour protester, le collectif Anonymous lance une attaque DDoS qui paralyse les sites PlayStationNetwork.com. Le 20 avril, Sony déconnecte les services PlayStation Network et Qriocity, après avoir détecté une intrusion sur les serveurs du réseau, hébergés dans un data center.
Mais ce n‘est que la partie émergée de l'iceberg ! Après enquête, Sony déclare que, lors de l'attaque DDoS sur les serveurs du service PSN, les données personnelles de 77 millions d'utilisateurs ont été volées.
Selon Sony, l’attaque était très sophistiquée. Déguisée en procédure d’achat, elle est passée inaperçue. Conséquence de ces événements : Sony décide d'ajouter des systèmes de surveillance automatisés afin de détecter toute activité inhabituelle sur le réseau, pour se défendre de futures attaques.
Piratage de MySQL, l’envers de la manipulation
Lundi 26 septembre 2011, des pirates compromettent MySQL.com, le site officiel de la base de données open source du même nom. Les visiteurs du site sont redirigés vers un domaine qui tente d'installer des programmes malveillants sur leurs machines, via le pack Black Hole, agissant contre les navigateurs des utilisateurs et des plug-ins tels que Flash et Java. Comble d’ironie, les pirates profitent d’une faille de sécurité pour placer une requête SQL qui fait anormalement réagir le système et compromet sa sécurité. Une simple visite de MySQL.com avec une plate-forme de navigation vulnérable se traduit par une infection.
L’attaque a permis de voler la liste complète des noms et mots de passe des utilisateurs dont une partie a été publiée.
RSA et les dessous du vol de données
L’attaque récente de RSA, la Division Sécurité d'EMC Corp., débute par deux vagues de phishing, ciblant de vrais employés de l’entreprise - probablement identifiés grâce à une phase de ‘social engineering’, voire simplement en surfant sur les réseaux sociaux « professionnels » de type LinkedIn - avec l’envoi d’un courrier électronique comprenant un fichier Microsoft Excel en pièce jointe, jouant sur la curiosité des destinataires via le titre alléchant, « plan de recrutement 2011 ». Ce document ne contient pas directement le virus ou le trojan, mais un film Flash mal formé et dont l’ouverture permet l’exécution de code malveillant, via une vulnérabilité du lecteur Flash d’Adobe.
L’ouverture de la pièce jointe déclenche donc l’exécution de code malveillant et la compromission de l’ordinateur, permettant l’intrusion et l’exfiltration de données d’un serveur compromis.
Selon RSA, le mode opératoire relève de l’Advanced Persistent Threat (voir 2ème partie pour plus de détails sur l’APT). Les Menaces Persistantes Avancées sont des attaques élaborées, ciblées et durant dans le temps.
C’est un scénario d’attaque similaire qui a été mis en œuvre pour s’introduire dans le réseau informatique de Bercy.
Espionnage de Lockheed-Martin
En avril 2009, une intrusion ayant permis de copier et détourner des téra-octets de données liées à la conception du nouvel avion de chasse F-35 Lightning II - un projet ultra-confidentiel de près de 300 milliards de dollars dirigé par Lockheed Martin - est détectée. Plus inquiétant encore, les systèmes informatiques impliqués dans la fuite d’informations auraient été infiltrés au moins 2 ans auparavant. Les espions sont entrés grâce aux vulnérabilités des réseaux d’entreprises sous-traitantes et ont chiffré les données volées rendant très difficile l’identification des responsables, mais aussi des données volées.
Le 21 mai dernier, les réseaux informatiques de Lockheed-Martin qui fabrique d’autres équipements essentiels pour le compte de l’armée américaine, ont été la cible d’une attaque importante, qui, selon la firme, a été repoussée.
Dénis de service en série, en signe de protestation
En janvier dernier, la justice américaine a demandé à Verisign de fermer l'accès au site de partage de fichiers Megaupload.com. En représailles, les Anonymous lancent des attaques, notamment contre les sites Web du FBI, de la Justice américaine, de la Maison Blanche, de RIAA, d’Universal Music, de Vivendi.fr et d’Hadopi. Mais l’indisponibilité des sites et les cyber-manifestations étaient-elles les seules motivations de ces actions ?
Attaques, dénis de service, intrusions et vols de données en augmentation
A travers ces quelques faits marquants récents (on pourrait en citer encore bien d’autres), on observe quelques constantes. L'objectif final reste l’infraction du système ciblé et le vol de données, qu’elles soient personnelles ou d'entreprise. Plus de 125 000 attaques se seraient produites aux seuls États-Unis en 2010 ! Et le mouvement se poursuit !
Il faut dire que la délinquance informatique prospère aujourd’hui. Elle dispose de réseaux hautement spécialisés qui se composent et se recomposent de manière dynamique avec une extraordinaire capacité d’adaptation. La liste des suspects est longue. Assistons-nous à une cybercriminalité qui se développe ou à une cyberguerre montante ? Certains pays sont régulièrement accusés d’être derrière l’intrusion sur les réseaux informatiques d’entreprises ou d’organisations gouvernementales qui sont confrontées à la prolifération des fraudes informatiques. Sur la toile, le combat est quotidien pour déjouer les agissements des réseaux criminels, dont les connaissances informatiques sont impressionnantes. Ainsi, en 2011, on a recensé 419 violations de données, 23 millions d’enregistrements impliqués, 1/3 provenant d’attaques malveillantes.
Une guérilla de mercenaires
Au début des années 2000, les pirates étaient des étudiants doués en informatique qui cherchaient la gloire dans le défi. Les temps ont bien changé ! Les profils des « guérilleros » sont variés. Ce sont de simples individus comme des joueurs, des novices en informatique ou des geeks, des salariés insatisfaits ou qui ont démissionné, des hacktivistes tels les Anonymous ou LulzSec, des hackers qui travaillent pour les mafias… La frontière entre le crime organisé et l’hacktivisme est d’ailleurs parfois si mince qu’elle est difficile à cerner.
Ainsi, si les informations télévisées nous parlent de la politisation des hackers, le hacking s’est en réalité « professionnalisé ». Les hackers d’aujourd’hui, sont nombreux, organisés et formés. Véritables mercenaires, certains groupes vendent leurs services à prix élevé à des filières criminelles ou à des états pour nuire ou récupérer, généralement sur commande, des données confidentielles, économiques ou privées. Ce « commerce » serait équivalent à celui du marché de la sécurité informatique.
Un butin hétéroclite
Que vole-t-on ? Tout d’abord, des données personnelles, avec, par ordre croissant d’intérêt : numéros de carte de crédit, dossier médical, e-mails, mot de passe, numéro de sécurité sociale et détails personnels mais surtout historique d’achats en ligne, car ces derniers permettent de cibler de futures attaques de phishing, souvent plus lucratives. Mais on vole également des données professionnelles, qu’elles soient juridiques, commerciales, marketing ou techniques : contrats, tarifs et remises, coûts de production, campagne prévue, informations concurrentielles, spécifications de produits, projets de R&D, résultats de tests, etc.
Tout le monde peut être visé
La cible ? Ce sont d’abord les particuliers car, en général, moins éduqués et moins protégés, ils représentent une cible facile (notamment pour les débutants) d’autant plus que l’anonymat fourni par l’univers numérique, facilite la tâche des malfaiteurs. Mais, les sociétés, les associations et les administrations sont également d’excellentes cibles, souvent pour les mêmes raisons. Le vol numérique est moins risqué et moins pénalisé que le vol physique. Il est facile de se cacher et de fuir ! Bien que demandant plus de compétences dans le cas d’entreprises, il est aussi plus lucratif.
Les armes dépendent de l’objectif
Les pirates utilisent des kits logiciels criminels, des virus et des vers, des réseaux zombies (botnets) et leurs serveurs C & C… Les botnets, servant à l’origine, à gérer des canaux de discussions ou proposer des services de jeux, de statistiques, etc. ont été détournés de leur usage pour créer des réseaux de machines zombies. Ils permettent le relais des spams (commerce illégal, manipulation d'informations…), le phishing, l’infection par des virus, des vers et autres malwares, des attaques DoS et DDoS, la fraude au clic abusif sur un lien qui déclenchera un programme malveillant, l’extraction d’informations (pour la revente), des opérations de calcul distribué pour « craquer » des mots de passe ou la gestion d'accès à des sites de ventes de contrefaçons ou de produits interdits…
N’importe quelle machine connectée à internet peut devenir une machine zombie, parfois à l’insu de son propriétaire !
Attaques DoS / DDoS, le blocage commando
Une attaque par déni de service (denial of service - DoS) rend indisponible un service. Elle bloque, par exemple, un serveur de fichiers, rend impossible l'accès à un serveur web ou à un site internet, empêche la distribution du courriel…
De plus en plus sophistiquées, les attaques par déni de service impliquent une multitude de « soldats ou zombies ». On parle désormais de DDoS (distributed denial of service). Après les premières attaques perpétrées par des crackers attirés par l’exploit et le fun, on a vu apparaître des attaques DoS et DDoS par des pirates spécialisés dans la levée d’armées de zombies, qu’ils louent ensuite à des cybercriminels pour attaquer une cible particulière. Le nombre de dénis de service a suivi la forte progression du nombre d’échanges commerciaux sur Internet.
Les attaques massives, qui inondent le réseau pour l’empêcher de fonctionner, représentent le moyen le plus traditionnel et visible, tant au niveau des opérateurs que des routeurs d’accès de l’entreprise.
Mais une nouvelle génération d’attaques par déni de service est apparue. Elle vise, elle les applications. C’est un moyen moins massif, moins détectable et plus intelligent que d'utiliser des connexions et le trafic légitimes (les nombreuses « erreurs 404 » ou des échanges de données très lents comme le fait Slowloris, par exemple), pour consommer non plus la bande passante mais les ressources des équipements et serveurs traversés, qu’il s’agisse de serveurs web mais aussi d’équipements réseaux comme les répartiteurs de charge ou des pare-feu.
Mais ce qui est plus inquiétant aujourd’hui, c’est qu’une même attaque combine plusieurs moyens utilisés à l’origine individuellement. Ce sont les fameuses APT évoquées précédemment, dans lesquelles les attaquants suivent de véritables plans de bataille, déchiffrables étape par étape, mais souvent lorsqu’il est trop tard.
Prochain article : 2ème partie : les APT
Emmanuel Le BOHEC est Regional Manager en charge des Ventes et du Marketing pour la France, la Belgique, le Luxembourg, la Suisse romande et l’Afrique francophone chez Corero Network Security. Il avait auparavant exercé plusieurs fonctions commerciales chez Cyber Networks (actuellement British Telecom) et Fortinet. Après un Master en Gestion-Finance de LIBS (Lincoln International Business School), Ecole Supérieure de Commerce à Paris, Emmanuel LE BOHEC a étudié plusieurs années aux Etats-Unis (University of North Carolina à Charlotte et Emory University à Atlanta) et est titulaire d’une Maîtrise d’histoire économique.
A propos de Corero Network Security
Corero Network Security (CNS : LN), anciennement Top Layer Security, est le premier fournisseur mondial de Systèmes de Défense (DDS) contre les Dénis de Service Distribué (DDoS) et de systèmes novateurs de Prévention des Intrusions sur le réseau (IPS).
Reconnu pour son innovation et son leadership par ses clients, les media et les analystes de l'industrie, Corero est implanté aux Etats-Unis (siège), en Allemagne, Chine (Hong Kong), Espagne, Etats-Unis, France, Italie, Japon, Malaisie, Royaume-Uni, Ukraine et Taïwan.
Corero Network Security regroupe plus de 75 collaborateurs.
www.corero.com
