Beaucoup de tentatives d’intrusions et de piratage se traduisent par quelques dizaines de lignes de logs, le hacker testant le plus discrètement possible quelques vulnérabilités éventuelles du serveur pour préparer une tentative d’intrusion future. Malgré cette discrétion, les tentatives sont assez facile à détecter, même pour un non-spécialiste et même dans des logs comportant plusieurs dizaines de milliers de lignes, car les commandes utilisées et les fichiers auxquels le pirate tente d’accéder laissent une trace visuelle très différente de l’activité normale du serveur. On peut même identifier des signatures caractéristiques de certains types d’attaques ou de certaines origines d’attaques.

Une attaque intervenue le 6 Janvier dernier sur le serveur de Strategic Road nous a quant à elle laissé une impression visuelle assez inoubliable, un vrai feu d’artifice, 857 lignes de logs d’un seul bloc et presque autant de destinations IP (l’adresse interne des cibles) différentes !

L’attaque du 6 Janvier correspond à ce que les spécialistes de la sécurité appellent un « Scan de vulnérabilité », une vulnérabilité correspondant à un moyen particulier de détourner le fonctionnement normal d’une application pour tenter de s’introduire dans un système ou pour le mettre hors fonction. En scannant ainsi un système, un hacker essaie de déterminer si telle ou telle application est installée sur le système pour en déduire, connaissant les failles (vulnérabilités) de chacune des applications, comment et avec quels outils il va pouvoir agir pour exploiter ces failles. En général un scan de vulnérabilités précède une attaque mais certains scanners sont aujourd’hui capables d’exploiter les vulnérabilités dans la foulée.

Depuis le 6 Janvier, aucun hacker ne nous a contacté pour nous informer de failles découvertes dans notre système ! Avec 857 destinations IP, le pirate a pourtant tenté de découvrir un nombre assez considérable de vulnérabilités dont celles qui lui auraient permis de prendre le root (en d’autres termes le contrôle total) du système, celles qui lui auraient permis de percer les mots de passe de notre système et ceux du Club Strategic Road et celles qui lui auraient permis d’atteindre d’éventuels numéros de carte bleue si de telles informations avaient été présentes sur notre système. Peut-être n’avait-il aucune raison de nous alerter puisque les vérifications effectuées nous ont convaincu que sa tentative avait entièrement échoué.

Ce qui nous a amusé, par contre, c’est la découverte de l’IP du visiteur, présente en tête de chacune des 857 lignes de logs : « ita-cp-dc028.ita.doc.gov »

Tout veilleur assidu des sites gouvernementaux américains aura identifié immédiatement une partie de l’IP : « ita.doc.gov » c’est l’ « International Trade Administration » du « Department of Commerce » du Gouvernement des Etats-Unis.

Surprenant, non ? le Gouvernement des Etats unis qui vient « tester » la sécurité de Strategic Road !

N’ayant eu aucune réponse au message e-mail que nous avons adressé le 8 Janvier à Franck Eggert, « ITA’s Information Technology Security Officer » pour lui demander quelques explications, nous nous sommes interessés de plus près à ce drôle d’ordinateur ministériel américain qui a tenté de pirater Strategic Road.

« ita-cp-dc028.ita.doc.gov », appelons le dc028, est un ordinateur un peu particulier au sein de l’ « International Trade Administration ». Contrairement aux autres ordinateurs dcXXX (à l’exception de dc023 il y a quelques années), il laisse beaucoup de traces sur internet et comme il dispose d’une connection directe (sans passer par l’intermédiaire d’un proxy) et d’un IP fixe, il est facile de retrouver cette trace dans les méandres de la toile (veilleurs qui disposez d’un IP fixe, soyez prudents !). Nous avons donc pu (en toute légalité) lancer quelques investigations pour tenter d’en savoir un peu plus sur notre agresseur.

Un de ces agents était peut-être assis devant dc028 ce 6 Janvier dernier à 17 heures locales, à moins que ce Dimanche là un hacker, quelque part dans le monde, se soit emparé du contrôle de dc028 pour venir « tester » la sécurité de Strategic Road ?

Parmi les utilisateurs habituels de dc028, il y a… appelons le « John ». Son arrivée dans les bureaux de l’ « International Trade Administration » a été saluée dans la lettre interne du 25 Juillet 2001 qui l’a gratifié d’un « Welcome » sympathique. John se sert quelquefois de dc028 pour participer à des discussions dans des « Chats » sur internet mais John ne sait pas que certains de ces espaces de discussion gardent en mémoire l’IP de l’ordinateur connecté ! C’est sans doute pourquoi il n’hésite pas à utiliser dc028 le 29 Décembre 2001 pour discuter sur le chat d’un site érotique qu’il a l’habitude de fréquenter depuis 1998. Il a, c’est vrai, une excuse, son ordinateur personnel étant en panne, il n’avait pas pu se connecter à ce chat depuis deux mois !

John est-il notre hacker ? Difficile de le croire quand on le connaît mieux. A l’ « International Trade Administration » il s’occupe des importations d’acier argentin. Dans la vie privée il est passionné de musique, surtout celle de Jimmy Buffett et regrette que sa petite amie n’en soit pas fan. Il participe quant à lui très activement à une liste de discussion de groupies de Jimmy Buffett et il y passe un temps considérable puisque depuis le 12 Aout 2001, date de son inscription à la liste, il y a posté 1174 messages exprimant tour à tour sa vie, ses idées politiques et ses passions musicales. Pas un seul mot d’informatique par contre, ce qui rend peu probable, bien qu’il n’aime pas beaucoup les français, l’hypothèse que John soit notre hacker.

Alors peut-être est-ce… appelons le « Mike », un autre utilisateur de dc028 ? Mike est quant à lui spécialiste de la Russie et des pays de l’Est (il a même poursuivi, en 1994, des études à Yaroslavl, Tver, et St. Petersbourg dans le cadre de sa formation au Russian and East European Center de l’Université de l’Illinois). Mike s’occupe beaucoup de la formation des managers de Russie et des pays de l’Est dans le cadre d’un programme créé par l’ « International Trade Administration ». Mike n’a pas pensé un seul instant, le 7 Janvier 2002, qu’il allait laisser l’IP de dc028 avec son commentaire dans le guestbook d’un site web sur lequel il venait de lire un article. Difficile de croire, là aussi, que Mike soit notre hacker !

Si ce n’est pas John, si ce n’est pas Mike, si ce n’est pas un autre travailleur du Dimanche à l’ « International Trade Administration », serait-ce une prise de contrôle de dc028 par un pirate externe au Ministère américain du Commerce ? (ou de l’IP Spoofing qui consiste pour un pirate à cacher sa propre IP en la remplaçant par une autre, mais les spécialistes connaissent la difficulté technique de cette procédure !).

L’idée peut paraître farfelue tant on imagine a priori que les mesures de contrôle et de sécurité doivent être importantes et qu’un ordinateur ministériel américain ne doit pas être facilement piratable. Les tentatives sont certes extrêmement nombreuses, et la presse s’en fait régulièrement l’écho, mais de là à ce qu’un pirate réussisse à prendre le contrôle de dc028 pour venir pirater Strategic Road !

La signature du 6 Janvier nous apporte une autre information : notre pirate ne s’est pas contenté d’un scan de vulnérabilités et d’une tentative d’accès au root, aux mots de passe et aux numéros de carte bleue éventuellement présents sur notre site. Il a aussi longuement recherché, en effet, si notre serveur n’abritait pas, en dehors des pages accessibles sur Strategic Road, des données cachées. Il a ainsi soigneusement vérifié l’existence possible de dossiers (ou directories) dont les noms sont autant de mots-clés soigneusement choisis. Et le pirate avait à l’évidence deux cibles distinctes : existence possible de fichiers de données cachées (bases de données, pages secrètes, forums cachés, fichiers logs et statistiques etc…) et existence possible d’images cachées de sexe et de pornographie.

Dans les deux cas il n'a rien trouvé mais il est quand même difficile d’imaginer qu’un hacker externe au Département du Commerce américain prenne le contrôle de dc028 pour pirater Strategic Road et venir y rechercher des images porno !

Beaucoup d'entreprises françaises devraient vérifier si « ita-cp-dcXXX.ita.doc.gov » ne se promène pas dans leurs systèmes informatiques (les 857 lignes de la signature de l’attaque du 6 Janvier sont publiées en intégralité dans le Club Strategic Road).