Je viens de découvrir ce matin que le site MySpace d'Alicia Keys a de nouveau été piraté. Si vous cherchez à lui envoyer un e-mail en cliquant sur le lien dédié à cet effet, c'est un cheval de Troie qui s'installera sur votre machine !
Les rumeurs annonçant le déclenchement imminent d’un « cyber jihad » ne sont pas nouvelles. Un mois après le 11 septembre 2001, des pirates Pakistanais déclaraient vouloir mettre à mal divers sites américains ou britanniques. Bien plus tôt déjà, en 1995, et afin de mieux cerner le problème de la guerre de l’information, le département de la Défense US avait demandé à la société RAND de conduire des exercices de simulation stratégiques sur ce sujet. Il est possible de retrouver dans un mémoire de Polytechnique datant de 1996, un extrait d’une de ces simulations également présenté (mais cette fois en anglais) dans un numéro du Time Magazine de 1995 (Time Magazine, August 21, 1995 Volume 146, N°. 8).
Plus récemment des alertes très controversées ont été médiatisées en août 2004 et novembre 2006. Depuis lors les experts en sécurité ne se risquent plus à faire de commentaires alarmistes. C’est pour cette raison, sans doute, que l’information récemment publiée par un site Israélien a mis quelques temps à sortir de la sphère des spécialistes.
Si je décide de parler ici de cette annonce (tout comme je l’ai fais il y a quelques heures sur le blog McAfee), c’est qu’un programme d’attaque lié à cette histoire est tombé hier entre mes mains. Dans cette affaire, le plus dur pour moi a été d’installer un VMWARE avec les paramètres régionaux me permettant de réaliser de jolies captures d’écrans (pour info, c’est Arabic (Iraq) qui m’a donné le meilleur résultat).
Le logiciel se nomme pompeusement « programme électronique du Jihad ». Il s’agit ici de sa version 3. Son icône est identique à celle présentée le 7 novembre sur le site israélien DEBKAfile : le symbole des cyber-guerriers d’Al Qaeda.
Une fois installé, le programme nous demande un nom d’utilisateur et un mot de passe. Son exactitude est vérifiée sur un site distant aujourd’hui inaccessible.
Une autre fenêtre semble liée à un programme de fidélisation qui donne la possibilité de gagner "des points" pour peu que l’on propose de nouveaux participants.
Le site administrateur étant fermé, il ne m’a pas été possible d’aller plus loin dans mes recherches. J’ai trouvé une copie de l’écran qui semble devoir ensuite s’afficher sur le blog Anthropologist.
Tout comme ses précédentes versions, ce programme semble bien limité. Il est conçu pour lancer des attaques en DDoS assez simpliste et le scepticisme est de rigueur quand à l’importance de l’attaque envisagée. Si elle devait néanmoins avoir lieu, je pense qu’elle se noiera dans le bruit de fond de millions d’autres DDoS qui sont menées chaque jour pour toutes sortes de motivations.
Notons cependant que cette découverte nous montre une nouvelle fois que certaines mouvances terroristes s’intéressent à Internet. Elles ne semblent cependant pas avoir atteint le degré de maturité et de technicité des cyber-mafias tels que celles qui se cachent dans les pays de l’est.
Je pense donc qu’il nous est possible d’envisager avec sérénité la santé d’Internet pour ces prochains jours.
PS: Si quelqu'un est à même de me fournir la traduction exacte de ces captures d'écran, je suis preneur.
Hier, je cherchais sur Internet quelques informations sur de récentes poursuites menées par la FTC - agence fédérale américaine de régulation en charge de la protection des consommateurs et de la concurrence. Elle met régulièrement en cause des sociétés distributrices d’adwares et porte plainte, aux US, au nom des consommateurs du fait du caractère abusif de certaines offres.
Je suis ainsi tombé sur la page suivante :
L’article explique qu’en octobre 2006, une société du nom de ERG Ventures était condamnée à verser 330,000 dollars pour diffusion d’un programme s’installant sans réel consentement.
Mais si j’écris aujourd’hui cette contribution, c’est que mon œil a été attiré par la bannière publicitaire m’indiquant qu’une possible mise à jour était disponible pour mon ordinateur.
Je ne peux m’empêcher de vous faire lire l’offre qui m’a alors été proposée.
Si Coluche était toujours de ce monde, il aurait pu en faire tout un sketch. J’ai particulièrement apprécié le commentaire d’un client de François Dubois, de Lyon (dernière capture d'écran), même si la maîtrise de sa langue natale m’a surprise ;-).
Sur le site 24heures.ch, il est possible de lire un article très intéressant sur les liens possibles entre certaines cybermafias et services étatiques de leur propre pays. En Russie, c’est le fournisseur d’accès Internet RBN (Russian Business Network) et son chef supposé Flyman qui sont montrés du doigt. En Chine ce sont le NCPH (Network Crack Program Hacker) et son leader, Wicked Rose.
Le but de cette chronique est de démontrer qu’en échange d’une impunité sur leurs activités traditionnelles d’extorsion et de piratage, les cybermafias serviraient ponctuellement les intérêts de leurs services secrets respectifs.
En voici tout d’abord un scénario :
L’attaquant : Des tensions diplomatiques entre la Russie et l’Union Européenne débouchent sur une crise. Les services secrets russes ordonnent une attaque ciblée sur les sites des gouvernements allemand, français et britannique. Pour ce faire, le Kremlin engage des groupes de hackers. Les paiements transitent par Paypal vers des comptes bancaires en Amérique latine.
Les pirates : Des groupes de hackers activent des dizaines de milliers d’ordinateurs, appelés botnets, dont ils ont préalablement pris le contrôle grâce à des virus. Ceux-ci ont été diffusés par de faux e-mails, par de faux logiciels offerts au téléchargement ou va des sites pornographiques.
Les zombies : Sur ordre du commanditaire, jusqu’à 100 000 ordinateurs vérolés se mettent à envoyer des millions de messages vides vers les serveurs cibles, qui tombent en panne sous la charge. Les sites Internet des gouvernements ne sont plus accessibles et les messageries e-mail ne fonctionnent plus. Certains réseaux téléphoniques tombent en rade.
Les cibles : Le ciel semble tomber sur les victimes ; les requêtes qui les submergent proviennent du monde entier, y compris de leur propre pays. Il est très difficile de réagir pour bloquer ces flux. Les gouvernements pris pour cible mettent en cause le Kremlin, qui dénonce à son tour des activités nationalistes hors de son contrôle.
Face à ce sensationnalisme qu’apprécie la presse, la question qui se pose à nous est celle de la recherche d’un début de preuve face à de telles déclarations, ou pour le moins d’informations étayant ces soupçons.
Pour cela je vous invite fortement à suivre 2 présentations webcast en ligne proposées par Verisign. Elles durent chacune 20 minutes, et nécessitent une inscription préalable au travers d’un formulaire. Mais, cette petite formalité en vaut la peine : http://www.verisign.com/security-intelligence-service/info-center/webcasts/archived/index.html
China Espionage: China and the Network Crack Program Hacker Group
In the Summer of 2006, the Network Crack Program Hacker group, the NCPH, conducted a series of cyber attacks that targeted multiple US Government institutions. In the end, the NCPH siphoned millions of unclassified government documents back to China. This presentation will explain how they did it, why they did it and will profile how the group operates.
Uncovering Online Fraud Rings: The Russian Business Network
The Russian Business Network (RBN) developed into its current incarnation as "the baddest of the bad" Internet service provider (ISP) in June 2006. Before then, much of the malicious code currently hosted on RBN servers was located on the IP block of another St. Petersburg ISP, the now-defunct ValueDot. Like ValueDot before it, but unlike many ISPs that host predominately legitimate items, RBN is entirely illegal. VeriSign iDefense research identified phishing, malicious code, botnet command-and-control (C&C), and denial of service (DoS) attacks on every single server owned and operated by RBN.
Depuis plusieurs années nous expliquons que les diverses méthodes bien réelles qu’employaient hier les criminels s’appliquent maintenant à la criminalité virtuelle. Une rumeur venant de Russie semble chercher à nous faire croire qu’un nouveau pas aurait été franchi.
Le blog d’un certain Alex Loonov affirme qu’un roi du spam se nommant Alexey Tolstokozhev (alias Thick Skin) aurait été assassiné dans sa luxueuse maison des environs de Moscou.
Cela ne semble être qu’une rumeur destinée à troubler le public ou, pourquoi pas, une mise en garde envoyée à un rival encombrant. Tolstokozhev est d'ailleurs un nom inconnu dans le milieu de la cyber criminalité !
Sur le site, une information indique que le site est temporairement fermé pour des raisons de surcharge et qu’il n’est donc pas possible d’atteindre les anciennes contributions.
Un simple WHOIS montre que le site a été déclaré aujourd’hui. Il semble donc évident que celui-ci n’ait été constitué que pour colporter cette information douteuse.
Attention, il ne serait pas surprenant que ses créateurs y ajoutent par la suite une IFRAME cachée pour tenter d’infecter des visiteurs trop curieux.
Dans le but d’implanter des keyloggers et autres renifleurs de mots de passe, les pirates utilisent de plus en plus fréquemment la technique des IFRAME cachées. Ils modifient les pages d’accueil de sites légitimes, populaires, connus ou officiels. Ils y installent des balises discrètes capables de rediriger silencieusement les visiteurs vers des serveurs web hébergeant des kits d’attaques tels que MPack ou IcePack.
Après le piratage de milliers de sites Italiens (Juin 2007) ;
Après certains sites des Nations Unis (août 2007) ;
Après la Bank of India (août 2007) ;
Après l’ambassade de Syrie en Grande-Bretagne (septembre 2007) ;
Après le site du CISRT chinois (Octobre 2007) ;
… des balises IFRAME cachées ont été introduites dans la page d’accueil d’un grand brasseur de bière suisse. Amateurs de bière ou simples curieux, n’allez pas sur ce site facilement identifiable malgré l’effet de distorsion volontairement appliqué sur l’adresse http.
J’ai sous les yeux un e-mail qui proviendraient du service Abuse de Club-Internet. Une abonnée au service l’a reçue le 20 septembre 2007 et m'appelle à l'aide. Une rapide recherche via Google me montre qu’il circulait déjà en 2005 et 2006. La teneur du message est suspecte, cela ressemble à une de ces nombreuses rumeurs annonçant l’arrivée d’un virus inconnu, terrifiant et indétectable.
Mettons nous quelques instants à la place d’un internaute recevant de la part de son fournisseur d’accès un message de ce type lui apprenant qu’un programme malveillant est sur sa machine et précisant :
Ce logiciel opère sur votre machine à votre insu, il est très difficile de le détecter. En effet, aucun anti-virus ne peut l'identifier ni l'éliminer.
Nous vous demandons de prendre toutes les mesures nécessaires afin d'éliminer cet Open Proxy de votre machine.
[…]
Ce problème résulte très souvent d'une infection virale sur votre ordinateur, nous vous recommandons de tester l'intégrité de votre ordinateur par le biais d'un antivirus en ligne, tel que celui disponible sur http://securite.club-internet.fr
Si ce message émane effectivement de Club Internet, il m’apparaît pour le moins étrange: après avoir indiqué que les anti-virus sont impuissants, il propose de passer... un anti-virus.
En cherchant les termes « open », « proxy » et « Club-Internet » sur de nombreux forums (dont ceux de Club-Internet) je découvre des dizaines de messages en provenance d’utilisateurs en galère. Par contre, je ne trouve aucune réponse de la part de leur support. Joint par téléphone, ils préconiseraient un reformatage du disque !
J’espère que ces quelques lignes - qui ne se veulent pas agressives au dépend de Club-Internet – les feront réagir.
S’ils sont - comme je le suppose - à l’origine de ces messages, je me permets de leur proposer d’ajouter à leur courriel un lien vers une fiche technique explicative d’aide à la résolution du problème. Résolution ne passant pas par le reformatage !
NOTA :
Sur un PC familial, un « open proxy » n’est qu’un programme malveillant parmi d’autres. C’est un cheval de Troie qui peut parfois être protégé par un rootkit. L’open proxy est un serveur relais qui permet à des personnes non autorisées d’utiliser votre machine pour envoyer des mails. S’il a été associé à un rootkit, celui-ci le rend plus difficilement détectable.
Dans la plupart des cas, un anti-virus à jour est suffisant pour détecter et éliminer ce type d’intrus. Si l’on vous accuse, alors que votre anti-virus (à jour) ne détecte rien, il faudra vous résoudre à passer un logiciel anti-rootkit. McAfee propose Rootkit Detective. C’est un utilitaire gratuit disponible sur le lien : http://vil.nai.com/vil/stinger/rkstinger.aspx
Vous pouvez aussi vérifier l’intégrité de votre machine en recherchant des ports ouverts. Un outils de test est disponible sur le lien : http://www.richard.zonnet.nl/cgi-bin/nph-proxycheck
Pensez enfin à installer un pare-feu personnel !
Mise à jour du 12 septembre 2007 (Source AFP):
Selon une source proche du dossier, parmi les cibles en France figurait le site internet du ministère de la Défense.
Mise à jour du 12 septembre 2007 (Source Universal Press Agency):
Des espions étrangers ont piraté les ordinateurs du gouvernement de Nouvelle Zélande.[...] de toute évidence, des gouvernements étrangers étaient responsables des attaques.
- - - - - - - - - - - - - - - - - - - - -
Depuis le mois d’août, la presse se faisait l’écho de possibles attaques informatiques menées par les militaires chinois au dépend de l'Allemagne (Der Spiegel, 27 août), des États-unis (FT.com, 3 septembre), et de la Grande-Bretagne (Guardian, 5 septembre). Samedi dernier (8 septembre), le journal Le Monde a ajouté la France à cette liste. Ses journalistes ont interrogé Francis Delon, Secrétaire Général de la Défense Nationale (SGDN) qui a affirmé que des attaques similaires avaient commencées après l'élection présidentielle de Nicolas Sarkozy et qu’elles pouvaient avoir les mêmes origines.
L'implication de l'armée populaire chinoise, avancée dans les exemples américain ou britannique, n’est pour Francis Delon qu’une "hypothèse". Dans cet interview, il ne désigne pas clairement les responsables et reste très prudent. Il confirme simplement qu’un site chinois est impliqué : "Je ne suis pas en mesure de dire que ces attaques viennent du gouvernement chinois », « la particularité de ce type d'attaques, c'est qu'elles se font par rebonds". Mais, ajoute t’il, "on sait qu'il y avait un site chinois dans la boucle".
De son côté, la Chine organise des exercices axés sur les technologies de l’information. Le quotidien du peuple en ligne explique que certains de ces exercices actuels permettent "à nos soldats de découvrir et d'améliorer nos faiblesses en cette époque dominée par les technologies de l'information". Dans un même temps, elle dément toutes les rumeurs : son armée n’a jamais menée d’attaques contre des systèmes informatiques sensibles de pays étrangers (aujourdhuilachine, 7 septembre).
Lundi dernier, VNUnet annonçait que Dan Egerstad, consultant en sécurité et animateur du site DEranged Security avait mis la main sur des données permettant de se connecter à des boites mails de personnels d'ambassades et d'agences gouvernementales (ambassade du Kazakhstan aux États-unis et en Russie, ambassade d'Inde aux États-unis, ambassade de Russie en Suède, etc.).
Dans son post, le chercheur précisait :
I’m not going to call the president of Iran and tell him that I got access to all their embassies. I’m DEranged, not suicidal! He has bombs and stuff…
Alors que ces données sont toujours disponibles sur le net, j'espère que les services de sécurité des pays concernés ont fait le nécessaire afin de protéger leur confidentialité.
Je ne suis pas plus suicidaire que Dan, mais la curiosité m'a poussé à aller regarder si la France était citée dans cette liste. J'ai pu constater qu'il était fait référence à l'ambassade et au consulat d'Uzbekistan à Paris.
Vendredi, je vous faisais part de l'attaque que subissait la Banque of India.
Pour les curieux, voici ici, le lien vers le blog de Dancho Danchev ; il contient de nombreuses informations intéressantes. Voici d'autre part une vidéo présentant le déroulement de l'attaque lors de la visite du site de la Bank Of India par un ordinateur non protégé. Elle est diffusée sur Youtube par Link Scanner Pro.
