(Votre publicité ici)
  A propos
  Legal
  Add site
  Contact
  Secret (help)

 Votre
 utilisation
 de ce site
 constitue votre
 acceptation
 de ses
 Conditions
 d'utilisation


 
Copyright ©
 1997-2008
 Tous droits
 réservés,
 All rights
 reserved

 Certifié IDDN

     iddnpt_ani.gif (1077 octets)

 
Sites liés
  jpmiginiac.com
 
Risque-Pays.info
 GuideVoyage.info




Essential open sources, essential informations
Strategic Intelligence, Business Intelligence, Competitive Intelligence
Geopolitics, International relations, Security, Risks

                        Conditions d'utilisation

 AccueilDossiers / Mise à jour 22/04/2002
Partagez, Recommandez, ou Ajoutez cette page à vos favoris
del.icio.us | Digg | reddit | Google | Yahoo! | Facebook

(Publicité)


   Les drôles de hackers du
   département US du Commerce

      

Ou la tentative de piratage de Strategic Road par un ordinateur ministériel américain.

par Jean-Philippe MIGINIAC - 22/04/2002

Strategic Road est régulièrement victime de tentatives d’intrusion et de piratage, comme beaucoup d’autres sites web ou de systèmes informatiques connectés à internet.

Les attaques de hackers se sont répandues avec la multiplication de ceux qui se définissent comme des passionnés voulant avant tout comprendre le fonctionnement des systèmes informatiques et tester à la fois la capacité des outils et leurs connaissances. Elles se sont répandues, surtout, avec la multiplication des script-kiddies qui sont des débutants n’ayant pas de compétences très avancées. Les script-kiddies se contentent généralement d’utiliser des logiciels de hack prêts à l’emploi qui scannent automatiquement le web à la recherche de systèmes vulnérables. La plupart des entreprises et la quasi-totalité des particuliers connectés ne s’aperçoivent même pas de ces attaques.

Les motivations des hackers sont cependant rarement le fun ou le challenge et chacun devrait s’intéresser de prêt aux tentatives d’intrusion et de piratage de son système informatique comme nous le faisons nous même constamment à Strategic Road. Notre expérience de la recherche d’informations et de la veille sur internet nous a appris en effet à considérer ce que nous appelons la « contre-veille » comme une des méthodes essentielles de notre métier (voir pour nos abonnés au Club Strategic Road : « Qui visite votre site, comment et pourquoi ? », une série de fiches professionnelles dans lesquels sont détaillées les méthodes de contre-veille).




Une étude attentive des fichiers historiques d’un système informatique (les logs générés par les logiciels serveurs) permet notamment de constater toute activité inhabituelle sur le serveur connecté à internet et de repérer les tentatives d’intrusion et de piratage. L’information donnée par ces logs permet de connaître le nom de l’ordinateur qui visite le serveur (l’IP) et de savoir quels fichiers il télécharge mais d’autres données sont également accessibles (d’où vient le visiteur, quelles commandes il exécute sur le serveur, quel est le résultat de ces commandes, quel outil il utilise pour se connecter etc…). Ces données sont très utiles aux responsables de la sécurité des systèmes d’information mais sont malheureusement encore peu utilisées par les spécialistes de la veille.

Beaucoup de tentatives d’intrusions et de piratage se traduisent par quelques dizaines de lignes de logs, le hacker testant le plus discrètement possible quelques vulnérabilités éventuelles du serveur pour préparer une tentative d’intrusion future. Malgré cette discrétion, les tentatives sont assez facile à détecter, même pour un non-spécialiste et même dans des logs comportant plusieurs dizaines de milliers de lignes, car les commandes utilisées et les fichiers auxquels le pirate tente d’accéder laissent une trace visuelle très différente de l’activité normale du serveur. On peut même identifier des signatures caractéristiques de certains types d’attaques ou de certaines origines d’attaques.

Une attaque intervenue le 6 Janvier dernier sur le serveur de Strategic Road nous a quant à elle laissé une impression visuelle assez inoubliable, un vrai feu d’artifice, 857 lignes de logs d’un seul bloc et presque autant de destinations IP (l’adresse interne des cibles) différentes !

L’attaque du 6 Janvier correspond à ce que les spécialistes de la sécurité appellent un « Scan de vulnérabilité », une vulnérabilité correspondant à un moyen particulier de détourner le fonctionnement normal d’une application pour tenter de s’introduire dans un système ou pour le mettre hors fonction. En scannant ainsi un système, un hacker essaie de déterminer si telle ou telle application est installée sur le système pour en déduire, connaissant les failles (vulnérabilités) de chacune des applications, comment et avec quels outils il va pouvoir agir pour exploiter ces failles. En général un scan de vulnérabilités précède une attaque mais certains scanners sont aujourd’hui capables d’exploiter les vulnérabilités dans la foulée.

Certains hackers effectuent des scan de vulnérabilité sur des systèmes cibles non pour tenter de s’y introduire ou pour le mettre hors fonction mais simplement pour le plaisir de découvrir des failles et en alerter l’administrateur du système cible afin que celui-ci corrige les failles de sécurité de son système (c’est notamment en France le cas de Kitetoa).

Depuis le 6 Janvier, aucun hacker ne nous a contacté pour nous informer de failles découvertes dans notre système ! Avec 857 destinations IP, le pirate a pourtant tenté de découvrir un nombre assez considérable de vulnérabilités dont celles qui lui auraient permis de prendre le root (en d’autres termes le contrôle total) du système, celles qui lui auraient permis de percer les mots de passe de notre système et ceux du Club Strategic Road et celles qui lui auraient permis d’atteindre d’éventuels numéros de carte bleue si de telles informations avaient été présentes sur notre système. Peut-être n’avait-il aucune raison de nous alerter puisque les vérifications effectuées nous ont convaincu que sa tentative avait entièrement échoué.

Ce qui nous a amusé, par contre, c’est la découverte de l’IP du visiteur, présente en tête de chacune des 857 lignes de logs : « ita-cp-dc028.ita.doc.gov »

Tout veilleur assidu des sites gouvernementaux américains aura identifié immédiatement une partie de l’IP : « ita.doc.gov » c’est l’ « International Trade Administration » du « Department of Commerce » du Gouvernement des Etats-Unis.

Surprenant, non ? le Gouvernement des Etats unis qui vient « tester » la sécurité de Strategic Road !

N’ayant eu aucune réponse au message e-mail que nous avons adressé le 8 Janvier à Franck Eggert, « ITA’s Information Technology Security Officer » pour lui demander quelques explications, nous nous sommes interessés de plus près à ce drôle d’ordinateur ministériel américain qui a tenté de pirater Strategic Road.

« ita-cp-dc028.ita.doc.gov », appelons le dc028, est un ordinateur un peu particulier au sein de l’ « International Trade Administration ». Contrairement aux autres ordinateurs dcXXX (à l’exception de dc023 il y a quelques années), il laisse beaucoup de traces sur internet et comme il dispose d’une connection directe (sans passer par l’intermédiaire d’un proxy) et d’un IP fixe, il est facile de retrouver cette trace dans les méandres de la toile (veilleurs qui disposez d’un IP fixe, soyez prudents !). Nous avons donc pu (en toute légalité) lancer quelques investigations pour tenter d’en savoir un peu plus sur notre agresseur.

Beaucoup de pages de statistiques de visites de sites web sont disponibles en accès libre sur le web et ces pages gardent, dans leurs archives, mention des IP des visiteurs comptabilisés. Il est ainsi possible de suivre dc028 dans ses surfs en Russie, en Allemagne, au Kyrgyztan, au Portugal, au Liban etc… et de voir les centres d’intérêt de ses visites sur des sites aux Etats-Unis où il s’intéresse par exemple à la musique, à la cuisine indienne, à la bio-informatique, aux logiciels de surveillance d’e-mails, à plusieurs universités et associations d’anciens élèves et à des Casinos online (l’ « International Trade Administration » permet à ses agents d’utiliser dc028 en dehors de leurs heures de travail).

Un de ces agents était peut-être assis devant dc028 ce 6 Janvier dernier à 17 heures locales, à moins que ce Dimanche là un hacker, quelque part dans le monde, se soit emparé du contrôle de dc028 pour venir « tester » la sécurité de Strategic Road ?

Parmi les utilisateurs habituels de dc028, il y a… appelons le « John ». Son arrivée dans les bureaux de l’ « International Trade Administration » a été saluée dans la lettre interne du 25 Juillet 2001 qui l’a gratifié d’un « Welcome » sympathique. John se sert quelquefois de dc028 pour participer à des discussions dans des « Chats » sur internet mais John ne sait pas que certains de ces espaces de discussion gardent en mémoire l’IP de l’ordinateur connecté ! C’est sans doute pourquoi il n’hésite pas à utiliser dc028 le 29 Décembre 2001 pour discuter sur le chat d’un site érotique qu’il a l’habitude de fréquenter depuis 1998. Il a, c’est vrai, une excuse, son ordinateur personnel étant en panne, il n’avait pas pu se connecter à ce chat depuis deux mois !

John est-il notre hacker ? Difficile de le croire quand on le connaît mieux. A l’ « International Trade Administration » il s’occupe des importations d’acier argentin. Dans la vie privée il est passionné de musique, surtout celle de Jimmy Buffett et regrette que sa petite amie n’en soit pas fan. Il participe quant à lui très activement à une liste de discussion de groupies de Jimmy Buffett et il y passe un temps considérable puisque depuis le 12 Aout 2001, date de son inscription à la liste, il y a posté 1174 messages exprimant tour à tour sa vie, ses idées politiques et ses passions musicales. Pas un seul mot d’informatique par contre, ce qui rend peu probable, bien qu’il n’aime pas beaucoup les français, l’hypothèse que John soit notre hacker.

Alors peut-être est-ce… appelons le « Mike », un autre utilisateur de dc028 ? Mike est quant à lui spécialiste de la Russie et des pays de l’Est (il a même poursuivi, en 1994, des études à Yaroslavl, Tver, et St. Petersbourg dans le cadre de sa formation au Russian and East European Center de l’Université de l’Illinois). Mike s’occupe beaucoup de la formation des managers de Russie et des pays de l’Est dans le cadre d’un programme créé par l’ « International Trade Administration ». Mike n’a pas pensé un seul instant, le 7 Janvier 2002, qu’il allait laisser l’IP de dc028 avec son commentaire dans le guestbook d’un site web sur lequel il venait de lire un article. Difficile de croire, là aussi, que Mike soit notre hacker !

Si ce n’est pas John, si ce n’est pas Mike, si ce n’est pas un autre travailleur du Dimanche à l’ « International Trade Administration », serait-ce une prise de contrôle de dc028 par un pirate externe au Ministère américain du Commerce ? (ou de l’IP Spoofing qui consiste pour un pirate à cacher sa propre IP en la remplaçant par une autre, mais les spécialistes connaissent la difficulté technique de cette procédure !).

L’idée peut paraître farfelue tant on imagine a priori que les mesures de contrôle et de sécurité doivent être importantes et qu’un ordinateur ministériel américain ne doit pas être facilement piratable. Les tentatives sont certes extrêmement nombreuses, et la presse s’en fait régulièrement l’écho, mais de là à ce qu’un pirate réussisse à prendre le contrôle de dc028 pour venir pirater Strategic Road !

C’est du moins ce qu’on aurait pu penser jusqu’à la parution, le 3 Août 2001, d’un rapport du "General Accounting Office", ou GAO, qui est un organisme d’investigation du Congrès américain. Dans ce rapport Robert F. Dacey, "Director, Information Security Issues" au GAO, témoigne devant le "Subcommittee on Oversight and Investigations, Committee on Energy and Commerce, House of Representatives" de l’Audit effectué par le GAO pour tester la sécurité des systèmes informatiques du Département du Commerce.

Ce rapport, repris à l’époque par nombre de médias américains, montrait que les systèmes informatiques du Département du Commerce, et notamment ceux de à l’ « International Trade Administration », étaient de vraies passoires. Les systèmes de sécurité du Département du Commerce n’avaient par exemple détecté que 4 intrusions sur les mille effectuées par les "pirates" du GAO! Pire, le GAO avait lui-même constaté, sur certains ordinateurs, l’évidence d’intrusions antérieures de hackers !

Agent de l’ « International Trade Administration » ou hacker ayant pris le contrôle de dc028 ? Les deux hypothèses restent donc valides bien que l’on puisse imaginer que, depuis le rapport du GAO, de sérieuses mesures de sécurité aient été imposées au sein du Département du Commerce pour éviter toute intrusion (l’ « International Trade Administration » a effectivement recruté un « Chief Information Officer" qui a pris ses fonctions le 28 Juin 2001, le jour même où le GAO a présenté en interne le résultat de son audit et un "Operational Information Technology Plan" a été publié en Décembre 2001 mais le français Kitetoa trouvait encore récemment quelques failles).

Deux informations nous convainquent cependant que le pirate fait bien partie de l’ « International Trade Administration ». Quand le GAO a effectué ses 1000 tentatives d’intrusions sur les systèmes informatiques du Département du Commerce, il a enregistré deux contre-attaques :  « …one bureau responded to our scanning of their systems by scanning ours in return. In another bureau, a Commerce employee who detected our testing responded by launching a software attack against our systems…».

Il y a donc bien des hackers au sein du Département américain du Commerce !

La signature du 6 Janvier nous apporte une autre information : notre pirate ne s’est pas contenté d’un scan de vulnérabilités et d’une tentative d’accès au root, aux mots de passe et aux numéros de carte bleue éventuellement présents sur notre site. Il a aussi longuement recherché, en effet, si notre serveur n’abritait pas, en dehors des pages accessibles sur Strategic Road, des données cachées. Il a ainsi soigneusement vérifié l’existence possible de dossiers (ou directories) dont les noms sont autant de mots-clés soigneusement choisis. Et le pirate avait à l’évidence deux cibles distinctes : existence possible de fichiers de données cachées (bases de données, pages secrètes, forums cachés, fichiers logs et statistiques etc…) et existence possible d’images cachées de sexe et de pornographie.

Dans les deux cas il n'a rien trouvé mais il est quand même difficile d’imaginer qu’un hacker externe au Département du Commerce américain prenne le contrôle de dc028 pour pirater Strategic Road et venir y rechercher des images porno !

Beaucoup d'entreprises françaises devraient vérifier si « ita-cp-dcXXX.ita.doc.gov » ne se promène pas dans leurs systèmes informatiques (les 857 lignes de la signature de l’attaque du 6 Janvier sont publiées en intégralité dans le Club Strategic Road).

 



 Contactez-nous si vous désirez acquérir une licence vous
 autorisant à effectuer une copie de cette page sur votre DD ou Intranet



+Outils, Services... 






Nos sélections de logiciels
(veille, recherche, analyse, sécurité)

Parmi les
logiciels sélectionnés par Strategic-Road.com :

Oxygen Forensic Suite

 

Oxygen Forensic Suite is a PC software designed to extract the maximum information from mobile phones and smartphones for investigation purposes. This program played a significant role in criminal and other investigations in more than 20 countries of the world. One of the main software goals is a retrieval of the information that could be provided as a witness in court.

  • Oxygen Forensic is widely used all over the world. Among our clients there are Law Enforcement units, Police Departments, army, customs and tax services, and other government authorities. Since 2002 Oxygen Forensic has been successfully used in more than 20 countries over the world, including Great Britain, the USA, Germany, Netherlands, Australia, Sweden, Denmark, Norway, Finland and others.
  • Mobile phones information is of great value nowadays. Mobile phones play significant role in our life. People store a lot of important information in their cell-phones: telephone numbers, addresses, photos, e-mails, notes, messages, calls history, voice records, sounds etc. The growth of the data amount stored in mobile devices makes the fast, convenient and thorough data analysis much more important.
  • Oxygen Forensic can extract maximum of the important information. The program allows to read as much information from phone as possible without using an additional equipment: phone basic information and SIM-card data, contacts list (phone numbers, photo, e-mail, addresses, faxes etc), caller groups, log records (missed, outgoing and incoming calls), SMS, MMS and E-mail messages (including service data), calendar events schedule, To-Do items, text notes, photos, video, sound, Java and other files saved in the phone memory or on the flash card, voice records etc. The list of supported features depends on a certain phone model. With the help of Oxygen Forensic only it is possible to extract the unique data from Nokia Series 60 3rd Edition and Sony Ericsson UIQ3 smartphones, such as contacts, phone numbers, addresses, calls history and messages.
  • More than 300 mobile phone models are supported. And the list is rapidly growing! Oxygen Forensic can get data from Nokia, Vertu, Sony Ericsson, Samsung, Siemens, Motorola, Panasonic and other phones and smartphones. The list of supported phone models is constantly growing. Visit our site to get the most up-to-date version supporting the latest phone models.
  • Convenient analysis and data export, reports generation. Mobile phone information analysis could be done from the program directly or with the help of advanced export function. Reports could be created in the most popular file formats and then either printed or sent to remote departments and experts. Reports may contain information about a mobile phone owner, a person who performs an investigation, log number and other necessary information.
  • Guarantee of the data invariability. Oxygen Forensic guarantees mobile phone data invariability while accessing it from the program. The software operates in read-only mode. No data can be changed.
  • All national symbols support. Oxygen Forensic has a full support of Unicode standard. So the multilanguage information is read and shown correctly.
  • Oxygen Forensic Viewer – a special utility for remote analysis. If you need to send the extracted information outside, e.g. for analysis by remote experts, your colleagues can have the data presented in the same convenient interface as yours. Oxygen Forensic Viewer is a special view-only software for remote analysis of mobile phones data


Essayer / Acheter







Pas encore abonné au Club Strategic-Road ?
Découvrez les services réservés aux abonnés
Cliquez vite ici

(publicité)




Risque-Pays Alertes & Analyses
Country-Risk Alerts & Analysis

Réservé aux abonnés
du Club Strategic Road



Prospective
La montée des périls



Points chauds

Irak  Afghanistan  Pakistan
Zimbabwe  Georgie  Algérie  Inde 
Iran  Soudan  Somalie  Mauritanie  Liban
Sri Lanka Israel & Territoires

Indonésie  Colombie  Yemen  Niger  Mali
Tchad  Kenya  Congo DR  Maroc  Birmanie ...



L'actualité presse & web
Internationale International
Française French
par thème by topic
par pays by country
par secteur by sector

L'actualité en vidéo new
Internationale International
(Afrique  Amériques  Asie-Pacifique
Europe  Moyen-Orient)

Campagne USA 2008

Economique Business
(Prix du pétrole  Récession US
Science & Technologie
(Environnement  Climat)

  Les blogs de nos experts
Risque-Pays.info - JPMiginiac
F Bordonaro

Plus de contenus dans l'actualité



Strategic-Road.com collecte et sélectionne en permanence les informations et analyses essentielles aux voyageurs, expatriés, entreprises et organisations présentes à l'international.

Accédez à notre veille quotidienne, par pays, par zone géostratégique et par thème, sur les informations et analyses politiques, sécuritaires, sanitaires, climatiques...



Réservé aux abonnés
du Club Strategic Road


Vous gagnerez un temps considérable dans votre suivi des évènements pouvant affecter vos risques internationaux (activités, investissements, marchés...)

Nos dispositifs spéciaux

Dispositif spécial de veille
sur le conflit en Georgie

Dispositif spécial de veille sur l'Iran

Réservé aux abonnés
du Club Strategic Road




Nos autres services

Recherche, veille & monitoring
de sources d'information spécifiques

Information search and watch services

Vous serez informé en temps réel des évènements pouvant affecter vos risques spécifiques.


Analyses prospectives Risque Pays
Country Risk forward-looking Analysis

Vous disposerez des analyses des meilleurs experts sur la prospective de vos risques spécifiques.


Aussi dans Strategic-Road.com


Nos sélections de Sources Ouvertes

Spécial Finance


Nos Dossiers spéciaux


Campagne USA 2008

Corruption & criminalité économique
Bribery & economic crime

Réchauffement climatique
Global warming

Autres dossiers, more...


et nos dossiers d'information pays
and our country information topics
(actualité en continu, information générale,
politique, économique, institutionnelle...
tourisme, risque voyage, risque sanitaire...)



Nos sélections de logiciels
(veille, recherche, analyse, sécurité)

Parmi les logiciels sélectionnés
par Strategic-Road.com :


  WebSite-Watcher Business



L'outil de monitoring

WebSite-Watcher allows you to monitor your favorite websites for updates and changes with a minimum of time and online costs. Now you can monitor your competition without having to lift a finger! When changes in a website are detected, WebSite-Watcher saves the last two versions to your hard disk and highlights all changes in the text...

Essayer / Acheter 

Voir aussi : WebSite-Watcher Basic
WebSite-Watcher Personnal

Nos autres sélections de logiciels


Edition spéciale
Information Management
Business Directory