Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Philippe Humeau, DG de NBS System : Operation Payback, DDOS & Wikileaks ? la première cyber-émeute ?

décembre 2010 par Philippe Humeau, DG de NBS System

Vous l’avez peut être remarqué, des mouvements de hackers sont actuellement en train de se déchainer dans ce qui est appelé « Operation Payback » (Opération Revanche).

Pendant que j’écris cet article, api.paypal.com, Visa et Mastercard sont indisponibles. Wikileaks a été la cible d’un violent DDOS et, récemment, d’attaques politiques. A présent, il semble que les banques s’apparentent à payer également un lourd tribu, ainsi qu’Amazon EC2 et certaines institutions gouvernementales.

Tout ceci n’est probablement qu’un début, et voila pourquoi ...

Le concept derrière Operation Payback n’est pas si nouveau et l’idée est déjà présente depuis quelques mois sur Internet. C’est en revanche la première utilisation à grande échelle de ce concept. Tout à commencé quand la RIAA et d’autres organisations influentes ont été considéré comme œuvrant comme des censeurs de la liberté d’expression.

Tous les ingrédients sont en place pour la première cyber-guerre

La situation ici est critique et ne doit pas être sous estimée.

Ce qui arrive à Wikileaks et Julian Assange est quelque part ce que les pirates attendaient. Une raison de lancer la première vraie cyber-guerre. Les Russes proposent même le nom de Julien Assange pour le prix Nobel, rendant cette situation drôle mais montrant également que la guerre froide n’est pas si terminée que ça. Le Time propose lui Julian Assange comme personnalité de l’année, bref, c’est un tournant important qui se joue sous nos yeux.

Une personne voulant dévoiler tout publiquement, une situation injuste et une condamnation avant procès, des banques voulant suspendre à la fois le financement de Wikileaks et sa politique de divulgation... Tout ce que les milieux underground attendaient depuis un bout de temps est réuni. Une raison, une cause, un emblème et un figure politique à défendre...

Quelques ingrédients supplémentaires à ajouter à cette recette déjà copieuse :
Une rétention massive des exploits "0 day" et des attaques techniques est faite par la communauté sécurité depuis l’adoption du DMCA et d’autres lois aux US. Les black hats ont également empilés de nouvelles techniques, non révélées, depuis quelques années maintenant. Tout est prêt pour un bon foutoir.

Et, dans le même temps, chaque pays essaye de renforcer ses lois contre le piratage et essaye de resserrer le contrôle sur les activités en ligne. C’est un mélange d’idées agrégées ensemble dans un mouvement dont le précepte est "nous nous battrons pour notre liberté". Qu’il soit vrai ou faux, ce concept est en train de mobiliser beaucoup de troupes dans le monde entier.

L’organisation Anon que l’on retrouve sur 4chan.org (attention, contenu offensant) prend la tête de cette révolte et fourbit ses armes. Cette communauté manifeste pour la liberté d’expression et, plus récemment, pour un politique de divulgation totale. Leur compte Twitter a été désactivé ce qui les a forcés à créer un nouveau compte.

Ce qui va venir très bientôt ...

On s’attend à ce que Wikileaks diffuse bientôt un nouveau scandale à propos des banques, probablement à propos de Bank Of America.

Maintenant que tout le monde suit cette première cyber-divulgation, Wikileaks utilise les fondements d’internet pour être intouchable. Une réplication massive en utilisant un système de miroirs (plus de 1300 à la date de ce billet) et la mise à disposition de leurs archives sur Bittrorent les ont rendu totalement impossible à censurer.

Notre société fait à la fois de l’hébergement de serveurs pour le E-commerce, de la prestation de conseil et du test d’intrusion en sécurité. Nous connaissons les populations que sont les hackers, les E-marchands et les dirigeants d’entreprises (banques ou autres), et ces populations ne vivent pas sur les mêmes fondamentaux et n’ont pas du tout la même conscience des mécanismes qui régissent Internet.

Même si vous pouvez trouver quelques solutions pour lutter contre les attaques DDOS, les grands groupes n’ont toujours pas compris qu’ils étaient vulnérables... Le DDOS est une attaque massive, contre laquelle il est très dur de lutter et j’ai peur que beaucoup s’en rendent compte dans les semaines à venir.

D’habitude, quand nous réalisons un test d’intrusion, nous nous apercevons que ces dirigeants semblent à peine être au courant du fonctionnement d’internet et des mécanismes sur lesquels il repose. C’est pour eux quelque chose de "magique" et ils ne vous croient même pas quand vous expliquez qu’il n’y a pas aucune garantie quand on parle de "trafic Internet". "Mais nous avons un SLA avec notre fournisseur d’accès Monsieur"... Ah ben oui, on est sauvé là.

Un mouvement volontaire venant même de "citoyens lambda"

Un des problèmes majeur pour les gouvernements et les cyber-policiers est que Mr tout le monde peut maintenant contribuer à ses attaques DDOS massives. Même si les grands fournisseurs d’accès, appelés Tier 1, disposent d’énormes quantité de bande passante, 1000000 de connexions ADSL seront toujours gagnantes.

Les gens vivent une des crises les plus violentes que notre économie moderne ait eu à affronter. Après les attaques physiques du 11 septembre, nous avons eu un 11 septembre économique avec la crise des subprimes et cette situation peut mener à un 11 septembre d’Internet si elle s’amplifie.

Le citoyen lambda a envie de "les faire payer", de partager sa douleur avec les banquiers. Le récent mouvement conduit par Eric Cantona encouragent à vider son compte en banque en était un exemple mais ces initiatives sont bien plus puissantes sur Internet. Quand des outils simples à utiliser comme le "Low Orbit Ion Cannon" (L.O.I.C, LOIC) sont mis à la disposition du plus grand nombre, il est aisé de se sentir impliqué dans le mouvement et d’utiliser son ordinateur et sa connexion Internet pour "faire tomber le système".

C’est peut-être la première cyber-émeute que nous observons ici et surement la première Cyber-guerre. Pas une guerre physique s’appuyant sur un support Internet (c’est déjà fait) mais une vraie guerre en ligne où des groupes s’affrontent à des sites par infrastructures interposées.

C’est un nouveau concept, le DDOS par "volontariat". Ceci, ajouté aux botnets déjà existants, transforme des millions d’ordinateurs personnels en une arme de DDOS massif.

En fait, nous savons que des millions d’ordinateurs sont déjà compromis par des vers et des virus, les rassemblant en botnets qui sont généralement "à louer", mais qui peuvent être prêtés gratuitement par leur propriétaire pour des causes politiques.

Ces millions d’ordinateurs zombies sont une sorte de "dark Cloud" géant, prêts à répondre à n’importe quelle commande reçue comme "envoie des paquets à Mastercard". Je ne suis même pas certain que le quidam envoyant des paquets à un site puisse être poursuivi pour cela d’un point de vu légal (en plus du fait que cette attaque ne sera probablement pas loguée).

C’est encore plus puissant car le quidam se dit "si tout le monde le fait, pourquoi serais-je remarqué parmi des millions ?".

C’est aussi vrai pour les vrais hackers, certains script kiddies et quelques très puissants black hats qui seront plus à l’aise pour opérer silencieusement parmi ce bruit de fond que pendant une semaine normale.

Bien plus que juste un combat temporaire

Le contexte rend cette situation dangereuse. Si tout allait bien, Wikileaks n’aurait surement pas émergé, Anon et les autres ne l’auraient pas aidé et tout ceci se passerait bien.

Mais maintenant, avec les révélations, la crise, les profits des banques malgré leurs sauvetages, la hausse de la pauvreté, tout est en place pour obtenir un mouvement fort, profond et soutenu dans le temps. Quasiment toutes les théories révolutionnaires sont basées sur ce genre de symptômes. Nous pouvons au moins imaginer que la guerre contre Wikileaks sera amplifiée par les banques qui ne désirent pas voir leurs secrets dévoilés et les gouvernements craignant d’être exposés.

Et si cette guerre continue, le mouvement volontaire de protection de Wikileaks va se renforcer et une politique centralisée ou même les Etats ne peuvent pas se battre contre un ennemi sans nom, sans tête et sans adresse. La seule solution pour rengainer les armes serait que tout le monde s’assagisse et que les acteurs dialoguent.

L’escalade de la violence, même électronique, n’a jamais été une solution à un conflit. Une émeute civile à travers Internet, appuyée par des hackers talentueux en charge de l’organisation, peut être une situation dangereuse pour tout le monde.

L’Internet est vraiment vulnérable

La structure de base d’internet la rend résiliente à beaucoup de dangers différents, mais d’un autre côté, certains points clés sont toujours très fragiles et les milieux underground le savent ...

Voici trois exemples parmi d’autres.

DNS

L’architecture principale du DNS peut être mise à terre. Ce n’est pas chose aisée mais un DDOS massif peut la faire plier et donc casser le système de résolution de nom et le processus de diffusion, entrainant ainsi un situation très inconfortable.

Le second point que je voulais souligner est que la faille dévoilée par Dan Kaminsky durant l’été 2008 est encore présente sur presqu’un quart des DNS mondiaux et permet une attaque par cache poisoning, aussi simple que redoutablement efficace.

BGP

Cette partie est aussi sensible et fragile. Les membres de la DFZ (Default Free Zone) sont supposés se faire confiance les uns aux autres les yeux fermés. Nous prenons des routes depuis d’autres AS et diffusons notre routage aux autres membres...Mais si des paquets étranges sont envoyés dans le pré-carré, ils peuvent faire chuter l’ensemble, comme par exemple ce fameux mois d’août 2010, durant lequel le Ripe à mener une expérience qui tourna mal, brisant ainsi beaucoup de routes et dérangeant une partie du trafic Internet pour plusieurs minutes.

Les Chinois ont aussi commis leur "erreur", générant un des plus spectaculaires détournements de trafic de l’histoire d’Internet. Il est dit que c’était une erreur (par ceux qui l’ont commise :) ) mais il apparait tout de même comme rien de moins que le plus large et important piratage jamais réalisé sur internet, montrant une fois encore que les piliers d’Internet peuvent encore facilement "trembler sur leurs bases.

IPV4

L’IPV4 est le plus fondamental des protocoles d’Internet. Il est présent depuis des décennies et à été attaqué de tellement de façons différentes que je ne peux imaginer donner un chiffre pertinent à fournir dans cet article. Quelques points sont cependant sûr concernant IPV4, le protocole est utilisé partout (moins de 8% d’internet est prêt pour IPV6), il comporte de nombreuses erreurs de conceptions, il permet de nombreuses attaques par DDOS, spoofing, sniffing et chacun l’implémente "à sa sauce".

Tout cela fait d’IPV4 le plus utilisé des protocoles de niveau 3 du monde et, bien entendu, le plus connu, testé, reversé et attaqué...

DDOS

C’est toujours le sujet principal de ce post et le plus grand danger. C’est un envoi basique et massif de paquets. Les méthodes peuvent différer et certaines peuvent agir de façon très subtile mais quelque soit la méthode, le concept de Distributed Denial Of Service est uniquement basé sur la fragmentation d’un énorme trafic en direction d’une IP unique ou d’une plage d’adresse IP. Il est possible de réaliser un DDOS applicatif en réalisant un HTTP GET sur une simple page Web (cela provoquera la "mort" des CPUs des serveurs considérés) ou simplement saturer la connexion principale du site par l’envoi massif de paquets (TCP/SYN, ICMP ou autres) pour réaliser un DDOS au niveau réseau.

Il existe de multiples façons de procéder et toutes sont vraiment simples à créer et ainsi...les sites/serveurs/connexions sont "down". Plusieurs méthodes sont disponibles pour contrer les DDOS mais nous sommes ici en train de parler de méthodes très techniques et sans aucune garantie de succès, juste un fort ralentissement du rythme d’attaque (of the rate ?). Donc, si un attaquant utilise plus de puissance, il arrivera probablement finalement à ses fins en faisant "tomber" le site visé. D’autres solutions sont disponibles pour combattre les DDOS, comme, par exemple, le mécanisme de routage BGP mais ils impliquent un travail très important et des compétences élevées et ne sont pas pour autant des "balles en argent".

Conclusion

Pour toutes ces raisons, nous voulons pousser un cri d’alerte à tous ceux opérant des outils critiques sur Internet, comme ceux pouvant permettre la survie de patients dans les hôpitaux ou des outils critiques de sécurité. Vérifiez par deux fois (voire plus) que vous n’êtes pas sur-exposé à des perturbations temporaires d’Internet car rien n’est définitivement garanti.

Nous ne disons pas que "l’Apocalypse" est proche mais certaines perturbations ont à être prise en compte comme le démontre notre analyse. Nous préférons être perçus comme trop prudent plutôt que de sous-estimer le danger potentiel. Nous ne sommes ni pour ni contre rien ni personne dans ce domaine...excepté peut-être, contre le fait de considérer la destruction de l’ensemble comme une solution.


Voir les articles précédents

    

Voir les articles suivants