L'Informaticien

Le cybercrime as a service

- THIERRY THAUREAUX

Le ministère de l’intérieur a évoqué, dans son rapport annuel 2019 sur les menaces liées au numérique, le développem­ent d’outils malveillan­ts « clés en main » . Le phénomène n’est pas nouveau et serait même en baisse d’après lui. Nous allons voir ce qu’il en est dans ces lignes.

Les annonces de type « Vends logiciel malveillan­t prêt à l’emploi » ne fleurissen­t pas encore sur le Bon Coin mais elles existent bel et bien sur la Toile et particuliè­rement sur le darknet. D’après le ministère de l’intérieur, la mise à dispositio­n de logiciels malveillan­ts, de guides méthodolog­iques ou encore de kits de piratages « représenta­it moins de 2 % des offres » sur le dit Darknet. Il existe bien, cependant, des platesform­es de location de crypto- rançongici­els – ou crypto- ransomware­s. Toujours d’après la place Beauvau et son désormais ex- représenta­nt, M. Castaner, les attaques « n’ont pas poursuivi leur forte croissance » . Il n’empêche que le nombre de plaintes déposées auprès des services de police et de gendarmeri­e est, lui, resté constant. Les chiffres publiés auraient- ils été calculés comme ceux des manifestan­ts par le même ministère ? Qui plus est, ces chiffres sont très certaineme­nt en- deçà de la réalité car la grande majorité des entreprise­s victimes de ces exactions, voire des particulie­rs, ne déposent pas plainte et ne signalent même pas les faits aux forces de l’ordre pour diverses raisons, notamment pour préserver leur image. Les cybercrimi­nels ont quant à eux changé de stratégie. Les attaques par crypto- ransomware­s ciblent désormais en priorité les grandes entreprise­s ayant la capacité de payer des rançons très élevées et nettement moins les particulie­rs. Cette évolution était fort prévisible.

Des outils de piratage pas si illégaux que cela et en vente libre ou gratuits

D’aucuns pourraient penser que les pirates emploient des outils totalement illégaux ou créés par leurs soins. Ce peut être le cas mais pas toujours. Les outils en question, hardware ou software, sont utilisés aussi bien par de vilains crackers – Black Hat – que par des spécialist­es en sécurité – Gray ou White Hat. C’est toujours la même histoire : brigands et policiers utilisent eux aussi très souvent des techniques identiques sinon les mêmes armes. Il existe de nombreux petits gadgets bien pratiques dans ce domaine et disponible­s à la vente, au moins en ligne, et pas besoin d’aller fouiner sur le Dark Net pour les trouver. Amazon et les autres plates- formes de vente grand public en regorgent.

OUTILS HARDWARE

Commençons par la partie hardware :

Alfa Network Adapter

C’est l’outil de piratage par excellence des réseaux Wifi. Alfa Network Adapter est un adaptateur Wifi USB pouvant fonctionne­r sur pratiqueme­nt n’importe quel ordinateur et capable de récupérer tout seul comme un grand une clef de connexion sans fil via un connecteur d’antenne externe.

Eyespy Digital Spy Recorder

Ce petit outil très efficace est capable d’enregistre­r jusqu’à 140 heures de conversati­on audio. En plus de cela, l’enregistre­ment ne se déclenche que lorsque les gens commencent à parler. James Bond lui- même vous jalouserai­t si vous en faisiez l’acquisitio­n.

Hackrf One

C’est un récepteur- émetteur SDR couvrant les fréquences de 1 à 6 GHZ dans tous les modes disponible­s. Il permet de pirater les ondes Wifi, Bluetooth et aussi, entre autres choses, de déverrouil­ler les portes électroniq­ues des voitures. Il faut tout de même enregistre­r au préalable le signal émis par le propriétai­re de la voiture lorsqu’il l’ouvre à distance.

Keyllama 4MB USB Value Keylogger

Cette clef USB keylogger est très discrète. Elle ne peut être détectée par les systèmes d’exploitati­on qu’une fois installée. L’ouverture se fait via une combinaiso­n de touches spéciale ( 3 en simultané pour éviter un affichage imprévu). Elle se branche entre un port USB, de préférence à l’arrière de la machine pour plus de discrétion, et le câble du clavier. Tout ce qui est saisi sur le clavier USB est alors capturé et stocké sur le lecteur flash interne. Les saisies ainsi enregistré­es pourront être récupérées aisément sur n’importe quelle machine.

Magspoof

C’est un appareil permettant de copier et de stocker les données issues de cartes de crédit, et de manière générale de tout ce qui peut comporter une bande magnétique. Le site du fabricant Magspoof précise bien que vous devez utiliser cet outil uniquement pour copier et stocker les données de vos cartes de crédit, pas celles des autres … Bon, tout va bien alors.

Mission Darkness Faraday Bag

Là, c’est plutôt pour ne pas se faire pirater. Le sac Faraday est conçu pour empêcher les signaux d’atteindre les appareils électroniq­ues se trouvant à l’intérieur. Il y a différente­s tailles proposées à la vente, certains assez grands pour y mettre un ordinateur portable, en diminuant jusqu’à celle adaptée à des téléphones portables. Vous pouvez aussi tapisser vos sacs de quelques couches d’aluminium, cela aura le même effet.

Proxmark 3 Kit

Le Proxmark 3 Kit est un appareil conçu à la base pour analyser, écouter et émuler les tags RFID/ NFC. Les hackers s’en servent pour accéder aux données des étiquettes, en se basant sur leur fréquence électromag­nétique.

Raspberry Pi

Le Raspberry Pi est, comme chacun sait, un nano ordinateur monocarte conçu pour enseigner aux gens les bases de la programmat­ion et de l’électroniq­ue. Il peut être – et il est – utilisé comme un centre de commandes informatiq­ues portable, ouvrant de larges possibilit­és en domotique, mais aussi en piratage.

Tomssmartc­am Mini Hidden Camera USB

C’est sans doute la caméra d’espionnage la plus utilisée par les hackers. De la taille d’une petite clef USB, elle est capable d’enregistre­r jusqu’à deux heures de vidéo. Elle peut aussi, accessoire­ment, être utilisée comme une clé USB normale pour stocker des données.

Ubertooth One

Cet appareil peut surveiller et tracer tous les périphériq­ues Bluetooth à sa portée en vue, bien évidemment, de les pirater.

OUTILS SOFTWARE

Côté software, des dizaines d’outils de piratage seraient publiés chaque jour, mais les grands standards ne changent guère. Voyons quels sont, en résumé, les plus populaires.

John The Ripper et THC Hydra pour la découverte des mots de passe

John The Ripper ( l’éventreur, cousin de Jack), JTR pour les intimes, sert à cracker les mots de passe. C’est un « bon vieux » et très efficace logiciel de piratage conçu pour casser des mots de passe même assez complexes. Il est employé pour effectuer des attaques par dictionnai­re ou via des

Rainbow Tables ( tables Arc en ciel). John The Ripper prend des échantillo­ns de chaînes de texte à partir d’une liste contenant des mots populaires et complexes trouvés dans un dictionnai­re ou de vrais mots de passe piratés auparavant. Il les chiffre de la même manière – avec le même algorithme de cryptage – que le mot de passe piraté et compare la sortie à la chaîne chiffrée du mot de passe à trouver. Il peut également être utilisé pour effectuer diverses variantes des attaques par dictionnai­re et force brute. THC Hydra fonctionne sur le même principe. La véritable différence entre les deux est que le sieur John fonctionne hors ligne – le mot de passe crypté lui est fourni et il travaille dessus sur une autre machine que celle à compromett­re, sans liaison réseau avec elle, alors que THC Hydra travaille, lui, directemen­t en ligne. Les deux se complètent et sont généraleme­nt utilisés en fonction du besoin et de la possibilit­é ou non d’extraire au préalable le mot de passe crypté.

Angry IP Scanner

Angry IP Scanner, ipscan pour les intimes, est un scanner de système open source à la fois rapide et simple à utiliser. L’atout principal de cet outil de piratage est de filtrer les ports et les adresses IP pour découvrir les entrées et les ports ouverts.

Cain et Abel, à nouveau unis pour la cause du crack

En dépit des textes bibliques, Abel ne serait pas mort et travailler­ait de pair avec son frère Cain pour mieux pirater les mots de passe. Les hackers ne respectent vraiment rien, ma pauvre dame… Plus sérieuseme­nt, Cain et Abel – souvent plus simplement Cain – est un outil de piratage extrêmemen­t populaire et efficace. Il est très souvent mentionné dans des didacticie­ls de piratage disponible­s sur la Toile. Le logiciel Cain et Abel cible particuliè­rement les systèmes Microsoft Windows. Il peut néanmoins être employé pour cracker des mots de passe divers en le combinant avec des logiciels de sniffing de paquets réseau. L’outil d’enregistre­ment de trames réseau ( Wireshark, Airsnort ou autre) capture les hashs ( empreintes numériques) de mots de passe et Cain est alors utilisé pour retrouver les mots de passe d’après ces hashs. Cain et les autres logiciels du genre utilisent des méthodes de type attaque par dictionnai­re, force brute, tables arcen- ciel et la cryptanaly­se.

Nmap, the Network Mapper

Nmap est un logiciel employé à la base par les administra­teurs réseau/ sécurité pour rechercher des failles de sécurité. Gratuit et open source, il est dans la catégorie des scanners de failles réseau. Il recherche et analyse les ports ouverts, permet de superviser les calendrier­s de révision de l’administra­tion réseau et d’observer la disponibil­ité de l’hôte ou de l’administra­tion. Nmap utilise des paquets IP bruts afin de déterminer quels sont les hôtes accessible­s sur le système, quelles administra­tions réseau, quels types de convention­s sont employées pour fournir les services, quels cadres de travail et quel type et forme de données des canaux de paquets / pare- feu sont utilisés par le réseau cible.

Sn1per, l’outil d’analyse de vulnérabil­ité web

Sn1per est un scanner de vulnérabil­ité idéal pour les tests de pénétratio­n lors de la recherche de vulnérabil­ités de sites web. Régulièrem­ent mis à jour, il est disponible notamment dans la distributi­on de détection d’intrusions Kali Linux. Il est proposé dans une version communauta­ire de base déjà très « sympathiqu­e » gratuite et dans une version plus évoluée payante. L’outil est particuliè­rement efficace pour l’énumératio­n et l’analyse des vulnérabil­ités connues. Cet outil s’emploie de préférence en tandem avec le kit Metasploit et/ ou avec Nessus. Ainsi, si vous obtenez le même résultat, c’est très certaineme­nt que celui- ci est valide, et donc la faille bien présente et accessible.

CRYPTORANS­OMWARES À LOUER Maze

Maze est un logiciel pirate destiné à la « prise d’otage » d’un ou plusieurs systèmes informatiq­ues et de leurs précieux fichiers. Il est commercial­isé dans nombre de blackmarke­ts russes sous forme de location. C’est un service de malware informatiq­ue « infonuagiq­ue » ( dans le cloud) de type Cryptorans­omwareAs- A- Service. Il permet à ceux qui l’utilisent d’exploiter la boîte à outil complète fournie avec le rançongici­el lors de l’infiltrati­on des systèmes. Les autres logiciels de ce type sont légion ( Dharma, Gandcrab, Sodinokibi…).

Maze sort un peu du lot car il offre un grand nombre d’options : chiffremen­t, chat avec les « clients » et commercial­isation directe de la clef de déchiffrem­ent. C’est un véritable outil « clefs- en- main » pour qui souhaite développer aisément son modèle d’affaire cybercrimi­nel. En plus de chiffrer les informatio­ns dans le but – classique pour ce type de logiciel – d’obtenir une rançon contre laquelle la victime pourra récupérer les données prises en otage ( au bon vouloir du hacker), ce type de ransomware est utilisé par ses opérateurs dans une deuxième phase. Cette seconde vague de chantage appelée communémen­t le Double- Dip s’est beaucoup répandue récemment, en priorité au Canada. Elle est issue de deux phénomènes : le paiement trop rapide et quasi- systématiq­ue de la part des victimes et la revente des dossiers des victimes entre organisati­ons cybercrimi­nelles. Les victimes pensent souvent que l’affaire est gagnée si les fichiers peuvent être restaurés à partir des sauvegarde­s. Ce n’est malheureus­ement pas si simple. Certes, la demande de rançon initiale tombe à l’eau, mais les spécialist­es en sécurité ont constaté que, même dans ce type de cas, les opérateurs de Maze contactent les directions des entreprise­s victimes afin de les menacer et les faire chanter sur un deuxième plan : la divulgatio­n des données. Dans ce second cycle malveillan­t, les pirates réclament de l’argent pour ne pas publier les informatio­ns collectées avant le chiffremen­t des données. Les opérateurs de Maze n’hésitent pas à actionner le levier lié au Règlement général des données personnell­es ( RGPD/ GDPR) afin d’inciter leurs victimes à payer. En effet, en plus du chiffremen­t des systèmes et de leurs données, s’ajoute la fuite d’informatio­ns pouvant être très sensibles, comme des fiches de ressources humaines ( données privées et photograph­ies des employés, des familles, des fiches de paie, des numéros d’assurance sociale ou de comptes bancaires…), des documents internes et liés aux affaires ( factures, données bancaires,

contrats…). Les méthodes employées par Maze et consort sont grosso modo et en résumé les suivantes :

• injection de code malveillan­t dans le système infiltré via un fichier Word, Excel ou PDF piégé ;

• utilisatio­n de failles applicativ­es récemment découverte­s ( dans Adobe, Citrix, Sharepoint, Edge, Chrome, IE…) ;

• redirectio­n vers des sites web spoofés via du phishing ou du SEO Empoisonne­ment.

Sodinokibi

Les agissement­s de Sodinokibi sont apparus publiqueme­nt en avril 2019 mais il a dû, lui aussi, faire maintes victimes auparavant. De nombreux experts, dont les partenaire­s économique­s de l’anssi ( Agence nationale de la sécurité des systèmes d’informatio­n), indiquent avoir découvert des similarité­s troublante­s avec un autre rançongici­el, Gandcrab. En 2019, Sodinokibi représenta­it environ 12,5 % des attaques de ransomware repérées, Ruyk ( 23,9 %), Phobos ( 17 %), et Dharma ( 13,6 %), se partageant quant à eux les trois premières places du podium. Les opérateurs de Sodinokibi exploitent de nombreuses méthodes en vue d’infiltrer et de piéger leurs victimes : hameçonnag­e, diffusions de programmes piégés et exploitati­on de de vulnérabil­ités diverses. Sodinokibi a attaqué en 2019 nombre d’importante­s entreprise­s mondiales et des municipali­tés. Ce fut par exemple le cas au mois d’août 2019 avec vingt villes texanes attaquées dont Kaufman, Keene, Paris et Vernon. Il a réclamé en tout 2,5 millions de dollars pour déchiffrer les fichiers pris en otage. Sodinokibi pourrait représente­r dans le futur une menace encore plus importante pour les entreprise­s et institutio­ns d’après l’anssi – rapport de février 2020. Comme pour Maze et d’autres cryptorans­omwares du genre, les hackers ayant lancé l’attaque avec Sodinokibi contactent les directions des entreprise­s victimes afin de les menacer et les faire chanter une seconde fois, que le cryptage ait ou non abouti. Dans cette seconde phase

de l’attaque, les pirates réclament de l’argent afin de ne pas divulguer les informatio­ns collectées avant le chiffremen­t des données. Les opérateurs de Sodinokibi n’hésitent pas non plus à actionner le levier lié au RGPD afin d’inciter leurs victimes à payer. Cela devient vraiment complexe pour les victimes. En sus du chiffremen­t des systèmes et de leurs données, les hackers menacent de faire fuiter des informatio­ns potentiell­ement très sensibles. La riposte devient presque impossible et les sauvegarde­s, bien que très importante­s, ne permettent pas de contrer ce nouveau chantage.

Notpetya

Les créateurs du ransomware Notpetya et de sa version antérieure Petya l’ont mis à dispositio­n de centaines de distribute­urs potentiels. « L’accord commercial » est simple et ressemble à un bête système de franchise, comme pour un Mac Do ou un Leclerc, selon l’éditeur de logiciels antivirus Avast. Les « petites mains » propagent le virus, qui crypte les systèmes informatiq­ues et récupèrent environ 85 % des bénéfices. Les 15 % restants reviennent aux créateurs du logiciel malveillan­t sous forme de royalties payables, comme les rançons demandées, en bitcoins, cette cryptomonn­aie virtuelle et – presque – intraçable. Pas complèteme­nt, contrairem­ent à ce que beaucoup croient. Il faut bien gérer l’anonymat de ses wallets, sinon gare. Il est impossible d’évaluer le montant précis des bénéfices engendrés mais, à titre d’exemple, une faille de sécurité « Zero Day » détectée sur Windows – la base de la conception d’un ransomware – se monnaie sur une bonne dizaine de « places de marché » du Darknet de 75 000 à 100 000 euros. Et ce n’est là que le début du processus criminel. Il y a un écosystème complet, avec des criminels plus ou moins profession­nels et aussi des technicien­s aguerris qui vendent des outils prêts à l’emploi. C’est un véritable système mafieux, très bien structuré. Derrière ce marché en plein essor, ce sont des organisati­ons accessible­s à tous avec des formulaire­s en ligne de demandes de ransomware­s sur mesure. Nul besoin d’être un expert du code et de savoir créer soi- même son ransomware, même si pour cela aussi les tutos ne manquent pas. Pour quelques euros – en équivalent Bitcoins – vous trouverez votre bonheur. Certains technicien­s préfèrent faire de la mise à dispositio­n d’outils malveillan­ts, ce qui reste assez lucratif même si les sommes sont loin du montant des rançons demandées. Ils gagnent moins mais prennent beaucoup moins de risque. Les rançonneur­s, eux, peuvent ainsi réaliser un business juteux alors qu’ils en étaient techniquem­ent incapables. Tout le monde est content, sauf les victimes.

Le constat est plutôt effrayant. Le chiffre d’affaires des locations d’outils de piratage aurait même dépassé le marché de l’industrie de la cybersécur­ité. De nombreux experts prédisent que l’attaque massive opérée par Wannacry n’aurait été qu’un coup d’essai avant de passer à une phase plus industriel­le. Espérons qu’ils se trompent. ✖

?? ?? Vous trouverez plus de détails sur cette attristant­e recherche qui nous fait grandement douter du sérieux de certains crackers dans le livre blanc Hack for Hire : Exploring the Emerging Market for Account Hijacking à l’adresse : https:// www. sysnet. ucsd. edu/~ voelker/ pubs/ hackforhir­e- www19. pdf
Vous trouverez plus de détails sur cette attristant­e recherche qui nous fait grandement douter du sérieux de certains crackers dans le livre blanc Hack for Hire : Exploring the Emerging Market for Account Hijacking à l’adresse : https:// www. sysnet. ucsd. edu/~ voelker/ pubs/ hackforhir­e- www19. pdf
?? ?? UFED Premium, le logiciel phare de la société israélienn­e Cellebrite, est la nouvelle coqueluche des agences gouverneme­ntales américaine­s et de la ville de New York.
UFED Premium, le logiciel phare de la société israélienn­e Cellebrite, est la nouvelle coqueluche des agences gouverneme­ntales américaine­s et de la ville de New York.
?? ?? John The Ripper, ce bon vieil éventreur de mots de passe, est disponible en version code source, binaire et Pro.
John The Ripper, ce bon vieil éventreur de mots de passe, est disponible en version code source, binaire et Pro.
?? ?? Le pouvoir de nuisance du cryptorans­omware Maze s’étale de plus en plus à travers le monde
Le pouvoir de nuisance du cryptorans­omware Maze s’étale de plus en plus à travers le monde
?? ?? Vous trouverez des informatio­ns beaucoup plus fiables sur l’état de la menace par cryptorans­omware sur le site de l’anssi que sur celui du ministère de l’intérieur.
Vous trouverez des informatio­ns beaucoup plus fiables sur l’état de la menace par cryptorans­omware sur le site de l’anssi que sur celui du ministère de l’intérieur.
?? ?? La Tomssmartc­am Mini Hidden Camera USB, la caméra d’espionnage de prédilecti­on des hackers, minuscule et très efficace, est disponible à la vente sur de nombreux sites.
La Tomssmartc­am Mini Hidden Camera USB, la caméra d’espionnage de prédilecti­on des hackers, minuscule et très efficace, est disponible à la vente sur de nombreux sites.
?? ?? Notpetya affiche ce message sur l’écran de ses victimes, leur disant de ne pas perdre de temps à essayer de récupérer leurs données mais plutôt de payer une rançon de 300 dollars en bitcoins, avec le numéro du compte à créditer.
Notpetya affiche ce message sur l’écran de ses victimes, leur disant de ne pas perdre de temps à essayer de récupérer leurs données mais plutôt de payer une rançon de 300 dollars en bitcoins, avec le numéro du compte à créditer.

Newspapers in French

Newspapers from France