Journal d'investigation en ligne et d'information‑hacking
par Antoine Champagne - kitetoa

Peut-on "attribuer" une attaque à des pirates russes, nord-coréens, chinois, de Daesh... ?

Un leak ? Un hack ? Ces agissements n'étaient il y a encore quelques années que des mots incompréhensibles pour une grande majorité. Désormais, c'est un concept dont tout le monde, ou presque, a entendu parler. A tel point que les autorités en ont ajouté un autre : l'attribution. Il est tellement tentant pour les gouvernements de relier le hack aux concepts guerriers, qu'il semble évident et incontournable de désigner l'ennemi. Sans ennemi, pas de guerre possible.

Un leak ? Un hack ? Ces agissements n'étaient il y a encore quelques années que des mots incompréhensibles pour une grande majorité. Désormais, c'est un concept dont tout le monde, ou presque, a entendu parler. A tel point que les autorités en ont ajouté un autre : l'attribution. Il est tellement tentant pour les gouvernements de relier le hack aux concepts guerriers, qu'il semble évident et incontournable de désigner l'ennemi. Sans ennemi, pas de guerre possible. Et dieu sait si nos dirigeants aiment la guerre. Après quelques années, tout le monde l'a compris, y compris les plus mauvais spécialistes des Internets, dans le "cyber-espace", il est très compliqué de désigner l'auteur d'un piratage. Peut-on raisonnablement "attribuer" avec certitude un leak ou un hack ?

Voyons tout d'abord comment un gouvernement procède à une "attribution".

La première méthode consiste à choisir le super-vilain qui sert au mieux les agendas diplomatico-politiques. C'est la méthode la plus simple car elle ne nécessite aucune étude technique (on dit "forensic" dans le jargon) spécifique. Prenons un exemple du monde "réel" pour illustrer... L'Oncle Sam a besoin de choper du pétrole pas cher, il annonce à l'ONU que Saddam Hussein a des armes de destruction massives. Et même des armes chimiques, au point que Colin Powell, secrétaire d'Etat agite une petite fiole lors d'une session du conseil de sécurité de l'ONU. La suite est connue : pas une trace d'armes de destruction massive en Irak en dépit de recherches menées par des milliers de soldats américains, mais une vraie destruction massive du pays par l'Oncle Sam et un résultat sur les relations internationales qui sera durablement... merdique. Transposons maintenant au cyber-machin-chose digital. Un hack de boites mails qui se termine par un leak gênant pour un parti politique en vue aux Etats-Unis. Fastoche : les méchants, ce sont les hackers russes rouges au service du Kremlin et donc c'est un peu comme si Poutine avait lancé un remote shell depuis son portable.

Les cyber-daeshiens n'ont pas encore réussi à remplacer les cyber-armées de Poutine en dépit de nombreuses tentatives d'attribution de la part du monde libre mais ça pourrait venir...

Prenons un autre exemple. Une société du monde du spectacle se fait défoncer le système d'information ? Ce sont les Uber hackers de Corée du Nord. Qui d'autre pour s'en prendre à la culture du monde libre que ces super-vilains du monde pas libre ? Et peu importe que l'Internet local en Corée du Nord soit inexistant et fonctionne avec du bio-carburant pour ce qui est de l'énergie consommée...

Voilà pour la méthode simple. Elle consiste à choisir un super-vilain et à embarquer la presse dans la dénonciation du méchant. C'est simple mais comme c'est à peu près aussi foireux qu'un Colin Powell agitant une fiole de farine à l'ONU, ça tient rarement le coup quand les sachants examinent le truc d'un peu plus près. Evidemment, lorsque les sachants arrivent pour démonter ce type d'opération d'enfumage, il est trop tard. Ils ont des arguments qui sont bien moins efficaces pour le buzz, la presse ne s'y intéresse pas. Et puis faire un article pour expliquer que l'on s'est laisser enfumer... Pas terrible.

Notez que les super-vilains changent au gré des animosités. Ils ont longtemps été Chinois, puis Nord Coréens. En ce moment, les Russes tiennent la corde.

Les pirates Russes, Américains, Français, Chinois, etc. etc.

Il serait bien entendu idiot de nier que le Kremlin s'intéresse à ce qui peut être fait en utilisant des pirates informatiques. Tous les gouvernements ont monté leurs cyber-armées de pirates qui récoltent illégalement de l'information comme le faisaient les espions jusqu'ici, mais cette fois, en utilisant les Internets. Krebs explique assez bien cela ici.

Mais cela ne veut pas dire qu'il ne faut pas rester prudent lors de l'attribution, si tant est que l'on souhaite s'y adonner. Car si des signes permettent de pointer dans une direction, on n'est rarement en présence de preuves irréfutables. Dans les deux sens d'ailleurs. Il est rarement possible d'affirmer de manière irréfutable que tel groupe est à l'origine d'un piratage, comme il est rarement possible d'affirmer de manière irréfutable qu'il ne l'est pas.

Par ailleurs, dans une attaque importante, la partie concernant le masquage de la provenance est à peu près aussi importante que celle qui a trait au piratage proprement dit...

La deuxième méthode est un peu plus longue. Elle consiste à étudier les traces laissées par les pirates. Il y a bien entendu des sous-catégories. Les études "forensic" de base, les études poussées, celles qui amènent à des conclusions fausses alors que la méthodologie est bonne, etc.

Prenons une étude de base. l'adresse IP, c'est à dire l'identifiant unique de l'ordinateur qui a réalisé le piratage est retrouvée au milieu des millions de traces enregistrées par le serveur. Là, c'est a priori super fastoche. Un peu trop, même. Décortiquons un peu. Chaque ordinateur qui veut communiquer avec les autres sur les Internets (un réseau IP pour élargir), se voit attribuer une adresse IP. Un peu comme un numéro de téléphone. Cette adresse, de type 175.45.176.8, est unique par principe. Sans quoi, impossible de s'adresser à une machine en particulier. Les machines communiquent et elles sont très polies sur les Internets. Elles répondent aux questions. Elles disent volontiers qui elles sont et qui elles hébergent.

Prenons notre exemple d'adresse IP : 175.45.179.8

Premier point : lui demander dans quel pays elle se trouve (quand on est dans un cas simple, excluons ici un machin comme CloudFare). Pour cela, on utilise (par exemple) la commande Whois.

Réponse :

inetnum: 175.45.176.0 - 175.45.179.255 irt: IRT-STAR-KP address: Ryugyong-dong Potong-gang District country: KP

Cet ensemble d'adresses, de 175.45.176.0 à 175.45.176.255 (un préfixe) appartient donc à STAR-KP, située à Ryugyong-dong (Pyonyang) en Corée du Nord.

Si notre adresse IP 175.45.179.8 est retrouvée dans les logs avec un beau vecteur d'attaque associé, on peut conclure que les Nord Coréens sont derrière l'attaque. Ou pas. La machine nord-coréenne a peut-être été piratée. Il existe par exemple en Chine des tonnes de machines mal paramétrées qui ne demandent qu'à être piratées.

Pour aller un peu plus loin dans la procédure d'attribution, il est possible de pirater notre machine nord-coréenne pour aller y chercher des traces et savoir si elle a été préalablement piratée. Avec un gros coup de chance elle pourrait être la plus "proche" de celle du pirate et l'on pourrait ainsi l'identifier. Premier point, ce serait illégal. Deuxième point il est complexe d'affirmer qu'il s'agit bien du premier rebond du pirate.

 

Un Uber hacker russe est-il idiot ?

Bon, revenons à nos hackers russes(ou Nord Coréens) à la solde de Poutine. On trouve une adresse IP russe dans les millions de lignes de logs d'une machine. Cette ligne contient le vecteur d'attaque. C'est donc bien un russe qui a piraté la machine. Oui, mais non. Le hacker de la mort qui tue, à la solde de Poutine, qui veut faire basculer le monde libre, il n'est pas si bête... La première chose qu'il fera, s'il est si bon que cela, c'est de masquer sa provenance. Laisser sa carte de visite avec son adresse et son numéro de téléphone, c'est un peu idiot, quand on est un méchant délinquant. Sauf à imaginer, comme l'évoque Krebs, que le pirate a intégré l'idée selon laquelle il ne quittera plus jamais la Russie, qu'il est protégé sur place et ne risque pas de subir les foudres du FBI dans la Rodina.

 

 

Certains pirates sont bons, d'autres moins. Ceux qui se font arrêter sont à ranger dans la deuxième catégorie. Les très bons, plus rares, ne se font pas prendre. Ils peuvent par exemple développer leurs propres outils pour passer par une myriade de machines avant d'attaquer la dernière. Cela empêchera de remonter à la source. Même dans le cas où la justice tenterait de saisir les logs des machines qui masquent la provenance réelle. La plupart des administrateurs mettent en place une rotation des logs. Les derniers effacent les premiers On peut bien entendu garder les logs un an (c'est la moyenne) mais plus ? Une commission rogatoire internationale pouvant mettre six mois à produire ses effets, dans le cas où la justice du pays concerné coopère, il est fort probable que s'il y a une dizaine de pays concernés, la justice ne trouvera plus de traces aussi anciennes.

Parmi les hackers jamais attrapés, il y a bien sûr « Hacking for Girliez » un groupe qui avait piraté la Une du New York Times durant une journée entière (le 13 septembre 1998) lors de la sortie du rapport Starr (portant sur la présidence Clinton). Les membres de ce groupe de pirates informatiques n’ont jamais été arrêtés bien que le FBI ait ouvert une enquête. Etaient-ils très forts pour masquer leur origine ? Il faut noter qu'ils ont piraté le New York Times plusieurs fois dans la même journée, reprenant le contrôle que les administrateurs du site reprenaient eux-mêmes plusieurs fois. Il y avait là une configuration permettant de placer des outils pour surveiller en temps réel l'activité des pirates et tenter de remonter à la source. Ou alors, ont-ils bénéficié d'une forme de mansuétude de la part des autorités ?

Il y a aussi plusieurs équipes de hackers des années 90 qui avaient pignon sur rue et un chapeau "gris" et qui ont réussi à passer entre les mailles du filet en dépit d'une activité s'étalant sur plusieurs années.

Moyennement anonymes...

Plus récemment, des super hackers membres de groupes, notamment issus des Anonymous (Antisec), ont fini par être rangés dans la première catégorie.

En matière d'attribution, on voit souvent les autorités évoquer la langue utilisée dans le vecteur d'attaque. C'est donc la preuve ! Pas forcément. Cela peut fort bien être une diversion. Par ailleurs, les piratages sont parfois le résultat d'une coopération entre pirates de plusieurs nationalités. Comment faire le tri ?

Les autorités retiennent souvent l'utilisation d'un outil "attribué" à un groupe spécifique pour procéder à une attribution du piratage.

Cette dernière méthode, si tant est que l'outil peut être relié avec certitude à un groupe particulier, est valable pendant une période de temps assez courte. En effet, plus le temps passe, plus il est probable que l'outil ait filtré. Qu'il se soit disséminé sur les Internets. Il a pu être récupéré par des sociétés de sécurité informatique (qui, c'est de notoriété publique, n'emploient aucun pirate), par d'autres groupes, par des gouvernements...

Depuis la nuit des temps la question de la dissémination des tools est une problématique majeure pour les équipes de pirates ou de hackers. Ce qui est développé en interne doit rester en interne. Mais cela ne marche jamais bien longtemps.

Bref, l'attribution est une opération délicate. Le fait que les autorités ou les entreprises piratées ne dévoilent jamais l'ensemble des données qui leur ont permis de définir l'auteur d'un piratage n'aide pas à se faire une idée précise de la pertinence d'une attribution. Et cela n'est pas prêt de changer. La prudence et la réserve sont donc de mise... Pour un esprit rationnel, ou pour un journaliste qui se doit de disposer des preuves de ce qu'il affirme, l'attribution est un cauchemar.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée