|
|
|
Essential
open sources, essential informations
Strategic Intelligence, Business Intelligence, Competitive
Intelligence
Geopolitics, International relations, Security, Risks
Conditions
d'utilisation
Accueil
/ Dossiers
/ Mise à jour 22/04/2002
|
|
|
|
(Publicité)
|
|
|
Les
drôles de hackers du
département US du Commerce
Ou la tentative
de piratage de Strategic Road par un ordinateur ministériel américain.
par Jean-Philippe
MIGINIAC - 22/04/2002
Strategic Road est régulièrement
victime de tentatives d’intrusion et de piratage, comme beaucoup d’autres
sites web ou de systèmes informatiques connectés à internet.
Les attaques de hackers se sont répandues avec la multiplication de ceux qui se
définissent comme des passionnés voulant avant tout comprendre le
fonctionnement des systèmes informatiques et tester à la fois la capacité des
outils et leurs connaissances. Elles se sont répandues, surtout, avec la
multiplication des script-kiddies qui sont des débutants n’ayant pas de
compétences très avancées. Les script-kiddies se contentent généralement d’utiliser
des logiciels de hack prêts à l’emploi qui scannent automatiquement le web
à la recherche de systèmes vulnérables. La plupart des entreprises et la
quasi-totalité des particuliers connectés ne s’aperçoivent même pas de ces
attaques.
Les
motivations des hackers sont cependant rarement le fun ou le challenge et chacun
devrait s’intéresser de prêt aux tentatives d’intrusion et de piratage de
son système informatique comme nous le faisons nous même constamment à
Strategic Road. Notre expérience de la recherche d’informations et de la
veille sur internet nous a appris en effet à considérer ce que nous appelons
la « contre-veille » comme une des méthodes essentielles de notre
métier (voir pour nos abonnés au Club
Strategic Road : « Qui visite votre site, comment et pourquoi
? », une série de fiches professionnelles dans lesquels sont détaillées
les méthodes de contre-veille).
|
|
|
|
Une étude attentive des fichiers historiques d’un système informatique (les
logs générés par les logiciels serveurs) permet notamment de constater toute
activité inhabituelle sur le serveur connecté à internet et de repérer les
tentatives d’intrusion et de piratage. L’information donnée par ces logs
permet de connaître le nom de l’ordinateur qui visite le serveur (l’IP) et
de savoir quels fichiers il télécharge mais d’autres données sont
également accessibles (d’où vient le visiteur, quelles commandes il exécute
sur le serveur, quel est le résultat de ces commandes, quel outil il utilise
pour se connecter etc…). Ces données sont très utiles aux responsables de la
sécurité des systèmes d’information mais sont malheureusement encore peu
utilisées par les spécialistes de la veille.
Beaucoup de tentatives d’intrusions
et de piratage se traduisent par quelques dizaines de lignes de logs, le hacker
testant le plus discrètement possible quelques vulnérabilités éventuelles du
serveur pour préparer une tentative d’intrusion future. Malgré cette
discrétion, les tentatives sont assez facile à détecter, même pour un
non-spécialiste et même dans des logs comportant plusieurs dizaines de
milliers de lignes, car les commandes utilisées et les fichiers auxquels le
pirate tente d’accéder laissent une trace visuelle très différente de l’activité
normale du serveur. On peut même identifier des signatures caractéristiques de
certains types d’attaques ou de certaines origines d’attaques.
Une attaque intervenue le 6
Janvier dernier sur le serveur de Strategic Road nous a quant à elle laissé
une impression visuelle assez inoubliable, un vrai feu d’artifice, 857 lignes
de logs d’un seul bloc et presque autant de destinations IP (l’adresse
interne des cibles) différentes !
L’attaque du 6 Janvier
correspond à ce que les spécialistes de la sécurité appellent un « Scan
de vulnérabilité », une vulnérabilité correspondant à un moyen
particulier de détourner le fonctionnement normal d’une application pour
tenter de s’introduire dans un système ou pour le mettre hors fonction. En
scannant ainsi un système, un hacker essaie de déterminer si telle ou telle
application est installée sur le système pour en déduire, connaissant les
failles (vulnérabilités) de chacune des applications, comment et avec quels
outils il va pouvoir agir pour exploiter ces failles. En général un scan de
vulnérabilités précède une attaque mais certains scanners sont aujourd’hui
capables d’exploiter les vulnérabilités dans la foulée.
Certains hackers
effectuent des scan de vulnérabilité sur des systèmes cibles non pour tenter
de s’y introduire ou pour le mettre hors fonction mais simplement pour le
plaisir de découvrir des failles et en alerter l’administrateur du système
cible afin que celui-ci corrige les failles de sécurité de son système (c’est
notamment en France le cas de Kitetoa).
Depuis le 6 Janvier, aucun hacker
ne nous a contacté pour nous informer de failles découvertes dans notre
système ! Avec 857 destinations IP, le pirate a pourtant tenté de
découvrir un nombre assez considérable de vulnérabilités dont celles qui lui
auraient permis de prendre le root (en d’autres termes le contrôle total) du
système, celles qui lui auraient permis de percer les mots de passe de notre
système et ceux du Club Strategic Road et celles qui lui auraient permis d’atteindre
d’éventuels numéros de carte bleue si de telles informations avaient été
présentes sur notre système. Peut-être n’avait-il aucune raison de nous
alerter puisque les vérifications effectuées nous ont convaincu que sa
tentative avait entièrement échoué.
Ce qui nous a amusé, par contre,
c’est la découverte de l’IP du visiteur, présente en tête de chacune des
857 lignes de logs : « ita-cp-dc028.ita.doc.gov »
Tout veilleur assidu des sites
gouvernementaux américains aura identifié immédiatement une partie de l’IP :
« ita.doc.gov » c’est l’ « International Trade
Administration » du « Department of Commerce » du Gouvernement
des Etats-Unis.
Surprenant, non ? le
Gouvernement des Etats unis qui vient « tester » la sécurité de
Strategic Road !
N’ayant eu aucune réponse au
message e-mail que nous avons adressé le 8 Janvier à Franck Eggert, « ITA’s
Information Technology Security Officer » pour lui demander quelques
explications, nous nous sommes interessés de plus près à ce drôle d’ordinateur
ministériel américain qui a tenté de pirater Strategic Road.
« ita-cp-dc028.ita.doc.gov »,
appelons le dc028, est un ordinateur un peu particulier au sein de l’
« International Trade Administration ». Contrairement aux autres
ordinateurs dcXXX (à l’exception de dc023 il y a quelques années), il laisse
beaucoup de traces sur internet et comme il dispose d’une connection directe
(sans passer par l’intermédiaire d’un proxy) et d’un IP fixe, il est
facile de retrouver cette trace dans les méandres de la toile (veilleurs qui
disposez d’un IP fixe, soyez prudents !). Nous avons donc pu (en toute
légalité) lancer quelques investigations pour tenter d’en savoir un peu plus
sur notre agresseur.
Beaucoup de pages de
statistiques de visites de sites web sont disponibles en accès libre sur le web
et ces pages gardent, dans leurs archives, mention des IP des visiteurs
comptabilisés. Il est ainsi possible de suivre dc028 dans ses surfs en Russie,
en Allemagne, au Kyrgyztan, au Portugal, au Liban etc… et de voir les centres
d’intérêt de ses visites sur des sites aux Etats-Unis où il s’intéresse
par exemple à la musique, à la cuisine indienne, à la bio-informatique, aux
logiciels de surveillance d’e-mails, à plusieurs universités et associations
d’anciens élèves et à des Casinos
online (l’ « International Trade Administration » permet
à ses agents d’utiliser dc028 en dehors de leurs heures de travail).
Un de ces agents était peut-être
assis devant dc028 ce 6 Janvier dernier à 17 heures locales, à moins que ce
Dimanche là un hacker, quelque part dans le monde, se soit emparé du contrôle
de dc028 pour venir « tester » la sécurité de Strategic
Road ?
Parmi les utilisateurs habituels
de dc028, il y a… appelons le « John ». Son arrivée dans les
bureaux de l’ « International Trade Administration » a été
saluée dans la lettre interne du 25 Juillet 2001 qui l’a gratifié d’un
« Welcome » sympathique. John se sert quelquefois de dc028 pour
participer à des discussions dans des « Chats » sur internet mais
John ne sait pas que certains de ces espaces de discussion gardent en mémoire l’IP
de l’ordinateur connecté ! C’est sans doute pourquoi il n’hésite
pas à utiliser dc028 le 29 Décembre 2001 pour discuter sur le chat d’un site
érotique qu’il a l’habitude de fréquenter depuis 1998. Il a, c’est vrai,
une excuse, son ordinateur personnel
étant en panne, il n’avait pas pu se connecter à ce chat depuis deux mois !
John est-il notre hacker ?
Difficile de le croire quand on le connaît mieux. A l’ « International
Trade Administration » il s’occupe des importations d’acier
argentin. Dans la vie privée il est passionné de musique, surtout celle de
Jimmy Buffett et regrette que sa petite amie n’en soit pas fan. Il participe
quant à lui très activement à une liste de discussion de groupies de Jimmy
Buffett et il y passe un temps considérable puisque depuis le 12 Aout 2001,
date de son inscription à la liste, il y a posté 1174 messages exprimant tour
à tour sa vie, ses idées politiques et ses passions musicales. Pas un seul mot
d’informatique par contre, ce qui rend peu probable, bien
qu’il n’aime pas beaucoup les français, l’hypothèse que John soit
notre hacker.
Alors peut-être est-ce…
appelons le « Mike », un autre utilisateur de dc028 ? Mike est
quant à lui spécialiste de la Russie et des pays de l’Est (il a même
poursuivi, en 1994, des études à Yaroslavl, Tver, et St. Petersbourg dans le
cadre de sa formation au Russian and East European Center de l’Université de
l’Illinois). Mike s’occupe beaucoup de la formation des managers de Russie
et des pays de l’Est dans le cadre d’un programme créé par l’
« International Trade Administration ». Mike n’a pas pensé un
seul instant, le 7 Janvier 2002, qu’il allait laisser l’IP de dc028 avec son
commentaire dans le guestbook d’un
site web sur lequel il venait de lire un article. Difficile de croire, là
aussi, que Mike soit notre hacker !
Si ce n’est pas John, si ce n’est
pas Mike, si ce n’est pas un autre travailleur du Dimanche à l’
« International Trade Administration », serait-ce une prise de
contrôle de dc028 par un pirate externe au Ministère américain du
Commerce ? (ou de l’IP Spoofing qui consiste pour un pirate à cacher sa
propre IP en la remplaçant par une autre, mais les spécialistes connaissent la
difficulté technique de cette procédure !).
L’idée peut paraître farfelue
tant on imagine a priori que les mesures de contrôle et de sécurité doivent
être importantes et qu’un ordinateur ministériel américain ne doit pas
être facilement piratable. Les tentatives sont certes extrêmement nombreuses,
et la presse s’en fait régulièrement l’écho, mais de là à ce qu’un
pirate réussisse à prendre le contrôle de dc028 pour venir pirater Strategic
Road !
C’est du moins ce qu’on
aurait pu penser jusqu’à la parution, le 3 Août 2001, d’un rapport du
"General Accounting Office", ou GAO, qui est un organisme d’investigation du
Congrès américain. Dans ce rapport
Robert F. Dacey, "Director, Information Security Issues" au GAO,
témoigne devant le "Subcommittee on Oversight and Investigations,
Committee on Energy and Commerce, House of Representatives" de l’Audit
effectué par le GAO pour tester la sécurité des systèmes informatiques du
Département du Commerce.
Ce rapport, repris
à l’époque par nombre de médias américains, montrait que les systèmes
informatiques du Département du Commerce, et notamment ceux de à l’
« International Trade Administration », étaient de vraies
passoires. Les systèmes de sécurité du Département du Commerce n’avaient
par exemple détecté que 4 intrusions sur les mille effectuées par les
"pirates" du GAO! Pire, le GAO avait lui-même constaté, sur certains
ordinateurs, l’évidence d’intrusions antérieures de hackers !
Agent de l’
« International Trade Administration » ou hacker ayant pris le
contrôle de dc028 ? Les deux hypothèses restent donc valides bien que l’on
puisse imaginer que, depuis le rapport du GAO, de sérieuses mesures de
sécurité aient été imposées au sein du Département du Commerce pour
éviter toute intrusion (l’ « International Trade Administration »
a effectivement recruté un « Chief Information Officer" qui
a pris ses fonctions le 28 Juin 2001, le jour même où le GAO a présenté
en interne le résultat de son audit et un "Operational
Information Technology Plan" a été publié en Décembre 2001 mais le
français Kitetoa trouvait
encore récemment quelques failles).
Deux informations nous
convainquent cependant que le pirate fait bien partie de l’
« International Trade Administration ». Quand le GAO a effectué ses
1000 tentatives d’intrusions sur les systèmes informatiques du Département
du Commerce, il a enregistré deux contre-attaques : « …one
bureau responded to our scanning of their systems by scanning ours in return. In
another bureau, a Commerce employee who detected our
testing responded by launching a software attack against our systems…».
Il y a donc bien des hackers au sein du Département américain du
Commerce !
La signature du 6 Janvier nous
apporte une autre information : notre pirate ne s’est pas contenté d’un
scan de vulnérabilités et d’une tentative d’accès au root, aux mots de
passe et aux numéros de carte bleue éventuellement présents sur notre site.
Il a aussi longuement recherché, en effet, si notre serveur n’abritait pas,
en dehors des pages accessibles sur Strategic Road, des données cachées. Il a
ainsi soigneusement vérifié l’existence possible de dossiers (ou directories)
dont les noms sont autant de mots-clés soigneusement choisis. Et le pirate
avait à l’évidence deux cibles distinctes : existence possible de
fichiers de données cachées (bases de données, pages secrètes, forums
cachés, fichiers logs et statistiques etc…) et existence possible d’images
cachées de sexe et de pornographie.
Dans les deux cas il n'a rien
trouvé mais il est quand même difficile d’imaginer
qu’un hacker externe au Département du Commerce américain prenne le
contrôle de dc028 pour pirater Strategic Road et venir y rechercher des images
porno !
Beaucoup d'entreprises françaises
devraient vérifier
si « ita-cp-dcXXX.ita.doc.gov » ne se promène pas dans leurs
systèmes informatiques (les 857 lignes de la signature de l’attaque du 6
Janvier sont publiées en intégralité dans le Club
Strategic Road).
|
|
|
|
|
|
Contactez-nous
si vous désirez acquérir une licence vous
autorisant à effectuer une copie de cette page sur votre DD ou
Intranet
|
+Outils,
Services...
Nos
sélections de logiciels
(veille, recherche,
analyse, sécurité)
Parmi
les
logiciels sélectionnés par Strategic-Road.com :
Oxygen
Forensic Suite
|
|
Oxygen Forensic Suite is a PC software designed to
extract the maximum information from mobile phones and
smartphones for investigation purposes. This program
played a significant role in criminal and other
investigations in more than 20 countries of the world.
One of the main software goals is a retrieval of the
information that could be provided as a witness in
court.
- Oxygen
Forensic is widely used all over the world. Among
our clients there are Law Enforcement units,
Police Departments, army, customs and tax
services, and other government authorities. Since
2002 Oxygen Forensic has been successfully used in
more than 20 countries over the world, including
Great Britain, the USA, Germany, Netherlands,
Australia, Sweden, Denmark, Norway, Finland and
others.
- Mobile
phones information is of great value nowadays.
Mobile phones play significant role in our life.
People store a lot of important information in
their cell-phones: telephone numbers, addresses,
photos, e-mails, notes, messages, calls history,
voice records, sounds etc. The growth of the data
amount stored in mobile devices makes the fast,
convenient and thorough data analysis much more
important.
- Oxygen
Forensic can extract maximum of the important
information. The program allows to read as much
information from phone as possible without using
an additional equipment: phone basic information
and SIM-card data, contacts list (phone numbers,
photo, e-mail, addresses, faxes etc), caller
groups, log records (missed, outgoing and incoming
calls), SMS, MMS and E-mail messages (including
service data), calendar events schedule, To-Do
items, text notes, photos, video, sound, Java and
other files saved in the phone memory or on the
flash card, voice records etc. The list of
supported features depends on a certain phone
model. With the help of Oxygen Forensic only it is
possible to extract the unique data from Nokia
Series 60 3rd Edition and Sony Ericsson UIQ3
smartphones, such as contacts, phone numbers,
addresses, calls history and messages.
- More
than 300 mobile phone models are supported. And
the list is rapidly growing! Oxygen Forensic can
get data from Nokia, Vertu, Sony Ericsson,
Samsung, Siemens, Motorola, Panasonic and other
phones and smartphones. The list of supported
phone models is constantly growing. Visit our site
to get the most up-to-date version supporting the
latest phone models.
- Convenient
analysis and data export, reports generation.
Mobile phone information analysis could be done
from the program directly or with the help of
advanced export function. Reports could be created
in the most popular file formats and then either
printed or sent to remote departments and experts.
Reports may contain information about a mobile
phone owner, a person who performs an
investigation, log number and other necessary
information.
- Guarantee
of the data invariability. Oxygen Forensic
guarantees mobile phone data invariability while
accessing it from the program. The software
operates in read-only mode. No data can be changed.
- All
national symbols support. Oxygen Forensic has a
full support of Unicode standard. So the
multilanguage information is read and shown
correctly.
- Oxygen
Forensic Viewer – a special utility for remote
analysis. If you need to send the extracted
information outside, e.g. for analysis by remote
experts, your colleagues can have the data
presented in the same convenient interface as
yours. Oxygen Forensic Viewer is a special
view-only software for remote analysis of mobile
phones data
Essayer
/ Acheter
|
|
|
Pas
encore abonné
au Club Strategic-Road ?
Découvrez les services
réservés aux abonnés
Cliquez
vite ici
|
|
|
|
Prospective
La montée des périls
Points
chauds
Irak
Afghanistan Pakistan
Zimbabwe
Georgie Algérie
Inde
Iran Soudan Somalie Mauritanie Liban
Sri
Lanka Israel & Territoires
Indonésie Colombie Yemen
Niger Mali
Tchad Kenya Congo DR Maroc Birmanie ...
|
L'actualité presse & web
Internationale
International
Française
French
par thème
by topic
par pays by
country
par secteur
by
sector
L'actualité
en vidéo
new
Internationale
International
(Afrique
Amériques
Asie-Pacifique
Europe
Moyen-Orient)
Campagne
USA 2008
Economique
Business
(Prix
du pétrole Récession
US
Science & Technologie
(Environnement
Climat)
Les blogs de nos experts
Risque-Pays.info
- JPMiginiac
F Bordonaro
Plus
de contenus dans l'actualité
Strategic-Road.com
collecte et sélectionne en
permanence les informations et analyses essentielles aux voyageurs, expatriés, entreprises et organisations présentes à
l'international.
Accédez
à notre veille quotidienne, par pays, par zone géostratégique et par thème, sur les
informations et analyses politiques, sécuritaires, sanitaires,
climatiques...
Réservé
aux abonnés
du Club
Strategic Road
Vous
gagnerez un temps considérable dans votre suivi des évènements
pouvant affecter vos risques internationaux
(activités, investissements, marchés...)
|
Nos
dispositifs spéciaux
Dispositif spécial
de veille
sur le conflit en Georgie
Dispositif spécial de veille sur l'Iran
Réservé
aux abonnés
du Club
Strategic Road
Nos
autres services
Recherche,
veille & monitoring
de sources d'information spécifiques
Information
search and watch services
Vous
serez informé en temps réel des évènements pouvant affecter vos
risques spécifiques.
Analyses
prospectives Risque Pays
Country
Risk forward-looking Analysis
Vous
disposerez des analyses des meilleurs experts sur la prospective de
vos risques spécifiques.
|
Aussi
dans Strategic-Road.com
Nos
sélections de Sources Ouvertes
Spécial
Finance
Nos
Dossiers
spéciaux
Campagne
USA 2008
Corruption
& criminalité économique
Bribery
& economic crime
Réchauffement
climatique
Global
warming
Autres dossiers,
more...
et
nos dossiers d'information pays
and
our country information topics
(actualité en continu, information générale,
politique, économique, institutionnelle...
tourisme, risque voyage, risque sanitaire...)
|
|
|
|
