Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

New York Times, Wall Street Journal : revoilà le péril jaune

  Compliquée la sécurité informatique ? Pas le moins du monde. D'ailleurs, pléthore de journalistes vous l'expliquent de long en large depuis hier. Le New York Times (NYT) et le Wall Street Journal (WSJ) se sont fait pirater. Comment ? Par qui ? Ils ont la réponse : ce sont les méchants pirates chinois, crypto communistes au service de leur pays qui ont fait le coup. A base d'APT. Si vous avez lu les articles, vous savez que les APT sont des méchantes techniques de pirates super forts.

 

Compliquée la sécurité informatique ? Pas le moins du monde. D'ailleurs, pléthore de journalistes vous l'expliquent de long en large depuis hier. Le New York Times (NYT) et le Wall Street Journal (WSJ) se sont fait pirater. Comment ? Par qui ? Ils ont la réponse : ce sont les méchants pirates chinois, crypto communistes au service de leur pays qui ont fait le coup. A base d'APT.

Si vous avez lu les articles, vous savez que les APT sont des méchantes techniques de pirates super forts. Ce sont des Advanced Persistant Threats. En français dans le texte : des attaques avancées et persistantes. Sortons du jargon : ces attaques sophistiquées sont faites pour permettre au pirate de rester bien caché au sein d'un réseau pendant le plus longtemps possible. Le mode furtif des avions appliqué aux pirates. Et comme ils sont là longtemps, ils peuvent récolter une foule de logins et mots de passe, évoluer de machine en machine, explorer, piquer les contenus, modifier des choses...

Ça fout la trouille© hein ?

C'est fait pour.

Fear, Uncertainty and Doubt

Le secteur de la sécurité informatique qui n'a rien d'un philanthrope aime faire peur et proposer des solutions qui protègent "contre 100% des attaques connues et inconnues". Du coup, les pauvres entreprises, les pauvres Etats qui paniquent à l'idée de se faire piquer leurs petits secrets par les méchants pirates chinois crypto-communistes achètent des solutions qui, pensent-ils, les protègent.

Ah, oui, mais non. Qui peut imaginer un instant que le NYT ou le WSJ n'ont pas mis en place de jolis outils de protection informatiques à plusieurs dizaines (centaines ?) de milliers de dollars ?

C'est juste. Mais, comme l'explique Jean-Marc Manach : "

Entre autres particularités, ces « attaques complexes et récurrentes » ont pour point commun de ne pas être bloquées par les firewall, antivirus, politiques de gestion des mots de passe et autres mesures de sécurité informatique mises en place, ou achetées, par les responsables sécurité des entreprises ou administration ciblées.

Aïe...

Et pourquoi que la marmotte elle bloquerait pas les APT avec son papier alu ?

Personne ne vous le dit.

Ah, si, on vous dit que c'est parce que les les pirates crypto communistes jaunes sont vraiment très forts. C'est un tel péril d'ailleurs, qu'il serait temps de se prémunir contre un cyber-Pearl Harbor, un cyber-Armageddon, une cyber-guerre, le cyber-terrorisme, le cyber-espionnage, on en passe. Ce sont les militaires et les communautés du renseignement de tout l'occident, et des USA en premier lieu qui le disent. Ce sont des gens sérieux et carrés les militaires. C'est que ça doit être vrai. Non ?

La cyber-guerre, ça fait des cyber-morts

Non. Tout ça fait des cyber-morts et ça n'est pas bien grave. Mieux vaut perdre quelques serveurs que quelques vies.

Mais revenons au paragraphe de l'article de Jean-Marc Manach.

La sécurité informatique est un sujet un tantinet plus complexe que ce qu'en disent les journalistes qui, c'est une évidence, ne sont pas des experts en sécurité informatique (l'auteur de cet article non plus, bien entendu).

Les APT ne sont pas les seules attaques qui ne sont stoppées ni par les firewalls ou les antivirus. Dans sa liste, Jean-Marc Manach oublie par ailleurs les reverse proxies, les IDS, les IPS et les Application Firewall. C'est dommage car il y a tant à dire sur ces outils...

Détaillons (grosso modo) le rôle (et leurs limites) des outils qui font en général partie de la sécurité déployée par les institutions (entreprises, Etats, etc) :

Les Firewalls : ils s’intéressent au réseau (qui véhicule les données). Il interdit ou autorise le trafic. Exemple : j'ai le droit de faire passer du Web en entrée et en sortie sur le port 80. Mais rien d'autre. Ou encore, j'ai le droit de faire passer du trafic Web sur le port 45256 mais pas ailleurs. Ils ne peuvent ni repérer, ni bloquer un cheval de Troie. Surtout si celui-ci à prévu de faire passer son trafic en sortie (les infos qu'il récupère) sur le port 80, généralement toujours ouvert.

Les anti-virus : ils cherchent à repérer des virus et autres chevaux de Troie lorsqu'ils s'installent sur une machine. Ils fonctionnent avec des listes de signatures de virus/malwares/chevaux de Troie connus. En clair, si le machin n'est pas créé par un bourrin, il y a des chances de passer au travers. Ne parlons pas des machines sophistiquées ne disposant pas d'anti-virus (souvent réservés aux postes bureautiques). Avez-vous pensé à protéger le serveur qui héberge votre central téléphonique avec un anti-virus ? Hum. Note : garder en tête pour plus tard, penser à consulter le marabout Dilo pour protéger aussi à base de Vaudou.

Les reverse-proxies : ils font office d'intermédiaire entre les visiteurs et le serveur Web. Ou inversement. Ils peuvent apporte un peu de sécurité, mais ce n'est pas leur rôle principal.

Les IDS : ils analysent en temps réel le trafic sur le réseau. Ils s'intéressent donc aux protocoles et repèrent une série d'attaques (souvent sur la base de listes à mettre à jour régulièrement). Leur rôle n'est pas forcément de bloquer ces attaques, mais de les repérer et de les signaler à un être humain qui est occupé à manger des pizzas, mettre à jour Office sur le poste d'un membre de l'équipe Marketing et à fournir les moyens nécessaires pour que le PDG puisse faire marcher son dernier iPad.

Les IPS : ils surveillent le trafic, alertent en cas d'attaque et peuvent bloquer du trafic, bloquer une IP. Mais ils ne sont pas très intelligents. En outre, comme ils ont tendance à bloquer de manière peu subtile, les administrateurs évitent de leur laisser une grande latitude dans ce domaine.

Les Application firewall : ils observent le trafic en direction d'une application Web, le filtrent s'ils perçoivent une attaque. Reste à savoir jusqu'à quel point leur connaissance des attaques est pointue. En outre, ils protègent des applications (HTTP) et donc pas les "ordinateurs".

Mais alors ? Il n'y aurait aucune solution parfaite pour se protéger du péril jaune ? En son temps l'Hadopi avait envisagé un MMF, une sorte de bidule qui fait des trucs avec du XML dedans. Comme nous l'avions prédit, ce projet n'a jamais vu et ne verra jamais le jour.

La sécurité est un ensemble, une stratégie globale. On ne peut pas se protéger efficacement en installant l'une des solutions. Ni même plusieurs à la fois. En outre, plus on augmente la sécurité, plus on emmerde les utilisateurs en restreignant leurs possibilités d'utiliser les technologies. C'est donc un compromis qu'il faut rechercher. Ce compromis laissera toujours une part à un risque d'attaque réussie.

Le secteur de la sécurité, comme celui de la banque a son jargon. Il est difficilement déchiffrable par ses clients. Ceux-ci ont à gérer une série de contraintes qui n'aide pas. Les directions veulent de la sécurité (parfois) mais ne mettent pas en face les moyens financiers nécessaires. C'est cher et ça ne rapporte rien.

En outre, il y a d'un côté une volonté de sécuriser et de l'autre, une volonté de pouvoir utiliser l'ensemble des possibilités ouvertes par les nouvelles technologies.

Le "business" réclame des applications "tout de suite" qui sont codées avec les pieds et des outils notoirement troués.

Le développement des technologies s'accompagne d'une prolifération de "trucs" hétérogènes qui forment in fine un réseau composé de bric et de broc, souvent inconnu de l'entreprise elle-même, incapable de dresse un plan précis de celui-ci et des versions de logiciels installés.

Enfin, Internet est devenu le centre de toutes les attentions. Le reste est oublié. Qui se soucie de la téléphonie ? Qui se soucie des vieux modems, des accès d'administration à distance pour telle ou telle machine, tel ou tel outil ? Pas grand monde.

New York Times : ce n'est pas une première

Il est douteux de se fier et de véhiculer les explications d'une entreprise qui vient de se faire trouer. Elle a tout à gagner à minimiser l'étendue des dégâts. Mais aussi à désigner un ennemi invisible et extrêmement puissant. Sans quoi, elle serait contrainte d'avouer que son réseau est un gruyère, qu'elle est incapable de le protéger. Et ça ce n'est pas bon pour la confiance et le business. Au moins doit-on questionner les explication post-piratage émises par les victimes.

Le New York Times s'est donc fait pirater par des super-pirates chinois.

Ce n'est pas la première fois que le réseau de ce journal en prend plein la tronche. Ainsi fin des années 90, un groupe de hackers, les "Hacking for Girliez" avait pris la main sur les serveurs Web du NYT pendant plusieurs heures.

Les moins curieux se seront contentés de lire la page Web affichée sur le site avec ses jolies images. Les autres auront lu le code source pour une franche tranche de rire.

Extraits :

F1RST 0FF, WE HAVE T0 SAY.. WE 0WN YER DUMB ASS.  

4ND R3MEMB3R, DUMB ASS 1S OFT3N CUTE 4SS. AND WE L1KE CUTE ASS.



<!-- Just because we type in all caps and use 'elite' speak doesn't mean -->

<!-- we are kids, or we don't own your dumb ass. For everyone who calls -->

<!-- us immature kids, it shows one more person has underestimated us. -->

<!-- And worse, what does that say about their security? That "immature -->

<!-- kids" were able to bypass their 25,000 dollar firewalls, bypass -->

<!-- the security put there by admins with XX years of experience or a -->

<!-- XXX degree from some college. Nyah Nyah. -->

<!-- -->

<!-- "The best is the enemy of the good." -->

<!-- - Voltaire -->

ou :

S1NC3 WE AR3 N0W INTERN3T TERR0RISTZ, W3 F1GURE WE SH0ULD DEMAND

S0ME RANSOM OR SOMETHING. SO, PAY US 104 GIRLIEZ, 6 BILLION IN

N3WSPAP3R SUBSCRI1PTIONZ, AND MAYBE A PR1NT1NG PR3SS 0R S0M3TH1NG.

N0T L1K3 Y0U GUYS KN0W WHAT FA1R J0URNALIZM IS ANYWAY. DUMB WH0R3Z.



<!-- Labeling us as such is not constructive. If we find the time and -->

<!-- effort to hack a few pages, labeling us "terrorists" will only -->

<!-- further annoy us and provoke us since it is absurd to make -->

<!-- such parallels between two disparate groups. The real reason -->

<!-- we put any blame on Carolyn Meinel is because of her obtuse -->

<!-- over-dramatizations of our actions. Did we hold anyone hostage? -->

<!-- No. Did we 'terrorize' anyone? No. Did we point out the -->

<!-- inadequacy of her ISP? Hell yes. End of story. -->



Ou encore :
HFG 1S PROUD TO 0FFER OUR N3W S3CURITY TRAIN1NG SEMINARZ 1N

A PR1NT1NG PR3SS N3AR YOU. F0R 9969.99 +TAX, YOUR ADM1NZ

CAN L3ARN H0W N0T T0 G1VE UP R00T SO 3ASILY. TOO G00D TO B3

TRUE YOU ASK? C0NSIDER WE R00TED TH1S B0X OFF 0DAY WAR3Z ST0L3N

FR0M TSUT0MU SH1M0MURA'S SYST3M IN .04 SEC0NDS. NOT BAD HUH?



<!-- Obviously we don't really offer training seminars, but -->

<!-- damn well we should. Look at how many clueless admins are -->

<!-- out there. Look at what kind of proprietary data they are -->

<!-- tasked to guard. Think of how easy it is to get past their -->

<!-- pathetic defenses and compromise their security. I knew -->

<!-- working as a Taco Bell manager wouldn't cut it. -->

Alors... Les HFG étaient-ils des pirates chinois ? Pas le moins du monde. Etaient-ils forts ? Oui.

Si l'on en croit quelques sources bien informées, à l'époque, ils étaient même choyés, sous un autre nom par les autorités américaines. Ils n'ont jamais été démasqués. Et pour cause.

 Les Nakeurs chinois de la mort qui tue

La presse qui répercute sans questionner les déclarations des gouvernements, du secteur de la sécurité informatique et des entreprises qui se sont fait pirater ne cesse de nous présenter les auteurs des piratages un peu en vue comme des pirates chinois.

Premier point, "sur Internet, personne ne sait que tu es chien".

Le fait qu'une attaque provienne de chine ne veut pas dire que son auteur soit chinois. La machine utilisée peut être compromise, il peut s'agir d'un relai parmi beaucoup d'autres.

La plupart des hackers/pirates les plus pointus qui sont experts dans les APT et savent s'enterrer pendant des années au coeur de réseaux importants sont tout sauf chinois.

Les meilleurs en création d'exploits (les programmes permettant de pirater les serveurs), dans l'offensif vendu à des gouvernements (sur le mode VUPen, mais en bons) ne sont pas Chinois. Ils sont européens, canadiens, russes, américains...

Et justement... Puisque l'on parle de gouvernements...

Alors que tout le monde pointe les méchants pirates chinois, personne ne se demande si les piratages pourraient être le fait de gouvernements. Ne sombrons pas dans le complotisme, mais ceux qui ont développé ou acheté le développement des Chevaux de Troie les plus sophistiqués ces derniers temps sont, nous dit-on, les gouvernements. On a vu sous l'ère Sarkozy une multiplication des vols d'ordinateurs dans les rédactions des journaux, l'obtention de fadettes de journalistes pour identifier des sources... Bref, c'est devenu monnaie courante.

Souvenons-nous aussi du vol d'un ordinateur dans les locaux des Dossiers du Canard. Le Canard avait remonté la piste et était tombé sur... L'armée...

Quoi qu'il en soit, rien n'a changé depuis 17 ans, il y aura toujours des gens talentueux pour coder du zero day et des réseaux super protégés à coup de centaines de milliers de dollars ou d'euros pour se faire trouer.

Par des chinois, ou pas.

Peu importe, le résultat sera le même.

 

 

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée