Prévention du piratage informatique - Dans la tête d'un pirate

L'être humain est par nature sociable et communique avec ses semblables. Soit il le fait sans arrière-pensée soit pour échanger ou obtenir de l'information. Point faible de cette intelligence, certaines personnes sont moins bien intentionnées que d'autres et visent un objectif malveillant en cherchant à communiquer avec les autres; vous l'avez compris en matière d'informatique, il s'agit des fameux cyberpirates.

Parmi les nombreux supports de communication accessibles aux pirates informatiques, Internet ne faisant l'objet de pratiquement aucun contrôle, il constitue un support de prédilection. Mais nous verrons qu'il représente aussi un sérieux défi pour les responsables de la sécurité informatique des entreprises et pour les utilisateurs privés.

De manière générale, tout utilisateur d'un ordinateur relié à Internet (ou à un réseau d'entreprise mal protégé) doit envisager qu'un jour un cyberpirate puisse accéder à son insu à ses données et qu'au pire il l'empêche d'y accéder ou les détruise.

Le principal objectif de la sécurité informatique est de maintenir l'intégrité des données. Sans cette protection, une organisation ne pourrait pas continuer son entreprise, et sans dispositifs de sécurité, votre ordinateur personnel risque rapidement de devenir la proie des pirates !

Sachant cela, comment protéger les biens informatiques, quels sont les moyens techniques mis à notre disposition ? Ainsi que nous l'avons évoqué dans l'article sur la cybercriminalité, cette forme de crime revête de très nombreuses formes, tellement nombreuses qu'il y a matière à écrire un livre sur le sujet !

En principe, dans une entreprise lourdement informatisée, les risques de piratage et leurs impacts potentiels sur les affaires ont été évalués, identifiés et chaque type de menace potentielle a fait l'objet d'une contre-mesure : face aux accès physiques non autorisés par exemple, l'entreprise se protège en utilisant des badges magnétiques personnels et des portes d'accès individuelles verrouillées, face aux virus informatiques l'entreprise se protège en utilisant un logiciel anti-virus, face aux tentatives d'intrusion par Internet, l'entreprise installe des dispositifs filtrant et analysant le trafic entrant et sortant (firewall, IDS, serveur d'authentification,...), etc.

Foi d'auditeur informatique, tout système informatique aussi bien pensé soit-il, présente des points faibles, des vulnérabilités ou des failles, c'est-à-dire des "portes dérobées" (backdoor) auxquelles le programmeur ou le fabricant n'a pas pensé, pour citer par exemple :

- un bug de sécurité dans le système d'exploitation qui permet de contourner les contrôles d'accès

- un logiciel mal programmé dont la valeur d'un champ n'est pas contrôlée créant de lui-même ou par du code lancé de l'extérieur un "overflow" (le programme écrit hors de l'espace alloué à la mémoire tampon, écrasant de ce fait ses propres informations), rendant le système imprévisible et offrant parfois une voie d'accès aux pirates

- une voie d'accès cachée (trap door) permettant aux développeurs de débuguer une application

- un script client-serveur (CGI) auquel le programmeur a donné tous les droits d'accès sur le serveur web

- une vulnérabilité d'un système de Single Sign-On (SSO) permettant à un utilisateur distant non authentifié de se connecter comme administrateur

- un bug permettant à un utilisateur distant authentifié de se connecter sur un serveur de clé de cryptage et d'y lancer du code provoquant un overflow.

etc., autant de failles ou de vulnérabilités que connaissent très bien les cyberpirates.

A ces failles, il faut bien sûr ajouter la divulgation d'informations sensibles par les utilisateurs eux-mêmes, soit par inadvertance soit intentionnellement par appât du gain ou d'autres motifs. Nous y reviendrons.

Si généralement les cyberpirates exploitent des vulnérabilités (failles) software connues, nous verrons ci-dessous que certains utilisent des méthodes inattendues, pas toujours lourdes ni complexes face auxquelles les responsables de la sécurité informatique sont pourtant démunis.

Un pirate informatique peut-il rester anonyme ? On entend ou on lit parfois qu'il serait possible de rester anonyme sur Internet. D'autres vous diront le contraire, et qu'il est impossible d'agir sans laisser de traces, apportant pour preuve les traces laissées dans les logs système et le fait que les pirates qui ont essayé de s'introduire dans les systèmes se sont faits attraper... Info ou intox ?

Pour le savoir, nous devons nous adresser aux principaux intéressés, les pirates eux-mêmes. Qu'en pense notamment les membres du Chaos Computer Club allemand et autres adeptes des conventions underground ?

L'expérience démontre qu'il est toujours possible de passer à travers les mailles du filet tendu par les experts de la sécurité informatique, et en particulier pour un pirate d'agir à l'insu de son hôte.

Encore aujourd'hui, en parallèle aux réseaux de téléphonie mobile allemands, il existe un réseau gratuit underground appelé "One" qu'utilise les pirates. La preuve est donc établie qu'il est possible de profiter des vulnérabilités des systèmes durant des mois sinon des années sans être inquiété.

Comme le mois dernier, le mois d'avant et depuis des années, on peut s'attendre ce mois-ci à ce que les sites Internet vulnérables soient piratés par des personnes bien ou mal intentionnées, afin de mettre leurs gestionnaires devant leurs responsabilités. Chaque mois sinon chaque semaine, les sites d'actualité tel Zataz ou les forums consacrés au sujet nous relatent des intrusions.

Le piratage informatique est une passion pour de nombreux jeunes, dont plus d'un deviendront des experts en leur domaine, des programmeurs, des administrateurs système ou des auditeurs. Malheureusement, alors que le pirate voit souvent son action comme un jeu d'adresse, son acte est parfois criminel dans la mesure où il peut coûter très cher à la victime en temps perdu, en manque à gagner, en destruction de documents et du fait de l'atteinte morale à l'image et la réputation de la personne ou de la société. On y reviendra.

Afin d'agir de manière préventive et conscientiser tous les directeurs d'entreprises, les administrateurs réseau, les webmasters, les auteurs de site Internet et les titulaires d'un compte sur Internet des risques qu'ils prennent en diffusant publiquement des informations ou en ne protégeant pas leurs biens informatiques, nous allons décrire la facilité déconcertante avec laquelle peut agir un pirate informatique. Nous ne décrirons aucune méthode d'intrusion dans le détail mais uniquement les points clés des plus répandues.

Nous allons prendre l'exemple d'une simple intrusion par Internet, puis nous généraliserons ce cas particulier en dressant la liste des risques et des menaces potentielles auquels nous pouvons tous un jour être confrontés.

"Connais ton ennemi et connais-toi toi-même; eussiez-vous cent guerres à soutenir, cent fois vous serez victorieux". Si cette règle s'appliquait à l'art de la guerre du temps de Sun Tzu, plus de deux millénaires plus tard, nous pouvons encore l'appliquer à l'art de la guerre dans le cyberespace. Pour comprendre comment opère un pirate et contrer ses attaques, il faut penser comme lui et se mettre dans sa tête.

Pirater proprement un système par Internet ou s'attaquer à un réseau en restant anonyme, sans laisser de traces comme l'a appris récemment à ses dépens le jeune pirate belge SpyNet, devient une tâche difficile aujourd'hui.

En effet, les autorités n'hésitent pas à imposer aux fournisseurs d'accès de stocker des informations personnelles sur leurs clients (adresse MAC, adresse IP, adresse e-mail, mots-clés, etc), de bloquer certains ports de leur ordinateur ou carrément de les moucharder afin de les surveiller.

Quand les fournisseurs d'accès ou de services ainsi que l'Etat en arrivent à ce niveau de contrôle, il faut se demander si la société n'est pas en train de perdre ses libertés fondamentales. Restons vigilants.

Face à des mesures de contrôle parfois illégales, le pirate n'a pas d'autre choix que de connaître les méthodes de son adversaire et d'être plus malin que lui. Ce sont les deux premières règles qu'il doit appliquer dans sa guerre dans le cyberespace s'il veut avoir une chance de s'en sortir victorieux.

Pour agir anonymement sur Internet, un pirate doit agir comme un espion. Il doit commencer par travailler à distance afin de ne pas être repéré. Il doit rendre son ordinateur anonyme, c'est-à-dire ne laisser aucune trace de son point d'entrée sur le net, ni software, ni hardware. Ensuite évidemment, il doit travailler avec un pseudonyme, personnel ou usurpé, et enfin, il ne doit laisser aucune trace locale de son travail derrière lui.

Pour mener à bien son projet, le pirate doit maîtriser les subtilités des configurations des serveurs et des commandes des systèmes d'exploitations qu'il veut attaquer, au risque de rester au portail. Il doit notamment parfaitement connaître les commandes système Microsoft et Unix et accessoirement de Linux, Novell et AppleTalk. Cela passe aussi par une connaisse parfaite du modèle OSI et, dans le cas d'Internet, de la pile TCP/IP (celle qui va de la couche réseau jusqu'à la couche application) et de la manière dont les différentes couches communiquent entre elles.

Pour connaître notre ennemi, nous serons donc également amené à faire référence au modèle OSI lorsque nous aborderons les menaces qui planent sur nos ordinateurs en fonction du type d'attaque et les moyens de protections. Voici pour commencer un schéma du modèle OSI et ses applications concrètes :

Couche	Modèle OSI	Modèle TCP/IP	Contenu, fonction ou appareil
7	Application	FTP, Telnet, SMTP, POP, HTTP, VoIP,...	Logiciel, format des données
6	Présentation	UUCP, Unicode, NCP, XDR...	Mise en forme, cryptage et compression
5	Session	SSL, RTP, RPC,...	Gestion des communications
4	Transport	TCP, UDP, RTP,...	Gestion des erreurs
3	Réseau	IP, ARP, ICMP, X.25, IPSec,...	Datagrammes, gestion du routage, Router, ...
2	Liaison de données	Trame Ethernet	MAC address, Wi-Fi, Bridge, Switch, Token,...
1	Physique	Bit, topologie et câblage	Modem, carte réseau, 10BaseT, Hub, Repeater,...

- Travailler à partir d'un lieu public où le pirate peut utiliser du matériel en libre service et discrètement (hotspot Wi-Fi, cybercafé, université, etc). Il n'a toutefois jamais un contrôle total sur l'ordinateur.

- Utiliser un ordinateur portable équipé d'une carte Wi-Fi (portée ~100 m) ou d'un périphérique Bluetooth (portée ~15 m).

L'idéal est d'opérer avec des connexions digitales et des systèmes relais analogiques (liaisons RF ondes-courtes et microondes) afin de brouiller les pistes.

C'est pour éviter ce piratage des lignes que la plupart des employeurs interdisent à leur personnel d'utiliser leur système Wi-Fi ou Bluetooth personnel dans l'entreprise, quitte à leur fournir gratuitement des smartphones mais dont les accès et autres synchronisations sont contrôlés.

Que le pirate opère depuis l'étranger voire même depuis un site offshore n'est pas une garantie d'immunité puisqu'Interpol pourra si nécessaire le poursuivre autour du monde. Mais généralement les pirates sont optimistes quant à l'issue de leur projet, restant dans leur pays ou les bureaux même de leur employeur et comptant sur leur savoir-faire pour glisser entre les mailles de la sécurité.

Côté logiciel, il y a pléthore de solutions que les pirates et les auditeurs IT notamment ne manqueront pas d'explorer. Citons-en quelques unes :

- BackTrack est un outil d'audit de sécurité. On peut soit l'installer sur le disque dur soit l'utiliser en "Live CD", c'est-à-dire uniquement chargé en mémoire. Basé sur Slax, sous licence GNU/Linux, il regroupe les distributions Whax et Auditor. Cet outil vous permet de tester les vulnérabilités de l'ordinateur cible, de le protéger, mais évidemment on peut l'utiliser dans l'autre sens, pour pénétrer un système.

- Knoppix est un système d'exploitation sous licence GNU/Linux. En version Live CD, il se charge totalement en mémoire, ne laissant aucune trace de l'attaque sur le disque local.

- Virtual PC ou Qemu est un émulateur de PC (processeur x86) qui permet de faire tourner un autre système d'exploitation sur un ordinateur. Une fois installé, le pirate opère à partir de ce système. Il le supprime lorsque son attaque est terminée.

Viennent ensuite tous les utilitaires permettant de scanner les ports d'un système : asmodeous, jakal, nmap, strobe, etc, sans oublier les logiciels permettant de casser les mots de passe comme John the Ripper et LophtCrack qui sont soit gratuits soit vendus très bon marché.

Ainsi que nous l'avons dit, un pirate digne de nom connaît également les commandes réseau et leurs options jusqu'au bout des doigts. Ipconfig, arp et autre ping sont des commandes ordinaires que tout administrateur réseau connaît mais qui deviennent des armes dans les mains d'un cyberpirate.

A travers les protocoles, les ordinateurs sont très bavards car ils s'échangent continuellement des messages pour établir et maintenir leurs connexions, pour se synchroniser, etc. Il faut donc que l'ordinateur utilisé en dise le moins possible tout en permettant au cyberpirate de mener son attaque ou lui permettre de leurrer la cible sur son identité.

Le pirate peut également exploiter le manque de prévoyance de la victime qui utiliserait la configuration système et les paramètres par défaut, sans aucune mesure de protection. Ou au contraire, il peut utiliser des ports ou des services qui ne soient pas standards pour éviter d'être de suite repéré par le système de surveillance du système adverse.

Le pirate va donc commencer par modifier l'adresse MAC de son ordinateur, c'est-à-dire l'adresse physique reconnue par les applications et les machines pour échanger les messages. C'est très simple, il suffit de modifier les propriétés de la carte réseau dans l'interface système : sur PC, il faut choisir la carte réseau, puis activer l'option "Adresse Administrée localement" et encoder dans le champ Valeur, un texte constitué de 12 caractères hexadécimaux. Pour empêcher cette modification, il est donc impératif d'interdire l'accès à cette option du Panneau de Configuration ou au fichier correspondant (devmgmt.msc sous Windows) en limitant les droits de l'utilisateur ou via les policies (stratégies).

Ensuite, un pirate sérieux ne va jamais utiliser une adresse IP fixe. Il laissera le système la choisir dynamiquement, et si possible utilisera une adresse IP différente à chaque session, quitte à effacer la table à chaque fois.

Il faut également veiller à sauvegarder le moins possible d'information sensible sur son propre ordinateur. En utilisant un émulateur par exemple, lorsque l'attaque est terminée, il est impératif d'effacer toute trace du logiciel d'émulation en utilisant un "degausseur" comme l'armée américaine l'exige (directive DoD 5220.22-M), mais c'est très cher, ou en réécrivant à de multiples reprises de nouvelles données sur le disque afin d'empêcher toute possibilité de récupérer les données effacées. Toutefois, ces méthodes ne sont jamais garanties à 100%. Pour preuve, voyez cette liste de logiciels de récupération de données effacées. En fait, la solution idéale pour effacer toute preuve consiste à détruire physiquement le disque dur.

Les connexions à distance par ligne téléphonique vers un serveur RAS sont connues pour leur vulnérabilité, encore faut-il que le pirate connaisse le mot de passe de l'un des utilisateurs.

L'alternative est de se rapprocher de la victime et de passer par une liaison Wi-Fi qui n'aurait pas été sécurisée. Et dans ce cas, la jurisprudence a déjà condamné la victime plutôt que le pirate pour ne pas avoir sécurisé son accès ! Autant savoir.

Sachant que les liaisons non sécurisées représente encore 30% des installations Wi-Fi des particuliers et deux fois plus dans les entreprises, c'est évidemment une porte d'entrée privilégiée sur le net qui est très exploitée. Mieux vaut donc ici également protéger votre connexion Wi-Fi. Pour ce faire, activez l'option cachant votre modem (SSID=1) et le cryptage WPA-PSK, au besoin avec un outil de génération de code et installez un long "passphrase". Voyez cette explication illustrée en anglais. Si vous disposez d'un router Wi-Fi, configurez-le également de manière à n'autoriser que les ordinateurs installés sur votre réseau local (familial) et aucun autre.

Le reste est l'affaire des pirates. Qui vont-ils ennuyer et dans quel but, ce qu'ils souhaitent visualiser, intercepter, écouter, bloquer, modifier ou détruire ne dépend que de leur envie du moment ou de leurs moyens. C'est un autre débat. Quant à leur identification et leur capture, c'est le rôle de la police criminelle de faire respecter les Droits de l'homme et du citoyen.

En ce qui nous concerne, nous savons que les cyberpirates existent et cette intrusion rapide dans la tête d'un pirate nous a fait comprendre combien il peut être facile pour une personne malveillante de s'attaquer à un ordinateur mal protégé connecté à Internet ou relié à un réseau d'entreprise.

A présent la question est de savoir comment et avec quel niveau de sécurité devons-nous protéger nos biens informatiques des cyberpirates ? Si nous avons déjà identifié les biens à protéger (c'est notre ordinateur personnel et les mémoires de masse périphériques ou le réseau d'une entreprise constitué de serveurs, ordinateurs de bureau, portables, périphériques et autres systèmes de backup), il reste à identifier les différents risques et menaces et déterminer comment peut-on les supprimer, les réduire ou s'en protéger. Ce sera l'objet des prochains chapitres.