Il y a quelques années, le scénario de piratage typique impliquait un attaquant solitaire et peut-être quelques copains travaillant tard dans la nuit sur Mountain Dew, à la recherche d’adresses IP orientées vers le public. Lorsqu’ils en trouvaient une, ils énuméraient les services publicitaires (serveur Web, serveur SQL, etc.), s’introduisaient en utilisant une multitude de vulnérabilités, puis exploraient l’entreprise compromise à leur guise. Souvent, leur intention était exploratoire. S’ils ont fait quelque chose d’illégal, c’était généralement un crime d’opportunité sur un coup de tête.
Mon Dieu, comme les temps ont changé.
Lorsque l’on décrit un scénario de piratage typique, il faut aujourd’hui commencer bien avant le piratage ou même le pirate, avec l’organisation à l’origine de l’attaque. Aujourd’hui, le piratage est tout le crime, tout le temps, complet avec des marchés d’enchères pour les logiciels malveillants, les syndicats du crime, les botnets à louer, les acteurs étatiques et la cyberguerre devenue folle.
Voici les neuf plus grandes menaces auxquelles sont confrontés les pros de la sécurité informatique d’aujourd’hui.
- Menace n°1 : les syndicats du cybercrime
- Menace n° 2 : les escrocs à petite échelle — et les mules d’argent et les blanchisseurs qui les soutiennent
- Menace n°3 : les hacktivistes
- Menace n°4 : vol de propriété intellectuelle et espionnage d’entreprise
- Menace n°5 : les mercenaires du malware
- Menace n°6 : les botnets en tant que service
- Menace n° 7 : les logiciels malveillants tout-en-un
- Menace n°8 : Le web de plus en plus compromis
- Menace n°9 : la cyberguerre
- Crime et pas de punition
Menace n°1 : les syndicats du cybercrime
Bien que le cerveau criminel solitaire existe toujours, de nos jours, la plupart des attaques de piratage malveillantes sont le résultat de groupes organisés, dont beaucoup sont professionnels. Les groupes criminels organisés traditionnels qui s’occupaient de drogue, de jeux d’argent, de poursuites judiciaires et d’extorsion ont jeté leur chapeau dans le ring de l’argent en ligne, mais la concurrence est féroce, menée non pas par des mafiosos mais par plusieurs très grands groupes de criminels professionnels visant spécifiquement la cybercriminalité.
Plusieurs des syndicats organisés de cybercriminels les plus prospères sont des entreprises qui dirigent de grands groupes de conglomérats affiliés, un peu dans la veine des hiérarchies légales de marketing distribué. En fait, le cybercriminel d’aujourd’hui a probablement plus en commun avec un représentant d’Avon ou de Mary Kay que l’un ou l’autre ne veut l’admettre.
De petits groupes, avec quelques membres, piratent encore, mais de plus en plus, les pros de la sécurité informatique se heurtent à de grandes entreprises dédiées aux comportements voyous. Pensez aux employés à temps plein, aux départements RH, aux équipes de gestion de projet et aux chefs d’équipe. Et tout cela est criminel, il n’y a plus de messages amusants imprimés sur l’écran ou autres pitreries d’adolescents. La plupart d’entre elles opèrent au grand jour, et certaines, comme le Russian Business Network, ont même leur propre entrée sur Wikipédia. Cela vous fait un peu regretter l’époque d’antan, n’est-ce pas ?
La spécialisation et la division du travail sont au cœur de ces organisations. Un seul cerveau, ou un cercle intérieur, dirigera le collectif. Des sergents et des subdivisions se spécialiseront dans différents domaines, avec un bras dédié à la création de logiciels malveillants, un autre dédié au marketing, un autre qui met en place et maintient le canal de distribution, et un autre encore chargé de créer des botnets et de les louer à d’autres malfaiteurs (voir ci-dessous).
Il n’est pas étonnant que les pratiques de sécurité informatique populaires ne fonctionnent tout simplement pas contre les logiciels malveillants d’aujourd’hui, étant donné que la cybercriminalité a évolué en une industrie à plusieurs niveaux, axée sur les services, dont l’objectif flagrant est d’escroquer les entreprises et les personnes de leur argent et de leur propriété intellectuelle.
Menace n° 2 : les escrocs à petite échelle — et les mules d’argent et les blanchisseurs qui les soutiennent
Les organisations cybercriminelles ne sont pas toutes des syndicats ou des sociétés. Certaines sont simplement de nature entrepreneuriale, de petites entreprises après une chose : l’argent.
Ces opérations malveillantes de type mom-and-pop peuvent voler des identités et des mots de passe, ou provoquer une redirection néfaste pour les obtenir. Au bout du compte, ils veulent de l’argent. Ils initient des transactions frauduleuses par carte de crédit ou par banque et convertissent leurs gains mal acquis en monnaie locale à l’aide de mules, de distribution électronique d’argent, de banque en ligne ou d’une autre sorte de blanchiment d’argent.
Il n’est pas difficile de trouver des blanchisseurs d’argent. Il existe des dizaines, voire des centaines d’entités qui se font concurrence pour être celle qui obtiendra un gros pourcentage du butin obtenu illégalement. En fait, vous seriez surpris de la nature concurrentielle et publique de toutes les autres personnes qui supplient de faire des affaires de soutien avec les criminels de l’Internet. Ils annoncent un hébergement “sans questions”, “à l’épreuve des balles”, dans des pays éloignés des assignations à comparaître, et ils proposent des tableaux d’affichage publics, des offres spéciales sur les logiciels, une assistance téléphonique 24 heures sur 24 et 7 jours sur 7, des forums d’enchères, des références de clients satisfaits, des compétences en matière d’évitement des logiciels malveillants, et tout ce qui peut aider les autres à devenir de meilleurs criminels en ligne. Un bon nombre de ces groupes gagnent des dizaines de millions de dollars chaque année.
Plusieurs de ces groupes et des personnes à leur origine ont été identifiés (et arrêtés) au cours des dernières années. Leurs profils sur les médias sociaux montrent des gens heureux avec de grandes maisons, des voitures de luxe et des familles satisfaites qui prennent des vacances à l’étranger. S’ils sont un tant soit peu coupables d’avoir volé de l’argent aux autres, cela ne se voit pas.
Imaginez les barbecues de quartier où ils disent aux voisins et aux amis qu’ils dirigent une “entreprise de marketing Internet” — tout en faisant de l’ingénierie sociale pour gagner des millions à la consternation des pros de la sécurité informatique qui ont fait à peu près tout ce qu’il est possible de faire pour protéger les utilisateurs d’eux-mêmes.
Menace n°3 : les hacktivistes
Alors que les fanfaronnades d’exploitation n’étaient pas rares au début, le cybercriminel d’aujourd’hui cherche à voler sous le radar — à l’exception des légions croissantes d’hacktivistes.
Les pros de la sécurité informatique doivent faire face à un nombre croissant de confédérations lâches d’individus dédiés au militantisme politique, comme le tristement célèbre groupe Anonymous. Les hackers à motivation politique existent depuis que le hacking est né. Le grand changement est qu’ils le font de plus en plus ouvertement et que la société le reconnaît comme une forme acceptée d’activisme politique.
Les groupes de piratage politique communiquent souvent, anonymement ou non, dans des forums ouverts annonçant à l’avance leurs cibles et leurs outils de piratage. Ils rassemblent plus de membres, portent leurs doléances dans les médias pour obtenir le soutien du public, et font mine de s’étonner s’ils sont arrêtés pour leurs actes illégaux. Leur intention est d’embarrasser et d’attirer l’attention négative des médias sur la victime autant que possible, qu’il s’agisse de pirater des informations sur les clients, de commettre des attaques par déni de service distribué (DDoS) ou simplement de causer à l’entreprise victime des troubles supplémentaires.
Le hacktivisme politique a le plus souvent l’intention de causer une douleur monétaire à sa victime dans le but de modifier son comportement. Les individus peuvent être des dommages collatéraux dans ce combat et, que l’on croie ou non à la cause politique de l’hacktiviste, l’intention et la méthodologie restent criminelles.
Menace n°4 : vol de propriété intellectuelle et espionnage d’entreprise
La plupart des pros de la sécurité informatique doivent faire face au grand groupe de hackers malveillants qui volent la propriété intellectuelle des entreprises ou font de l’espionnage d’entreprise pur et simple. Leur méthode consiste à s’introduire dans les actifs informatiques d’une entreprise, à vider tous les mots de passe et, au fil du temps, à voler des gigaoctets d’informations confidentielles : brevets, idées de nouveaux produits, secrets militaires, informations financières, plans d’affaires, etc. Ils transmettent des informations précieuses à leurs clients pour en tirer un gain financier, et restent cachés à l’intérieur du réseau de l’entreprise compromise aussi longtemps que possible.
Pour récolter leurs récompenses, ils écoutent les courriels importants, pillent les bases de données et ont accès à tant d’informations que beaucoup ont commencé à développer leurs propres moteurs de recherche malveillants et leurs outils de requête pour séparer le fourrage de la propriété intellectuelle plus intéressante.
Ce type d’attaquant est connu comme une menace persistante avancée (APT) ou un adversaire humain déterminé (DHA). Rares sont les grandes entreprises qui n’ont pas été compromises avec succès par ces campagnes.
Menace n°5 : les mercenaires du malware
Quelle que soit l’intention ou le groupe derrière le cybercrime, quelqu’un doit fabriquer le malware. Dans le passé, un seul programmeur fabriquait des logiciels malveillants pour son propre usage, ou peut-être pour les vendre. Aujourd’hui, des équipes et des entreprises se consacrent exclusivement à la création de logiciels malveillants destinés à contourner des défenses de sécurité spécifiques, à attaquer des clients particuliers et à atteindre des objectifs précis. Ils sont vendus sur le marché libre dans des forums d’enchères.
Souvent, les logiciels malveillants sont multiphases et composés. Un petit programme d’attente est chargé de l’exploitation initiale de l’ordinateur de la victime et, une fois qu’il a été placé en lieu sûr pour qu’il survive à un redémarrage, il contacte un serveur Web “mère” pour obtenir des instructions supplémentaires. Souvent, le programme initial envoie des requêtes DNS à la recherche du vaisseau-mère, lui-même souvent un ordinateur compromis agissant temporairement comme un vaisseau-mère. Ces requêtes DNS sont envoyées à des serveurs DNS qui sont tout aussi susceptibles d’être des ordinateurs victimes innocents et infectés. Les serveurs DNS se déplacent d’ordinateur en ordinateur, tout comme les serveurs web du vaisseau-mère.
Une fois contactés, le serveur DNS et le vaisseau-mère redirigent souvent le client stub initiateur vers d’autres serveurs DNS et vaisseau-mère. De cette façon, le client stub est dirigé encore et encore (souvent plus d’une douzaine de fois) vers des ordinateurs nouvellement exploités, jusqu’à ce que finalement le programme stub reçoive ses instructions finales et que le programme malveillant plus permanent soit installé. Cette configuration rend très difficile la défense des professionnels de la sécurité informatique contre leurs marchandises.
Menace n°6 : les botnets en tant que service
Les botnets ne sont plus seulement destinés à leurs créateurs. Ayant plus que probablement acheté le programme malveillant qui crée le bot, les propriétaires d’aujourd’hui utiliseront le botnet pour eux-mêmes ou le loueront à d’autres à l’heure ou à un autre métrage.
La méthodologie est familière. Chaque version du programme malveillant tente d’exploiter jusqu’à des dizaines de milliers d’ordinateurs dans le but de créer un botnet unique qui fonctionnera à la demande de son créateur. Chaque robot du botnet se connecte finalement à son ou ses serveurs de commande et de contrôle (C&C) pour recevoir ses dernières instructions. Ces instructions comprennent souvent le dépôt d’un programme de rançongiciel. Des botnets ont été trouvés avec des centaines de milliers d’ordinateurs infectés.
Maintenant qu’il y a tant de botnets actifs (des dizaines de millions d’ordinateurs infectés chaque jour), les locations de botnets sont assez bon marché, ce qui signifie d’autant plus de problèmes pour les pros de la sécurité informatique.
Les combattants des logiciels malveillants tenteront souvent de mettre hors service les serveurs C&C ou de les prendre en charge afin de pouvoir donner l’ordre aux bots qui se connectent de désinfecter leurs ordinateurs hôtes et de mourir.
Menace n° 7 : les logiciels malveillants tout-en-un
Les logiciels malveillants sophistiqués offrent souvent des fonctionnalités tout-en-un, de la soupe aux noix. Ils ne se contentent pas d’infecter l’utilisateur final, mais s’introduisent également dans des sites Web et les modifient pour aider à infecter davantage de victimes. Ces programmes malveillants tout-en-un sont souvent accompagnés de consoles de gestion afin que leurs propriétaires et créateurs puissent suivre ce que fait le botnet, qui ils infectent et lesquels ont le plus de succès.
La plupart des programmes malveillants sont des chevaux de Troie. Les virus et les vers informatiques ne sont plus, depuis longtemps, les types de logiciels malveillants les plus populaires. Dans la plupart des cas, l’utilisateur final est incité à exécuter un cheval de Troie annoncé comme une analyse antivirus nécessaire, un outil de défragmentation du disque ou un autre utilitaire apparemment essentiel ou inoffensif. Les défenses normales de l’utilisateur sont trompées car, la plupart du temps, la page Web proposant l’exécutable malveillant est un site de confiance qu’il a visité à de nombreuses reprises. Les méchants ont simplement compromis le site, à l’aide d’une foule d’astuces, et inséré quelques lignes de JavaScript qui redirigent les navigateurs de l’utilisateur vers le programme du cheval de Troie.
Menace n°8 : Le web de plus en plus compromis
Au niveau le plus élémentaire, un site web est simplement un ordinateur, tout comme un poste de travail d’utilisateur final ordinaire. À leur tour, les webmasters sont des utilisateurs finaux comme tout le monde. Il n’est pas surprenant de constater que le Web légitime est jonché de liens de redirection JavaScript malveillants.
Ce n’est pas entièrement une question d’exploitation des ordinateurs des webmasters qui conduit à l’augmentation des compromissions de serveurs Web. Plus souvent, les attaquants trouvent une faiblesse ou une vulnérabilité dans un site web qui leur permet de contourner l’authentification de l’administrateur et d’écrire des scripts malveillants.
Les vulnérabilités courantes des sites web comprennent les mots de passe médiocres, les vulnérabilités de cross-site scripting, l’injection SQL, les logiciels vulnérables et les permissions non sécurisées. La liste Top 10 de l’Open Web Application Security Project fait autorité sur la façon dont la plupart des serveurs web sont compromis.
Souvent, ce n’est pas le serveur web ou son logiciel d’application mais un lien ou une publicité qui est piraté. Il est courant que les bannières publicitaires, qui sont souvent placées et tournées par des agences de publicité générales, se retrouvent infectées. Les malfaiteurs achètent parfois de l’espace publicitaire sur des serveurs Web populaires.
Parce que beaucoup de malfaiteurs se présentent comme des hommes d’affaires de sociétés légitimes, avec siège social, cartes de visite et notes de frais, il n’est pas toujours facile de distinguer les sources de publicité légitimes des malfaiteurs, qui commencent souvent à faire la publicité d’un produit légitime pour ensuite changer le lien de la publicité pour un produit malveillant une fois la campagne publicitaire en cours. L’un des exploits les plus intéressants est celui des pirates qui compromettent un syndicat de la bande dessinée, de sorte que chaque journal qui republie les bandes dessinées concernées finit par diffuser un logiciel malveillant. On ne peut même plus faire confiance à un dessin animé.
Un autre problème avec les sites Web piratés est que les ordinateurs qui hébergent un site peuvent souvent héberger plusieurs sites, parfois par centaines ou milliers. Un site Web piraté peut rapidement conduire à des milliers d’autres.
Quoi qu’il en soit, l’utilisateur innocent, qui a peut-être visité ce site particulier pendant des années sans problème, est un jour invité à installer un programme inattendu. Bien qu’il soit surpris, le fait que l’invitation provienne d’un site Web qu’il connaît et auquel il fait confiance suffit à l’inciter à exécuter le programme. Après cela, la partie est terminée. L’ordinateur (ou l’appareil mobile) de l’utilisateur final n’est qu’un rouage de plus dans le grand botnet de quelqu’un.
Menace n°9 : la cyberguerre
Les programmes de cyberguerre des États-nations sont dans une classe à part et ne sont pas quelque chose que la plupart des pros de la sécurité informatique rencontrent dans leur routine quotidienne. Ces opérations secrètes créent des programmes de cyberguerre complexes et professionnels destinés à surveiller les adversaires ou à supprimer les fonctionnalités d’un adversaire, mais comme le montrent Stuxnet et Duqu, les retombées de ces méthodes peuvent avoir des conséquences sur bien plus que les cibles visées. Nous avons même maintenant des États-nations, comme la Corée du Nord, qui mettent hors service et exploitent une entreprise Fortune 500 parce qu’elle n’a pas aimé un film particulier.
Crime et pas de punition
Certaines victimes ne se remettent jamais de l’exploitation. Leur dossier de crédit est marqué à jamais par la transaction frauduleuse d’un pirate, le logiciel malveillant utilise la liste du carnet d’adresses de la victime pour se transmettre à ses amis et aux membres de sa famille, les victimes de vol de propriété intellectuelle dépensent des dizaines de millions de dollars en réparation et en prévention.
Le pire, c’est que presque aucun de ceux qui utilisent les attaques malveillantes ci-dessus n’est poursuivi avec succès. Les criminels professionnels sur Internet vivent en liberté parce que l’Internet n’est pas bon pour produire des preuves exploitables par les tribunaux. Même s’il le pouvait, les suspects vivent en dehors de la jurisprudence du tribunal de la victime. La plupart des piratages sont anonymes par défaut, et les traces sont perdues et dissimulées en quelques millisecondes. Actuellement, nous vivons à l’époque du “Far West” d’Internet. Au fur et à mesure de sa maturation, les refuges pour les criminels vont se tarir. En attendant, les professionnels de la sécurité informatique ont du pain sur la planche.