On entend ou on lit parfois qu'il est possible de rester anonyme sur Internet. D'autres vous diront le contraire, et qu'il est impossible d'agir sans laisser de traces. Qu'en pensent les principaux intéressés, les pirates bien pensants ? L'expérience démontre qu'il est toujours possible de passer à travers les mailles de la toile, et en particulier pour un pirate d'agir à l'insu de son hôte.
Un constat
Un constatComme le mois dernier, le mois d'avant et depuis des années, on peut s'attendre ce mois-ci à ce que les sites Internet vulnérables soient piratés par des personnes bien ou mal intentionnées, afin de mettre leurs gestionnaires devant leurs responsabilités. Chaque mois sinon chaque semaine, les sites d'actualité ou les forums consacrés au sujet nous relatent des intrusions.
Le piratage informatique est une passion pour de nombreux jeunes, dont plus d'un deviendront des experts en leur domaine, des programmeurs ou des auditeurs. Malheureusement, alors que le pirate voit souvent son action comme un jeu d'adresse, son acte est parfois criminel dans la mesure où il peut coûter très cher à la victime en temps perdu, en destruction de documents et du fait de l'atteinte morale à l'image de la personne ou de la société.
Afin d'agir de manière préventive et faire prendre conscience à tous les administrateurs réseau, les webmasters et les titulaires d'un compte sur Internet des risques qu'ils prennent en diffusant publiquement des informations, décrivons brièvement la facilité avec laquelle peuvent agir des personnes malveillantes comme les pirates informatiques. Nous ne décrirons aucune méthode d'intrusion dans le détail mais uniquement les points clés de leur procédure.
Manuel du pirate informatique
"Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux". Si cette règle s'appliquait à l'art de la guerre du temps de Sun Tzu, plus de deux millénaires plus tard, nous pouvons encore l'appliquer à l'art de la guerre dans le cyberespace. Pour comprendre comment opère un pirate et contrer ses attaques, il faut penser comme lui et se mettre dans sa tête.
Afin d'agir de manière préventive et faire prendre conscience à tous les administrateurs réseau, les webmasters et les titulaires d'un compte sur Internet des risques qu'ils prennent en diffusant publiquement des informations, décrivons brièvement la facilité avec laquelle peuvent agir des personnes malveillantes comme les pirates informatiques. Nous ne décrirons aucune méthode d'intrusion dans le détail mais uniquement les points clés de leur procédure.
Manuel du pirate informatique
"Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux". Si cette règle s'appliquait à l'art de la guerre du temps de Sun Tzu, plus de deux millénaires plus tard, nous pouvons encore l'appliquer à l'art de la guerre dans le cyberespace. Pour comprendre comment opère un pirate et contrer ses attaques, il faut penser comme lui et se mettre dans sa tête.
Pirater proprement un système par Internet en restant anonyme, sans laisser de traces comme l'a appris récemment à ses dépens le jeune pirate belge SpyNet, devient une tâche difficile aujourd'hui.
En effet, les autorités n'hésitent pas à imposer aux fournisseurs d'accès de stocker des informations personnelles sur leurs clients (adresse MAC, adresse IP, e-mail, mots-clés, etc), de bloquer certains ports de leur ordinateur ou carrément de les moucharder afin de les surveiller.
Quand les fournisseurs d'accès ou l'Etat en arrive à ce niveau de contrôle, il faut se demander si la société n'est pas en train de perdre ses libertés fondamentales. Restons vigilants.
Quand les fournisseurs d'accès ou l'Etat en arrive à ce niveau de contrôle, il faut se demander si la société n'est pas en train de perdre ses libertés fondamentales. Restons vigilants.
Face à des mesures de contrôle parfois illégales, le pirate n'a pas d'autre choix que de connaître les méthodes de son adversaire et d'être plus malin que lui. Ce sont les deux premières règles qu'il doit appliquer dans sa guerre dans le cyberespace s'il veut avoir une chance de s'en sortir victorieux.
Pour agir anonymement sur Internet, un pirate doit agir comme un espion. Il doit commencer par travailler à distance afin de ne pas être repéré. Il doit rendre son ordinateur anonyme, c'est-à-dire ne laisser aucune trace de son point d'entrée sur le net, ni software, ni hardware. Ensuite évidemment, il doit travailler avec un pseudonyme, personnel ou usurpé, et enfin, il ne doit laisser aucune trace locale de son travail derrière lui.
Point d'accès
Pour accéder à un ordinateur via Internet, il existe deux grandes méthodes :
Pour agir anonymement sur Internet, un pirate doit agir comme un espion. Il doit commencer par travailler à distance afin de ne pas être repéré. Il doit rendre son ordinateur anonyme, c'est-à-dire ne laisser aucune trace de son point d'entrée sur le net, ni software, ni hardware. Ensuite évidemment, il doit travailler avec un pseudonyme, personnel ou usurpé, et enfin, il ne doit laisser aucune trace locale de son travail derrière lui.
Point d'accès
Pour accéder à un ordinateur via Internet, il existe deux grandes méthodes :
- Travailler à partir d'un lieu public où vous pouvez utiliser du matériel en libre service et discrètement (cybercafé, université, etc). Vous n'avez toutefois jamais un contrôle total sur l'ordinateur.
- Utiliser un ordinateur portable très discret voire un UMPC, équipé d'une carte Wi-Fi.
L'idéal est d'opérer à partir d'un système situé en dehors du territoire Européen et des Etats-Unis, de préférence offshore, et éventuellement mais ce n'est pas indispensable, avec des connexions digitales et encryptées et des systèmes relais analogiques (ondes-courtes) afin de brouiller les pistes.
Dans cette configuration qui mélange les supports analogiques et digitaux, les protocoles et les systèmes, les autorités pourront sans doute vous tracer dans certains logs, mais au premier changement de topologie ou de réseau, elles risquent fort de perdre votre trace.
Logiciel
Dans cette configuration qui mélange les supports analogiques et digitaux, les protocoles et les systèmes, les autorités pourront sans doute vous tracer dans certains logs, mais au premier changement de topologie ou de réseau, elles risquent fort de perdre votre trace.
Logiciel
Côté logiciel, il y a pléthore de solutions que les pirates et les auditeurs notamment ne manqueront pas d'explorer. Citons-en quelques unes :
- BackTrack est un outil d'audit de sécurité. On peut soit l'installer sur le disque dur soit l'utiliser en "Live CD", c'est-à-dire uniquement chargé en mémoire. Basé sur Slax, sous licence GNU/Linux, il regroupe les distributions Whax et Auditor. Cet outil vous permet de tester les vulnérabilités de votre ordinateur, de le protéger, mais évidemment on peut l'utiliser dans l'autre sens, pour pénétrer un système.- Knoppix est un système d'exploitation sous licence GNU/Linux. En version Live CD, il se charge totalement en mémoire, ne laissant aucune trace de l'attaque sur le disque local.
- VirtualPC ou Qemu est un émulateur de PC (processeur x86) qui permet de faire tourner un autre système d'exploitation sur un ordinateur. Une fois installé, le pirate opère à partir de ce système. Il le supprime lorsque son attaque est terminée.
Anonymat
A travers les protocoles, les ordinateurs sont très bavards car ils s'échangent continuellement des messages pour établir et maintenir leurs connexions. Il faut donc que l'ordinateur utilisé en dise le moins possible tout en lui permettant de mener son attaque. Il faut également utiliser des ports qui ne sont pas standards pour éviter d'être de suite repéré par le système de surveillance de l'ordinateur adverse.
Le pirate va donc commencer par modifier son adresse MAC. C'est très simple, il suffit de modifier les propriétés de la carte réseau dans l'interface système : sur PC, il faut choisir la carte réseau, puis activer l'option "Adresse Administrée localement" et encoder dans le champ Valeur, un texte constitué de 12 caractères hexadécimaux. Pour empêcher cette modification, il est donc impératif d'interdire l'accès à cet applet du Panneau de Contrôle (Control Panel) ou au fichier devmgmt.msc en limitant les droits de l'utilisateur ou via les polices.
Ensuite, un pirate sérieux ne va jamais utiliser une adresse IP fixe. Il laissera le système la choisir dynamiquement, et si possible utilisera une adresse IP différente à chaque session, quitte à effacer la table à chaque fois.
Pour ces deux options, on peut également utiliser le logiciel BackTrack.
Ensuite, un pirate sérieux ne va jamais utiliser une adresse IP fixe. Il laissera le système la choisir dynamiquement, et si possible utilisera une adresse IP différente à chaque session, quitte à effacer la table à chaque fois.Pour ces deux options, on peut également utiliser le logiciel BackTrack.
Il faut également veiller à sauvegarder le moins possible d'information sensible sur son propre ordinateur.
En utilisant un émulateur par exemple, lorsque l'attaque est terminée, il est impératif d'effacer toute trace du logiciel d'émulation en utilisant un "degausser" comme le DoD le fait, mais c'est très cher, ou en réécrivant à de multiples reprises de nouvelles données sur le disque.
L'alternative est de passer par une liaison Wi-Fi qui n'aurait pas été sécurisée. Sachant que cela représente encore 30% des installations Wi-Fi des particuliers et deux fois plus dans les entreprises, c'est évidemment une porte d'entrée privilégiée sur le net qui est très exploitée. Mieux vaut donc ici également protéger votre connexion Wi-Fi. Pour ce faire, activez l'option cachant votre modem (SSID=1) et le cryptage WPA-PSK, au besoin avec un outil de génération de code et installez un long "passphrase". Voyez cette explication illustrée en anglais.
L'alternative est de passer par une liaison Wi-Fi qui n'aurait pas été sécurisée. Sachant que cela représente encore 30% des installations Wi-Fi des particuliers et deux fois plus dans les entreprises, c'est évidemment une porte d'entrée privilégiée sur le net qui est très exploitée. Mieux vaut donc ici également protéger votre connexion Wi-Fi. Pour ce faire, activez l'option cachant votre modem (SSID=1) et le cryptage WPA-PSK, au besoin avec un outil de génération de code et installez un long "passphrase". Voyez cette explication illustrée en anglais.
Vulnérabilités
Comme tout programmeur, un pirate est paresseux. Il serait idiot de réinventer la roue en cherchant des failles dans la sécurité du système du client, qui n'existent peut-être pas. Le pirate a intérêt à profiter des vulnérabilités existantes sur le site convoité, comme par exemple dans les systèmes HTTP, SLL, RSA, XSS, les hyperliens des e-mails, etc. Ces failles sont connues de tout bon programmeur pirate, documentées sur les forums, et parfois même signalées par les médias, comme ce fut récemment le cas avec les vulnérabilités découvertes dans l'iPhone d'Apple. Certaines vulnérabilités sont résolues (HTTPS, etc) mais tout le monde ne les applique pas, souvent par méconnaissance.
Bref, un bon pirate connaît les failles du système qu'il convoite, il a parfois même ses entrées dans cette société ou profite de la naïveté d'un contact. Si le pirate est malin et compétent, il ne se fera pas attraper. Il aura toujours une longueur d'avance sur les gestionnaires des sites Internet.
Un bon conseil
Si vous êtes sensibilisé à la sécurité informatique, vous n'ignorez pas ce genre de risque. Sinon, renseignez-vous sur les protections installées sur votre système ou chez votre fournisseur d'accès à Internet, informez-vous sur les méthodes utilisées par les cybercriminels et protégez vos biens contre tout risque d'intrusion. Le risque n'est pas nul et tous les jours, des sociétés et des amateurs se font pirater.
Pour plus d'information, consultez les livres blancs publiés par "Le Monde Informatique" sur la sécurité informatique, Secure computing, le livre "Combattre les hackers pour les nuls" (Hacking for dummies), ainsi que l'article sur la cybercriminalité.
Aucun commentaire :
Enregistrer un commentaire