|
Une étude attentive des fichiers historiques d’un système informatique (les
logs générés par les logiciels serveurs) permet notamment de constater toute
activité inhabituelle sur le serveur connecté à internet et de repérer les
tentatives d’intrusion et de piratage. L’information donnée par ces logs
permet de connaître le nom de l’ordinateur qui visite le serveur (l’IP) et
de savoir quels fichiers il télécharge mais d’autres données sont
également accessibles (d’où vient le visiteur, quelles commandes il exécute
sur le serveur, quel est le résultat de ces commandes, quel outil il utilise
pour se connecter etc…). Ces données sont très utiles aux responsables de la
sécurité des systèmes d’information mais sont malheureusement encore peu
utilisées par les spécialistes de la veille.
Beaucoup de tentatives d’intrusions
et de piratage se traduisent par quelques dizaines de lignes de logs, le hacker
testant le plus discrètement possible quelques vulnérabilités éventuelles du
serveur pour préparer une tentative d’intrusion future. Malgré cette
discrétion, les tentatives sont assez facile à détecter, même pour un
non-spécialiste et même dans des logs comportant plusieurs dizaines de
milliers de lignes, car les commandes utilisées et les fichiers auxquels le
pirate tente d’accéder laissent une trace visuelle très différente de l’activité
normale du serveur. On peut même identifier des signatures caractéristiques de
certains types d’attaques ou de certaines origines d’attaques.
Une attaque intervenue le 6
Janvier dernier sur le serveur de Strategic Road nous a quant à elle laissé
une impression visuelle assez inoubliable, un vrai feu d’artifice, 857 lignes
de logs d’un seul bloc et presque autant de destinations IP (l’adresse
interne des cibles) différentes !
L’attaque du 6 Janvier
correspond à ce que les spécialistes de la sécurité appellent un « Scan
de vulnérabilité », une vulnérabilité correspondant à un moyen
particulier de détourner le fonctionnement normal d’une application pour
tenter de s’introduire dans un système ou pour le mettre hors fonction. En
scannant ainsi un système, un hacker essaie de déterminer si telle ou telle
application est installée sur le système pour en déduire, connaissant les
failles (vulnérabilités) de chacune des applications, comment et avec quels
outils il va pouvoir agir pour exploiter ces failles. En général un scan de
vulnérabilités précède une attaque mais certains scanners sont aujourd’hui
capables d’exploiter les vulnérabilités dans la foulée.
Certains hackers
effectuent des scan de vulnérabilité sur des systèmes cibles non pour tenter
de s’y introduire ou pour le mettre hors fonction mais simplement pour le
plaisir de découvrir des failles et en alerter l’administrateur du système
cible afin que celui-ci corrige les failles de sécurité de son système (c’est
notamment en France le cas de Kitetoa).
Depuis le 6 Janvier, aucun hacker
ne nous a contacté pour nous informer de failles découvertes dans notre
système ! Avec 857 destinations IP, le pirate a pourtant tenté de
découvrir un nombre assez considérable de vulnérabilités dont celles qui lui
auraient permis de prendre le root (en d’autres termes le contrôle total) du
système, celles qui lui auraient permis de percer les mots de passe de notre
système et ceux du Club Strategic Road et celles qui lui auraient permis d’atteindre
d’éventuels numéros de carte bleue si de telles informations avaient été
présentes sur notre système. Peut-être n’avait-il aucune raison de nous
alerter puisque les vérifications effectuées nous ont convaincu que sa
tentative avait entièrement échoué.
Ce qui nous a amusé, par contre,
c’est la découverte de l’IP du visiteur, présente en tête de chacune des
857 lignes de logs : « ita-cp-dc028.ita.doc.gov »
Tout veilleur assidu des sites
gouvernementaux américains aura identifié immédiatement une partie de l’IP :
« ita.doc.gov » c’est l’ « International Trade
Administration » du « Department of Commerce » du Gouvernement
des Etats-Unis.
Surprenant, non ? le
Gouvernement des Etats unis qui vient « tester » la sécurité de
Strategic Road !
N’ayant eu aucune réponse au
message e-mail que nous avons adressé le 8 Janvier à Franck Eggert, « ITA’s
Information Technology Security Officer » pour lui demander quelques
explications, nous nous sommes interessés de plus près à ce drôle d’ordinateur
ministériel américain qui a tenté de pirater Strategic Road.
« ita-cp-dc028.ita.doc.gov »,
appelons le dc028, est un ordinateur un peu particulier au sein de l’
« International Trade Administration ». Contrairement aux autres
ordinateurs dcXXX (à l’exception de dc023 il y a quelques années), il laisse
beaucoup de traces sur internet et comme il dispose d’une connection directe
(sans passer par l’intermédiaire d’un proxy) et d’un IP fixe, il est
facile de retrouver cette trace dans les méandres de la toile (veilleurs qui
disposez d’un IP fixe, soyez prudents !). Nous avons donc pu (en toute
légalité) lancer quelques investigations pour tenter d’en savoir un peu plus
sur notre agresseur.
Beaucoup de pages de
statistiques de visites de sites web sont disponibles en accès libre sur le web
et ces pages gardent, dans leurs archives, mention des IP des visiteurs
comptabilisés. Il est ainsi possible de suivre dc028 dans ses surfs en Russie,
en Allemagne, au Kyrgyztan, au Portugal, au Liban etc… et de voir les centres
d’intérêt de ses visites sur des sites aux Etats-Unis où il s’intéresse
par exemple à la musique, à la cuisine indienne, à la bio-informatique, aux
logiciels de surveillance d’e-mails, à plusieurs universités et associations
d’anciens élèves et à des Casinos
online (l’ « International Trade Administration » permet
à ses agents d’utiliser dc028 en dehors de leurs heures de travail).
Un de ces agents était peut-être
assis devant dc028 ce 6 Janvier dernier à 17 heures locales, à moins que ce
Dimanche là un hacker, quelque part dans le monde, se soit emparé du contrôle
de dc028 pour venir « tester » la sécurité de Strategic
Road ?
Parmi les utilisateurs habituels
de dc028, il y a… appelons le « John ». Son arrivée dans les
bureaux de l’ « International Trade Administration » a été
saluée dans la lettre interne du 25 Juillet 2001 qui l’a gratifié d’un
« Welcome » sympathique. John se sert quelquefois de dc028 pour
participer à des discussions dans des « Chats » sur internet mais
John ne sait pas que certains de ces espaces de discussion gardent en mémoire l’IP
de l’ordinateur connecté ! C’est sans doute pourquoi il n’hésite
pas à utiliser dc028 le 29 Décembre 2001 pour discuter sur le chat d’un site
érotique qu’il a l’habitude de fréquenter depuis 1998. Il a, c’est vrai,
une excuse, son ordinateur personnel
étant en panne, il n’avait pas pu se connecter à ce chat depuis deux mois !
John est-il notre hacker ?
Difficile de le croire quand on le connaît mieux. A l’ « International
Trade Administration » il s’occupe des importations d’acier
argentin. Dans la vie privée il est passionné de musique, surtout celle de
Jimmy Buffett et regrette que sa petite amie n’en soit pas fan. Il participe
quant à lui très activement à une liste de discussion de groupies de Jimmy
Buffett et il y passe un temps considérable puisque depuis le 12 Aout 2001,
date de son inscription à la liste, il y a posté 1174 messages exprimant tour
à tour sa vie, ses idées politiques et ses passions musicales. Pas un seul mot
d’informatique par contre, ce qui rend peu probable, bien
qu’il n’aime pas beaucoup les français, l’hypothèse que John soit
notre hacker.
Alors peut-être est-ce…
appelons le « Mike », un autre utilisateur de dc028 ? Mike est
quant à lui spécialiste de la Russie et des pays de l’Est (il a même
poursuivi, en 1994, des études à Yaroslavl, Tver, et St. Petersbourg dans le
cadre de sa formation au Russian and East European Center de l’Université de
l’Illinois). Mike s’occupe beaucoup de la formation des managers de Russie
et des pays de l’Est dans le cadre d’un programme créé par l’
« International Trade Administration ». Mike n’a pas pensé un
seul instant, le 7 Janvier 2002, qu’il allait laisser l’IP de dc028 avec son
commentaire dans le guestbook d’un
site web sur lequel il venait de lire un article. Difficile de croire, là
aussi, que Mike soit notre hacker !
Si ce n’est pas John, si ce n’est
pas Mike, si ce n’est pas un autre travailleur du Dimanche à l’
« International Trade Administration », serait-ce une prise de
contrôle de dc028 par un pirate externe au Ministère américain du
Commerce ? (ou de l’IP Spoofing qui consiste pour un pirate à cacher sa
propre IP en la remplaçant par une autre, mais les spécialistes connaissent la
difficulté technique de cette procédure !).
L’idée peut paraître farfelue
tant on imagine a priori que les mesures de contrôle et de sécurité doivent
être importantes et qu’un ordinateur ministériel américain ne doit pas
être facilement piratable. Les tentatives sont certes extrêmement nombreuses,
et la presse s’en fait régulièrement l’écho, mais de là à ce qu’un
pirate réussisse à prendre le contrôle de dc028 pour venir pirater Strategic
Road !
C’est du moins ce qu’on
aurait pu penser jusqu’à la parution, le 3 Août 2001, d’un rapport du
"General Accounting Office", ou GAO, qui est un organisme d’investigation du
Congrès américain. Dans ce rapport
Robert F. Dacey, "Director, Information Security Issues" au GAO,
témoigne devant le "Subcommittee on Oversight and Investigations,
Committee on Energy and Commerce, House of Representatives" de l’Audit
effectué par le GAO pour tester la sécurité des systèmes informatiques du
Département du Commerce.
Ce rapport, repris
à l’époque par nombre de médias américains, montrait que les systèmes
informatiques du Département du Commerce, et notamment ceux de à l’
« International Trade Administration », étaient de vraies
passoires. Les systèmes de sécurité du Département du Commerce n’avaient
par exemple détecté que 4 intrusions sur les mille effectuées par les
"pirates" du GAO! Pire, le GAO avait lui-même constaté, sur certains
ordinateurs, l’évidence d’intrusions antérieures de hackers !
Agent de l’
« International Trade Administration » ou hacker ayant pris le
contrôle de dc028 ? Les deux hypothèses restent donc valides bien que l’on
puisse imaginer que, depuis le rapport du GAO, de sérieuses mesures de
sécurité aient été imposées au sein du Département du Commerce pour
éviter toute intrusion (l’ « International Trade Administration »
a effectivement recruté un « Chief Information Officer" qui
a pris ses fonctions le 28 Juin 2001, le jour même où le GAO a présenté
en interne le résultat de son audit et un "Operational
Information Technology Plan" a été publié en Décembre 2001 mais le
français Kitetoa trouvait
encore récemment quelques failles).
Deux informations nous
convainquent cependant que le pirate fait bien partie de l’
« International Trade Administration ». Quand le GAO a effectué ses
1000 tentatives d’intrusions sur les systèmes informatiques du Département
du Commerce, il a enregistré deux contre-attaques : « …one
bureau responded to our scanning of their systems by scanning ours in return. In
another bureau, a Commerce employee who detected our
testing responded by launching a software attack against our systems…».
Il y a donc bien des hackers au sein du Département américain du
Commerce !
La signature du 6 Janvier nous
apporte une autre information : notre pirate ne s’est pas contenté d’un
scan de vulnérabilités et d’une tentative d’accès au root, aux mots de
passe et aux numéros de carte bleue éventuellement présents sur notre site.
Il a aussi longuement recherché, en effet, si notre serveur n’abritait pas,
en dehors des pages accessibles sur Strategic Road, des données cachées. Il a
ainsi soigneusement vérifié l’existence possible de dossiers (ou directories)
dont les noms sont autant de mots-clés soigneusement choisis. Et le pirate
avait à l’évidence deux cibles distinctes : existence possible de
fichiers de données cachées (bases de données, pages secrètes, forums
cachés, fichiers logs et statistiques etc…) et existence possible d’images
cachées de sexe et de pornographie.
Dans les deux cas il n'a rien
trouvé mais il est quand même difficile d’imaginer
qu’un hacker externe au Département du Commerce américain prenne le
contrôle de dc028 pour pirater Strategic Road et venir y rechercher des images
porno !
Beaucoup d'entreprises françaises
devraient vérifier
si « ita-cp-dcXXX.ita.doc.gov » ne se promène pas dans leurs
systèmes informatiques (les 857 lignes de la signature de l’attaque du 6
Janvier sont publiées en intégralité dans le Club
Strategic Road).
|
L'actualité presse & web
L'actualité
en vidéo
new
Les blogs de nos experts
