Article.
Sécurité
informatique. Gare à la prolifération
des « exploits »
par Jean-Paul Baquiast et Christophe Jacquemin - 23/03/2011
* Ce texte complète l'article publié
dans notre précédent numéro «Comment
neutraliser l'Internet ?».
Dans le domaine de la sécurité informatique,
un "exploit" (wikipedia) est un élément
de programme permettant à un individu ou un logiciel
malveillant d'exploiter une faille de sécurité
informatique dans un système d'exploitation ou
dans un logiciel, que ce soit à distance (remote
exploit) ou sur la machine sur laquelle cet exploit
est exécuté (local exploit), ceci,
afin de prendre le contrôle d'un ordinateur ou
d'un réseau, de permettre une augmentation de
privilège d'un logiciel ou d'un utilisateur,
ou d'effectuer une attaque par déni de service.
Un
nombre croissant d'exploits existe, ces derniers étant
classés en fonction de la catégorie de
faille qu'ils «exploitent». Nous n'en donnerons
pas la liste ici. Une question plus intéressante
concerne les responsables de cette prolifération.
S'agit-il comme on le pense généralement
de «hackers», jeunes gens férus de
techniques qui investissent leur intelligence au service
de la façon de pénétrer les systèmes
les plus fermés, sans intentions politiques ou
criminelles bien arrêtés ? Ils trouvent
leur satisfaction à mettre en défaut,
avec les seules ressources de leur cerveau, les équipes
informatiques les plus qualifiées, au sein des
grandes organisations très protégées.
Tout au plus acceptent-ils de se ranger dans la catégorie
des cyber-activistes, épris de liberté
individuelle et luttant contre les forteresses technologiques
dans lesquelles croient s'enfermer les riches et les
puissants.
Les
gens des "services"
Une
autre catégorie de hackers est constituée
des sujets brillants recrutés par les services
spécialisés des Etats petits et grands,
qui s'efforcent désormais de pénétrer
aux fins d'espionnage voire de brouillage les administrations
et les entreprises appartenant à d'autres Etats.
Autant que l'on sache, il s'agit de milliers voire de
dizaines de milliers de personnes qui trouvent là
des emplois rémunérateurs et sans risques.
Tous les régimes autoritaires sont soupçonnés
de mener cette sorte de cyber-guerre.
Depuis
plus de trente ans, la grande démocratie qu'est
censément l'Amérique a spécialisé
des techniciens dans la pénétration des
réseaux informatiques, tant des «ennemis»
que des amis. Barack Obama, nous l'avions relaté
à l'époque, a mis en place un service
chargé de la sécurité informatique
passive et active, dirigé par un «czar»
lui faisant personnellement rapport. Les emplois offerts
ont attiré des milliers de jeunes informaticiens
qui, du fait de la crise, ne trouvaient pas de rémunérations
suffisantes dans le domaine civil. Les logiciels mis
en place par tous ces jeunes gens se retrouvent nécessairement
aussi dans le secteur privé.
Pour
les Etats, comme indiqué dans notre article référencé
ci-dessus, la méthode la plus commode pour analyser
les échanges et éliminer les propos jugés
non conformes consiste à filtrer les sous-réseaux
IP (Internet Protocol) acceptés par les routeurs
dotés du BGP ou Border Gateway Protocol de
tous les fournisseurs d'accès du pays. Rappelons
que les millions de petits serveurs constituant le réseau
internet global, dits «systèmes autonomes»,
communiquent entre eux à travers des routeurs.
Ceux-ci peuvent tenir compte de la défaillance
d'une voie particulière en s'alertant les uns
les autres à travers le protocole BGP. Une voie
de rechange est alors presque instantanément
trouvée. Mais
depuis quelques années, des méthodes d'attaque
permettent d'interférer avec le BGP pour empêcher
deux routeurs de signaler l'indisponibilité de
la ligne qui les relie. Des firewalls pourraient être
utilisés pour aboutir au même résultat,
mais la complexité du filtrage par firewall et
le coût d'exploitation de l'infrastructure en
seraient largement augmentés.
Un
autre point très sensible est le protocole DNS
(Domain Name System), dont le rôle est
d'assurer une "traduction" entre noms et adresses
IP. Ce protocole a été conçu aux
origines avec un faible souci de la sécurité.
Il comporte des failles que peuvent exploiter aussi
bien les hackers privés que les services d'espionnage
au service des Etats ou des grandes organisations. Il
y a quelques années, les spécialistes
avaient par exemple étudié un «exploit»
qui portait sur le serveur DNS Bind (http://www.isc.org/software/bind).
Il s'agit du serveur DNS Open Source le plus utilisé
à l'époque de sa création par les
serveurs DNS racines sans lesquels il n'y aurait pas
de résolution DNS des TLDs ou Top Level Domains
(tels que .com, .fr, etc.).
Une faille identifiée par un petit «génie»
de l'informatique avait permis d'obtenir le compte Unix
sous lequel tournait Bind. Autrement dit, de prendre
le contrôle du serveur. A partir de là,
il aurait été possible de prendre le contrôle
du compte "root" (administrateur).
Le terme root («racine») est, sur les systèmes
d'exploitation de type Unix, le nom conventionnel de
l'utilisateur qui possède toutes les permissions
sur le système, aussi bien en mode mono qu'en
mode multi-utilisateur. L'utilisateur root est également
connu sous le nom de super-utilisateur. Généralement,
c'est le compte administrateur. L'utilisateur root a
la possibilité de faire tout ce qu'un utilisateur
normal ne pourrait pas faire, comme changer le propriétaire
de tous les fichiers. On devine que le découvreur
de cette faille aurait pu rapidement provoquer l'effondrement
d'une bonne partie de l'Internet.
Le
hacker devenu criminel
La
troisième catégorie de hackers, les plus
menaçants pour la sécurité des
utilisateurs normaux de l'internet, qu'il s'agisse de
particuliers, d'administrations ou de services d'entreprises
sont ceux mettant leurs capacités au service
d'activités délictueuses, voire criminelles,
exercées pour leur compte ou pour celui de gangs
déjà installés sur le marché
du cyber-crime. Généralement il s'agit
d'individus formés au sein des agences de renseignement
des Etats, que nous évoquions plus haut, et qui
décident de se mettre à leur compte. Il
semble qu'ils soient très nombreux. La plupart
se limitent à de petites escroqueries qui ne
lèsent «que» quelques centaines d'utilisateurs
naïfs ou mal défendus. Mais certains se
sont hissés au niveau de la légende. C'est
le cas d'un certain "Iceman" dit aussi Max
Butler dont les exploits sont relatés dans un
curieux ouvrage, très technique, intitulé
Kingpin. L'auteur Kevin Poulser est lui-même
un ancien hacker devenu éditorialiste à
Wired.com.
L'originalité
d'Iceman était que son escroquerie s'était
construite à deux niveaux, dans le domaine très
couru de la fraude aux cartes de crédit pour
laquelle de nombreuses recettes sont proposés
sur le web. Dans un premier temps, après avoir
été recruté par le FBI, il avait
gagné sa vie en faisant commerce de logiciels
piratés, ce qui lui avait valu quelques mois
de prison. Mais à sa sortie, il s'en est pris
aux fraudeurs de cartes bancaires (dit carders
en anglais). Il avait trouvé le moyen de pirater
les ordinateurs d'un grand nombre d'entre eux (plus
d'un millier de par le monde), en annexant leurs sites
et en créant à son profit personnel un
marché en ligne, dit «Carders market»
par lequel ces «carders» se trouvaient obligés
de passer pour négocier le produit de leurs fraudes.
Dans le même temps, il infiltrait les sites web
des banques afin de remonter à la source des
comptes, ainsi que ceux des administrations distribuant
des passeports.
Tout
ceci le conduisit à sa chute en 2007, après
qu'il eût réalisé 86 millions de
dollars de gains. Il fut probablement dénoncé
par un fraudeur dépité d'avoir trouvé
plus ingénieux que lui. Iceman purge actuellement
une peine de 13 ans de prison. Le livre propose un éclairage
intéressant concernant la psychologie de tels
«inventeurs». Il est également très
riche en détail sur les faiblesses de l'Internet
et sur la possibilité d'en tirer parti. Sans
doute nourrira-t-il de nouvelles vocations, aussi bien
chez les hackers que chez les «black hats»
ou chercheurs en sécurité informatique
dont les travaux sont, comme il se doit, non publiés
***
Ajoutons
que l'explosion en cours du commerce en ligne portant
sur des outils simples d'analyse et de transformation
des génomes (toutes espèces réunies)
est en train de transférer à la biologie
la richesse du monde des hackers informatiques que nous
venons d'évoquer. Il s'agira d'une accélération
des processus de mutation/sélection que Darwin
n'avait pas prévue. Le champ des "exploits"
potentiels analysant les failles de la nature va devenir
sans limites.
.*
Kingpin: How One Hacker Took Over the Billion-Dollar
Cybercrime Underground, Crown, par Kevin Poulser
Notes
-
Les
spécialistes pourront étudier ce
texte qui donne un autre éclairage.
-
Voir
aussi les failles révélées par
le virus Stuxnet dans les systèmes de gestion
dans le monde industriel :
http://www.newscientist.com/article/dn20298-stuxnet-analysis-finds-more-holes-in-critical-software.html
Automates
Intelligents s'enrichit du