Suivez-nous également sur Twitter @RSLNmag
Société

Cybercriminalité : « Entretenir le sentiment d'insécurité, ça ne fonctionne pas » (Bernard Ourghanlian, Microsoft)

1

(visuel)

Et de deux. En quelques jours, deux opérations de (très) grande ampleur entreprises contre des « botnets », ces réseaux « d’ordinateurs zombies » utilisés par des hackers aux intentions clairement malveillantes, ont été rendues publiques :

- mercredi 3 mars, l’Espagne a annoncé avoir désactivé Mariposa (papillon, en espagnol), au cours d’une opération menée conjointement par la Guardia Civil et le FBI américain. Présenté comme « le plus vaste réseau mondial d'"ordinateurs zombies" » et dirigé par trois espagnols de moins de 35 ans, Mariposa aurait, au total, enrôlé près de 13 millions d’ordinateurs à travers 190 pays en un an.

- le 25 février, Microsoft (éditeur de RSLNmag.fr), révélait de son côté avoir lancé une contre-offensive contre Waledac, un autre de ces botnets, (notamment) responsable de l’envoi de plusieurs milliards de spams à travers la planète  - les plus curieux trouveront le résumé de l’affaire sur le blog « Microsoft on the issues », et notamment de l’argumentation juridique inédite déployée pour obtenir les moyens de s’attaquer à ce réseau.

Dans l’entretien qui suit, nous faisons un point sur ces différentes opérations avec Bernard Ourghanlian, directeur technique et sécurité de Microsoft France. C’est également l’occasion pour nous de parler plus généralement de cybercriminalité : loin des discours les plus alarmistes sur le sujet, il semblerait que pédagogie et vulgarisation, deux armes absolument redoutables, puissent encore être mieux utilisées.

Ah oui, et attention :
on a beau parler de « machines zombies » (voir le résumé de l’épisode Mariposa sous la plume d’Alexandre Hervaud,
sur Ecrans.fr) ou « de canaux IRC » (oui oui, ceux-là même que les plus geeks d’entre vous utilisent sous des formes variées pour des conversations de groupes sur le web), les enjeux sont loin d’être purement techniques. Loin de là.

RSLNmag.fr : Pour décrire ces fameux botnets, on parle souvent de « machines zombies » tombées sous le contrôle de hackers. De quoi s’agit-il exactement ?

Bernard Ourghanlian :
Un botnet, contraction de robot network, littéralement « réseau de robots », repose sur le principe suivant : un petit bout de programme installé sur la machine d’un utilisateur va permettre à un ordinateur tiers de donner des ordres à la machine infectée, via l’établissement d’une communication entre ces deux machines. Le programme installé est le plus souvent inactif sur le système infecté : il attend des ordres.L’utilisateur, lui, ne se rend compte de rien : sa machine continue à fonctionner parfaitement – tout au plus pourra-t-il constater quelques ralentissements lorsque son ordinateur reçoit ou exécute des ordres.

L’analogie la plus simple pour comprendre ce processus,
c’est celle du berger, du mouton, et du troupeau : la machine infestée est un « mouton », qui obéit aveuglément à son « berger ». Celui-ci va lui donner des ordres, comme à tous les autres membres de son « troupeau ».

Comme dans la vraie vie, le berger a tout intérêt à maintenir son troupeau en bon état : régulièrement, il va lui envoyer des petites mises à jour, pour qu’il soit le plus performant possible – ou tout simplement pour lui donner de nouveaux ordres. Il va également prendre des nouvelles de son troupeau, qui, en retour, lui fera parvenir des rapports d’activités assez détaillés. Enfin, il prendra soin de protéger jalousement son troupeau des attaques extérieures : si l’on file la métaphore, le berger n’a aucun intérêt à ce que ses moutons rejoignent un autre troupeau, par exemple …

L’utilisation malveillante du botnet
entraînera des actions aussi diverses que l’envoi de spams massifs, le lancement d’attaques par dénis de service [souvenez-vous de l’épisode de la « cyberguerre » entre Russie et Géorgie, à l’été 2008, NDLR], voire la capture d’informations sur les machines compromises. Mais il peut également s’agir de générer des clics sur des bannières de publicité, par exemple. Concernant le spam, on estime généralement que 80 à 90% du volume total des spams envoyés à travers la planète le serait via ces botnets - et l'on sait également que 80 à 90% du volume total des courriels échangés est, précisément, du spam.

RSLNmag.fr : Qui sont les propriétaires des botnets ?

Bernard Ourghanlian : Dans notre analogie, le « berger », est un intermédiaire : il vend ses services à des tiers, qui vont exiger de lui une sorte de reporting assez serré : ils veulent des preuves que leurs commandes sont bien passées. Un marché existe, avec une loi de l’offre et de la demande, et même un système assez bien établi de fixation des prix. D’après des chiffres de 2008, il était possible d’infester 1.000 systèmes pour 15 dollars, et envisageable de mettre sur pieds une attaque par déni de service pour 25 à 100 dollars.

Le profil des « bergers » est variable, mais il est souvent assez jeune, et peu versé dans la délinquance classique. En 2008, aux Pays-Bas, la police a par exemple arrêté un propriétaire de botnet de 19 ans [lire un article de Ars Technica sur la question, NDLR]. On note d’ailleurs une évolution : la motivation basée sur l’ego des hackers tend à disparaître derrière des motivations purement financières [« Ils auraient couru après n’importe quoi pour peu que ça leur rapporte de l’argent », raconte par exemple l’un des policiers espagnols qui a conduit l’opération Mariposa à propos des trois espagnols arrêtés, NDLR].

RSLNmag.fr : Comment s’y attaquer ? Et que s’est-il passé concrètement dans le cas de Waledac ?

Bernard Ourghanlian : Depuis deux ans, on constate une réelle prise de conscience de la nécessité d'agir face aux botnets. Cette prise de conscience est assez largement instinctive, et ne rentre dans aucun cadre définit et formalisé, mais on voit que des acteurs aux intérêts par ailleurs concurrents sont capables de s’entendre, de se rencontrer, voire de travailler main dans la main. Dans le cas de Mariposa, Defense Intelligence Inc. (Canada) et Panda Security (Espagne) ont notament travaillé avec les autorités espagnoles, mais également le FBI et l'université américaine de Georgia Tech.

Pour lancer son offensive contre Waledac, Microsoft a, de son côté, travaillé avec Symantec, l’un de ses concurrents sur l’anti-virus, ou Shadowserver et l'Université de Washington. Concrètement, Microsoft, qui a chiffré à 650 millions le nombre de spams envoyés via le botnet Waledac à destination des adresses de type "hotmail" en trois semaines, au mois de décembre 2009, a demandé à la justice américaine la fermeture d’un certain nombre de noms de domaines, dont les URL avaient été identifiées comme faisant partie des donneurs d’ordres des machines zombies (voir la plainte intégrale au format PDF). Cela a été accordé, et la justice a ordonné à Verisign, qui gère tous les noms de domaines de type ".com", de mettre hors ligne les URL repérées. Les résultats sont bons : de près de 1.000 nouvelles machines touchées chaque jour, on est passé à une poignée seulement.

Les moutons, ces machines zombies infestées, sont alors incapables de rentrer en contact avec leur « berger » pour tout ce qui a trait à l’envoi de rapports, ou de mises à jour sur de nouvelles missions. Le programme malfaisant est toujours installé sur la machine du particulier … et les coupables n’ont d’ailleurs pas été arrêtés. Ce n'est évidemment pas LA solution définitive qui détruira les botnets ou le spam, mais une action concrète pour faire baisser le volume de spam à travers le monde : la capacité d'envoi de Waledac a été estimé à près de 1,5 milliards de spams par jour.

RSLNmag.fr : Le discours général sur la criminalité en ligne est relativement angoissant. Est-ce vraiment en surfant sur ce terrain que le message passera le mieux ?

Bernard Ourghanlian : Ce n'est pas en fonctionnant avec une action basée sur le marketing de la peur, ou en entretenant le sentiment d'insécurité, que l'on pourra progresser en matière de sécurité informatique et sur les réseaux.

Expliquer, simplifier, répéter :
ces leviers d’actions ne doivent surtout pas être négligés, pour une raison toute simple. Au final, bien souvent, c'est en effet l'utilisateur qui est le maillon faible, dans la chaîne de prolifération d’un réseau tel qu’un botnet : c'est lui qui va cliquer sur le lien exécutant et installant le bout de programme malfaisant sur son ordinateur. Et protéger l’internautre contre lui-même est impossible : au-delà de lui fournir les meilleurs outils pour se défendre des attaques, il faut donc user, voire abuser, de pédagogie !

 

Antoine Bayet le 08/03/2010
antoine
Antoine Bayet le 08/03/2010

1 Comments


Zoom

Il est certain qu'un énorme effort pédagogique doit être fait, autant auprès du grand public, que des Artisans PME et PMI qui n'ont pas forcément du personnel qualifié en sécurité informatique.Il ne viendrait pas à l'esprit d'un acquéreur d'un superbe bolide de mettre de vieux pneus dépareillés et rechapés pour rouler à près de 300 Km/h.Et bien j'ai toujours été étonné de voir des internautes négliger les applications protégeant leurs données alors qu'ils sont des accrocs du web et téléchargent un peu tout et n'importe quoi, et malgré des problèmes répétés continuent d'utiliser ce qu'il y a de plus basique en protection sous prétexte que c'est gratuit, ce qui ne veut pas dire que tout ce qui est gratuit est médiocre, mais l'expertise et les compétences ont un cout .

le 23 March 2010

Pingbacks and trackbacks (1)+

Ajouter un commentaire


Loading
biuquote
  • Comment
  • Preview

S'abonner à la newsletter

Votre adresse email sera uniquement utilisée pour vous envoyer la newsletter de RSLN. Microsoft ne l'utilisera pour aucune autre communication, qu'elle soit commerciale ou institutionnelle. Microsoft ne vend ni ne loue ses listes d'abonnées à des tiers.