Danger !, un logiciel malveillant peut s'installer

Cybercriminels : un arsenal en perpétuelle évolution

Dossier : CybersécuritéMagazine N°711 Janvier 2016
Par Éric FREYSSINET (92)

Il n’y a pas ici de recette de hacker, mais plu­tôt une liste des dif­fé­rentes méthodes d’at­taque. Des délin­quants spé­cia­li­sés, agis­sant vite, lais­sant peu de traces et très com­mu­ni­quants entre eux. Alors atten­tion aux tran­sac­tions ban­caires, aux secrets pro­fes­sion­nels ou au blo­cage de sa machine pour obte­nir une rançon.

Le mode de dif­fu­sion des logi­ciels mal­veillants prend aujourd’hui plu­sieurs formes. La pre­mière est la pro­pa­ga­tion auto­ma­tique, par la décou­verte sur les réseaux de nou­velles machines vul­né­rables. On parle alors de vers qui se pro­pagent ain­si d’une machine à une autre.

REPÈRES

Comprendre la menace est essentiel à la lutte contre la cybercriminalité. C’est essentiel bien évidemment pour ceux qui sont en première ligne, services d’investigation ou équipes œuvrant dans le domaine de la sécurité des systèmes d’information, mais c’est tout aussi important pour les victimes potentielles, ne serait-ce que pour prévenir ces menaces.
L’arsenal moderne des cybercriminels comprend un certain nombre d’outils et de plates-formes basés autour des logiciels malveillants : botnets, plates-formes d’exploits, systèmes de distribution de trafic. Un univers à explorer pour mieux l’appréhender, mieux se protéger voire participer à la lutte contre ces phénomènes.

Des logiciels malveillants qui se répandent en cascade

La seconde est la dif­fu­sion par pièce jointe à un cour­rier élec­tro­nique ou en télé­char­ge­ment direct depuis un site Web, la vic­time cli­quant sur le lien de télé­char­ge­ment ou la pièce jointe.

C’est notam­ment le cas sur les plates-formes mobiles où la forme la plus cou­rante d’installation d’un logi­ciel mal­veillant est l’installation volon­taire d’une appli­ca­tion d’apparence banale depuis un maga­sin d’applications.

Enfin, le télé­char­ge­ment au cours de la navi­ga­tion (ou drive-by down­load) se déroule à l’insu de la vic­time lorsqu’elle uti­lise son navi­ga­teur Inter­net. Ce der­nier mode d’infection est le plus cou­rant aujourd’hui, car il touche un plus grand nombre de vic­times poten­tielles, mais il sup­pose de mettre en œuvre une infra­struc­ture plus complexe.

Les cinq composantes de l’arsenal cybercriminel

La forme la plus cou­rante d’installation d’un logi­ciel mal­veillant est l’installation volon­taire d’une appli­ca­tion d’apparence banale. © RAWPIXEL.COM / FOTOLIA

Pre­mier type d’arme uti­li­sé : les bot­nets, réseaux de machines uti­li­sant un pro­gramme mal­veillant. Une machine infec­tée par un de ces logi­ciels mal­veillants devient un bot, qui dès lors com­mu­nique avec une infra­struc­ture de com­mande et de contrôle per­met­tant au maître du bot­net de pilo­ter l’ensemble des bots et de recueillir les infor­ma­tions confi­den­tielles collectées.

Une telle archi­tec­ture per­met de com­bi­ner un grand nombre de fonc­tion­na­li­tés. Ain­si, les délin­quants peuvent ins­tal­ler d’autres logi­ciels mal­veillants ou col­lec­ter des mots de passe, même si la fonc­tion pre­mière est autre, comme l’envoi de cour­riers élec­tro­niques non sol­li­ci­tés (spam).

L’infrastructure de com­mande et de contrôle du bot­net peut prendre dif­fé­rentes formes, des archi­tec­tures cen­tra­li­sées (repo­sant par exemple sur un simple ser­veur Web) aux archi­tec­tures décen­tra­li­sées (sur le prin­cipe des réseaux pair-à-pair). Ces der­nières sont les plus rési­lientes et sont choi­sies pour les bot­nets les plus abou­tis et, au bout du compte, les plus dif­fi­ciles à démanteler.

Des actions en réseaux

Autre aspect inté­res­sant des bot­nets : les méca­nismes de valo­ri­sa­tion uti­li­sés. Bien enten­du, le maître du bot­net cherche à com­mer­cia­li­ser les don­nées qu’il en tire, ou à sous-louer ses ser­vices (des attaques pour blo­quer l’accès à un ser­vice par exemple).

Dans d’autres cas, il peut se conten­ter d’administrer le bot­net et confier le « recru­te­ment » de vic­times à des affi­liés – à charge pour eux d’envoyer des spams ou de faire appel aux ser­vices d’un ges­tion­naire de plate-forme d’exploit pour infec­ter les sys­tèmes de leurs futures victimes.

Dans d’autres cas, le logi­ciel mal­veillant est com­mer­cia­li­sé sous forme de kit, le déve­lop­peur n’ayant alors pas à se sou­cier de prendre le risque de le mettre en œuvre lui-même : c’est le cas notam­ment de beau­coup de caté­go­ries de logi­ciels mal­veillants qui ont du suc­cès dans la com­mu­nau­té cyber­cri­mi­nelle comme les bot­nets ban­caires ou plus récem­ment les cryp­to­lo­ckers.

Plates-formes d’exploits

Lorsqu’un inter­naute se connecte, volon­tai­re­ment ou à son insu, sur une pla­te­forme d’exploit, celle-ci teste un cer­tain nombre de vul­né­ra­bi­li­tés connues en vue de les exploiter.

LES BANQUES EN LIGNE DE MIRE

Selon nos observations, recoupées par exemple par la synthèse qu’en réalise Europol, les botnets les plus préoccupants actuellement sont ceux qui ciblent les transactions bancaires avec un développement croissant de ceux qui s’en prennent aux terminaux de points de vente, ainsi que les cryptolockers (ou « rançongiciels chiffrants », qui rendent inaccessibles les fichiers personnels trouvés sur l’ordinateur et réclament le paiement d’une rançon).
De même, des architectures de botnets sont utilisées pour la réalisation d’étapes importantes des opérations d’espionnage industriel qui ciblent de nombreuses administrations ou entreprises aujourd’hui.

Il peut s’agir de vul­né­ra­bi­li­tés du sys­tème d’exploitation, du navi­ga­teur Web ou encore d’extensions logi­cielles (exten­sions pour visua­li­ser des ani­ma­tions, des vidéos ou des fichiers PDF par exemple).

La plate-forme d’exploit la plus célèbre était pen­dant quelques années le Black Hole exploit kit, déve­lop­pé et com­mer­cia­li­sé par un citoyen russe agis­sant sous le pseu­do­nyme Paunch et qui a été inter­pel­lé en octobre 2013 par la police de Moscou.

La plate-forme qui tient actuel­le­ment le haut du pavé est cer­tai­ne­ment l’Angler exploit kit. Celui-ci géné­re­rait des reve­nus cri­mi­nels attei­gnant 60 mil­lions de dol­lars par an rien qu’en dif­fu­sant une cam­pagne de rançongiciels.

Les dealers du cybercrime

Les sys­tèmes de dis­tri­bu­tion de tra­fic (TDS) sont une caté­go­rie de ser­vices cyber­cri­mi­nels qui montre la com­plexi­fi­ca­tion de cet écosystème.

Il s’agit, pour la per­sonne qui l’administre, d’être en mesure d’offrir à ses clients du tra­fic garan­ti avec un cer­tain nombre de carac­té­ris­tiques : pays d’origine, ver­sion du sys­tème d’exploitation ou encore volumétrie.

En amont, lui-même ou des sous-trai­tants attirent des vic­times vers le TDS, puis le sys­tème réa­lise un tri au pro­fit des dif­fé­rents clients. Sutra TDS, Kal­lis­to TDS ou Simple TDS sont quelques-uns des noms des « pro­duits » com­mer­cia­li­sés pour mettre en œuvre un tel système.

Hébergement : la stratégie du coucou

Un virus a bloqué le téléchargement
Une machine infec­tée par un logi­ciel mal­veillant devient un bot© CREATIVE SOUL / FOTOLIA

L’ensemble des cyber­cri­mi­nels uti­lisent les infra­struc­tures Inter­net exis­tantes pour accom­plir leurs méfaits. Mais ils ont besoin de cer­taines qua­li­tés com­plé­men­taires pour être encore plus efficaces.

Cer­tains d’entre eux se sont donc spé­cia­li­sés dans l’administration de ser­veurs, le détour­ne­ment de ser­veurs légi­times ou encore la créa­tion de véri­tables héber­geurs à l’abri des enquêtes judi­ciaires (autre­ment appe­lés bul­let-proof hos­ters).

Ils réa­lisent cela en abu­sant leurs employeurs, en louant des ser­vices chez des héber­geurs légi­times (tous les grands héber­geurs fran­çais et euro­péens en sont régu­liè­re­ment vic­times), ou encore en met­tant en place des socié­tés ayant pignon sur rue.

L’une des fonc­tions par­ti­cu­liè­re­ment atten­dues des cyber­dé­lin­quants est la pos­si­bi­li­té de mettre en place très rapi­de­ment un ser­veur proche de ses vic­times poten­tielles et d’en chan­ger rapi­de­ment en lais­sant le moins de traces possibles.

Plates-formes de marché et outils de communication

Ces acti­vi­tés ne pour­raient se déve­lop­per sans la capa­ci­té pour les cyber­dé­lin­quants de ren­trer en contact les uns avec les autres.

Ils se ren­contrent tra­di­tion­nel­le­ment sur des espaces de dis­cus­sion dédiés (forums Web, canaux de dis­cus­sion IRC), aus­si cer­tains d’entre eux se sont-ils spé­cia­li­sés dans l’animation de tels espaces avec des fonc­tion­na­li­tés sup­plé­men­taires : pro­cé­dure d’intégration, nota­tion, garan­tie de l’anonymat, nota­tion des ser­vices offerts par les uns et les autres, ser­vices de véri­fi­ca­tion de numé­ros de carte ban­caire volés ou encore de logi­ciels mal­veillants pour s’assurer que le pro­duit com­mer­cia­li­sé n’est pas détec­té par les antivirus.

LA PISTE DE L’ARGENT

Une des catégories d’acteurs qui intéresse les enquêteurs est celle des intermédiaires financiers, c’est-à-dire l’ensemble de ceux qui permettent de blanchir les revenus de ces trafics.
Certains se sont spécialisés dans le recrutement et la gestion de mules qui font transiter sur leurs comptes bancaires l’argent détourné ou réexpédient les colis. Ces activités se complexifient avec l’avènement des services de monnaie électronique.
Même s’ils semblent évidents à cibler dans l’enquête judiciaire (avec l’idée de remonter la piste de l’argent), leur action constitue souvent un véritable paravent qui rend très complexe et coûteuse en temps l’identification des véritables commanditaires.

Ces plates-formes de dis­cus­sion sont héber­gées aus­si bien sur des ser­veurs libre­ment acces­sibles sur Inter­net (avec un simple navi­ga­teur Web) ou uni­que­ment via une connexion sécu­ri­sée par le pro­to­cole d’anonymisation Tor.

Les délin­quants y apprennent les méthodes, dis­cutent les offres ou encore affichent leurs publicités.

Assez rapi­de­ment, la dis­cus­sion se porte ensuite sur d’autres moyens de com­mu­ni­ca­tion plus confi­den­tiels, comme des cour­riers élec­tro­niques jetables et chif­frés ou l’utilisation de mes­sa­ge­ries instantanées.

Ain­si, le logi­ciel de dis­cus­sion inter­per­son­nelle ICQ était très uti­li­sé dans la pre­mière moi­tié des années 2000 ; il a été pro­gres­si­ve­ment rem­pla­cé par le pro­to­cole Jabber/XMPP, indé­pen­dant d’un quel­conque four­nis­seur de ser­vices et per­met­tant d’y rajou­ter faci­le­ment une couche de chiffrement.

Un écosystème en mutation

L’évolution de la délin­quance numé­rique au cours des vingt der­nières années a d’abord mar­qué un retrait des formes clas­siques de cri­mi­na­li­té orga­ni­sée (struc­tu­rées, stables, dont la taille est moyenne à grande) pour des formes d’organisation plus diffuse.

Cartes bancaires volées
Cer­tains délin­quants offrent des services
de véri­fi­ca­tion de numé­ros de carte ban­caire volés. © SUMIRE8 / FOTOLIA

On voit appa­raître une véri­table bal­ka­ni­sa­tion des acteurs, cha­cun s’étant spé­cia­li­sé dans un rôle don­né, cher­chant un maxi­mum de flexi­bi­li­té pour les uns ou un mini­mum de risques pour les autres.

Cette frag­men­ta­tion contri­bue à rendre encore plus com­plexes les enquêtes judi­ciaires. Ain­si, si l’on arrive plu­sieurs semaines après le début d’une cam­pagne de dif­fu­sion d’un logi­ciel mal­veillant, il est pos­sible que le maître du bot­net fasse appel à un TDS dif­fé­rent, un autre admi­nis­tra­teur de plate-forme d’exploit ou un four­nis­seur de spam moins coû­teux ou plus efficace.

Et évi­dem­ment les traces des opé­ra­tions cor­res­pon­dant aux vic­times qui ont d’abord contac­té les ser­vices d’enquête ont alors tota­le­ment disparu.

Pour cette rai­son, il est indis­pen­sable que la jus­tice, les enquê­teurs et les groupes de spé­cia­listes ou entre­prises spé­cia­li­sées tra­vaillant sur ce type de menaces prennent rapi­de­ment le recul néces­saire : com­prendre com­ment les menaces sont dis­tri­buées, com­ment elles sont orga­ni­sées et quelle est leur dyna­mique, sans jamais s’arrêter à une pho­to­gra­phie dans le temps, pour être en mesure d’identifier les cibles de leur action.

Cela veut aus­si dire qu’il ne faut pas for­cé­ment s’intéresser à un logi­ciel mal­veillant en par­ti­cu­lier, mais à l’ensemble de l’écosystème qui tourne autour.

Il sera par­fois plus effi­cace de cher­cher à s’en prendre à une infra­struc­ture de dis­tri­bu­tion de tra­fic ou une plate-forme d’exploit qu’à un petit bot­net opé­ré par un délin­quant ayant acquis un simple kit.

Une lutte impliquant de nombreux acteurs

Les pistes pour lut­ter contre ces nou­velles menaces sont com­plexes, mais la dif­fi­cul­té de la tâche rend cette com­plexi­té néces­saire. En effet, les suc­cès sont encore trop peu nom­breux et le déve­lop­pe­ment de la cyber­dé­lin­quance est en accélération.

DES GROUPES CRIMINELS TRÈS ORGANISÉS

En parallèle d’un écosystème cybercriminel diffus, certains indices récents font apparaître l’émergence de nouvelles formes de groupes criminels très organisés. D’abord, on note un investissement croissant des groupes criminels organisés classiques dans certaines de ces délinquances numériques, comme lors des attaques massives contre le marché du carbone.
Ainsi, de nombreux observateurs notent l’apparition de groupes très structurés, comme le groupe Carbanak qui serait derrière un détournement massif dans des banques notamment situées en Russie.

Il est d’abord impor­tant de bien com­prendre les menaces, de par­ta­ger cette com­pré­hen­sion et de prendre sys­té­ma­ti­que­ment le recul néces­saire pour bien com­prendre l’ensemble des acteurs aux­quels on peut être confronté.

Il faut être en mesure d’inventer les tech­niques per­met­tant de détec­ter ces menaces, mais aus­si d’imaginer celles qui per­met­tront de lut­ter acti­ve­ment contre elles, par exemple iden­ti­fier les fai­blesses dans les infra­struc­tures de com­mande et de contrôle qui pour­ront être exploi­tées. Il est indis­pen­sable que les actions menées contre ces acteurs soient coor­don­nées entre les dif­fé­rentes par­ties prenantes.

Aucune action tech­nique ne sera effi­cace si elle n’est asso­ciée à l’identification et à l’arrestation des auteurs des méfaits, qui sans cela auront tout loi­sir de relan­cer leurs activités.

Ces actions peuvent évi­dem­ment avoir pour objec­tif de rendre plus coû­teux le déploie­ment des menaces, par exemple en déman­te­lant sys­té­ma­ti­que­ment les infra­struc­tures uti­li­sées chez les héber­geurs légi­times ou encore en infor­mant les vic­times poten­tielles et en les dotant d’outils per­met­tant de détec­ter et net­toyer ces menaces dès qu’elles apparaissent.

POUR ALLER PLUS LOIN

Éric Freyssinet, « Lutte contre les botnets : analyse et stratégie », mémoire de thèse de doctorat

Tous ont donc un rôle à jouer dans cette lutte, en par­ti­cu­lier les acteurs de la réponse à inci­dents, voire de la répa­ra­tion infor­ma­tique, qui col­lectent poten­tiel­le­ment tous des infor­ma­tions essen­tielles sur la réa­li­té de cette menace au contact des victimes.

C’est aus­si un champ d’action pour les héber­geurs, les four­nis­seurs d’accès à Inter­net et très cer­tai­ne­ment la com­mu­nau­té aca­dé­mique. Il faut sou­hai­ter que se mul­ti­plient les ini­tia­tives leur per­met­tant d’échanger et de se coordonner.

Accès aux fichiers bloqués par le « rançongiciel » CryptoLocker
Le « ran­çon­gi­ciel » Cryp­to­Lo­cker est pas­sé par là

Poster un commentaire