Prédiction : 2011 sera l’année de la désinformation sécuritaire

Prédiction : 2011 sera l'année de la désinformation sécuritaire


Je prends avec du retard le petit jeu des prédictions pour l’année 2011 ; à ce jeu-là, il y en a une qui paraît certaine : la désinformation sécuritaire continuera son bonhomme de chemin. Les rapports entre les cybercriminels et les médias n’ont en effet jamais été aussi ambigus ; comme régis par une tension fascination / répulsion réciproque. Lorsqu’elle porte son attention sur la sécurité informatique, la loupe à effet grossissant de la sphère médiatique est capable du meilleur comme du pire : du meilleur, quand le public est sensibilisé à bon escient, ou que la pression contre certains hébergeurs pare-balles devient si forte que tous leurs partenaires rompent leurs relations commerciales et laissent l’hébergeur malveillant privé de connectivité ; et du pire, quand des rumeurs se changent en faits, et les faits en fantasmes. C’est le jeu, il faut faire avec.

Or il se trouve que les criminels ont largement assimilé ce principe. Ces derniers mois, plusieurs événements montrent que ces derniers font preuve de manière croissante d’un usage fin de la désinformation. Par exemple l’an dernier, la cyber-armée iranienne était gratifiée d’un botnet de 20 millions de machines ; quelques semaines plus tard, on apprenait que ce chiffre était issu d’un faux serveur de contrôle, un honeypot mis en place par les pirates, destiné précisément à bluffer les chercheurs en sécurité en affichant des statistiques bidonnées. Cela aura permis au moins à la cyber-armée iranienne de bomber le torse dans les médias, et potentiellement d’attirer de nouveaux clients à la recherche de services de DDoS ; et peut-être même davantage.

Depuis des mois circulent en effet sous le manteau des listes d’adresses IP appartenant à des sociétés de sécurité et à des chercheurs individuels. On se souvient par exemple de l’initiative de Peter Kleissner, auteur d’un service anti-anti-virus ; depuis, des listes similaires (et même, plus complètes) sont produites — comme par exemple celle-ci, compilée par un individu répondant aux pseudonymes de « CyberCrimeWeb » et de « Cybe », qui agrège près de 1900 adresses IP utilisées par des sociétés de sécurité pour leurs investigations en ligne. Cette liste est au format Netfilter, le firewall Linux de base inclus dans le kernel : il suffit ainsi au criminel de récupérer la liste et d’alimenter son pare-feu afin de bloquer instantanément l’accès à son serveur à de nombreuses sociétés de sécurité. Et c’était peut-être l’une des vocations du faux serveur de contrôle mis en place par la cyber-armée iranienne : enregistrer les adresses IP des chercheurs parvenant à s’y connecter pour les identifier et mieux les bloquer par la suite.

Souvenons-nous également du fameux hébergeur Russian Business Network, qui proposait exclusivement ses services à d’autres criminels. Cet hébergeur, qui n’a jamais rien hébergé de légal (même pas un faux site pour se donner bonne conscience), se payait le luxe de donner des interviews dans les médias, quelques semaines à peine avant son déménagement en catastrophe en Chine, suivi de peu par l’arrêt complet de ses opérations. La pression médiatique avait finalement eu raison de ses liens de peering ; l’ambiance était devenue tellement électrique qu’aujourd’hui encore, le RIPE tente toujours de mettre sur pieds une politique anti-abus pour éviter de se retrouver de nouveau accusé de complicité avec un hébergeur frauduleux. Seulement voilà, cet emballement médiatique n’aura pas eu que des bienfaits : pendant des mois, et bien après la chute de RBN, le moindre malware ou site de phishing sur la planète était systématiquement et arbitrairement associé à RBN, qui même après sa disparition restait l’ennemi public n°1 (la Chine lui a depuis volé la vedette…). Par un fabuleux retournement sémantique, la disparition est devenue une diversion, RBN était désormais partout. Et dernièrement, un ransomware a fait son apparition ; ses auteurs ont tenté de surfer sur la vague « RBN » en baptisant leur malware « RBN Encryptor« . Une référence qui ne coûte rien et qui prolonge le mythe.

Dans un autre registre, il est d’ordinaire peu courant de voir un codeur de malware s’exprimer dans les médias ; et pourtant, c’est ce qu’a choisi de faire Gribodemon en début d’année dernière, auteur présumé de SpyEye, cheval de Troie bancaire lancé il y a plus d’un an et positionné comme concurrent de ZeuS. Depuis cette interview, la saga médiatique a été relancée par la cession supposée (annoncée sur le blog de Brian Krebs) du code-source de ZeuS à Gribodemon. Dès lors, l’attention des éditeurs AV s’est cristallisée sur la recherche d’indices qui permettraient d’identifier une fusion du code des deux malwares — en partant du présupposé gratuit que « malware + malware = super-malware », ce qui est loin d’être toujours le cas… La fébrilité médiatique autour de ce thème était telle qu’un criminel a bondi sur l’occasion pour publier une fausse information annonçant la vente d’une nouvelle souche virale issue de la fusion de ZeuS et de SpyEye : l’annonce s’appuyait sur une capture d’écran forgée de toute pièce avec Photoshop, pour faire croire à la réalité de cette nouvelle souche virale. L’intention initiale du pirate était probablement d’escroquer des acheteurs potentiels, mais la nouvelle créa rapidement le buzz, avant d’être démentie. Et depuis, la saga continue : Brian Krebs affirmait le mois dernier que le code-source de ZeuS (c’est-à-dire rien moins que le graal pour tout chercheur en sécurité travaillant sur le malware ZeuS) avait été mis en vente par un individu répondant au pseudonyme « Nem ». L’ennui, c’est que le bloggueur prend parti et juge cette annonce crédible en s’appuyant sur un seul élément : le nombre de « points de réputation » de Nem sur le forum où l’annonce a été postée. C’est bien maigre, quand on sait que UpLevel lui-même, l’auteur original de ZeuS, jouissait en 2006 et 2007 d’une réputation sans faille sur le forum CardingWorld, dont il était modérateur — ce qui ne l’a pas empêché d’escroquer de nombreux autres fraudeurs de plusieurs milliers de dollars sous prétexte du financement d’une opération chirurgicale et de sa rééducation (suite à un prétendu accident de moto qui à l’époque avait provoqué l’émoi parmi les fraudeurs…).

Une autre affaire apporte également un éclairage intéressant sur l’hyper-réactivité de la sphère médiatique à toute nouvelle information potentiellement sensationnelle liée à la sécurité informatique : il s’agit de l’étrange disparition de Dancho Danchev. Ce chercheur en sécurité d’origine bulgare, bloggueur (entre autres) sur Zdnet, n’avait plus donné signe de vie depuis septembre 2010 ; injoignable par e-mail, téléphone portable en permanence éteint pendant des semaines, les rumeurs ont vite couru sur la raison de sa disparition, d’autant que son blog publiait régulièrement les résultats de ses investigations sur des cybercriminels notoires. L’affaire prit un tour dramatique lorsque fut publié un appel public à témoin sur Zdnet, dans lequel apparaissait un e-mail bien intriguant de Dancho : celui-ci avait en effet transmis à Zdnet des photos, peu convaincantes, de ce qu’il interprétait comme un dispositif d’écoute électronique dissimulé dans son appartement. Cet appel à témoin fit immédiatement réagir un autre chercheur proche de Dancho, qui affirma qu’il y avait trop de fautes d’orthographe dans le mail de Dancho pour qu’il en soit réellement l’auteur ; partant de là, des scénarios d’enlèvement à la James Bond circulèrent, faisant tantôt intervenir les mafias et tantôt les services secrets bulgares. Une hystérie collective qui aurait dû s’arrêter lorsque la nouvelle de l’internement psychiatrique de Dancho fut rendue publique par ses parents : mais non, cela ne fit qu’empirer les rumeurs complotistes — certaines provenant d’ailleurs de personnes qui affirmaient déjà il y a plusieurs années avoir des éléments sur les liens entre RBN et les services secrets russes… Et puis un beau jour, Dancho réapparut par un message sur Twitter, puis sur Facebook, et recommença à blogguer ; et ce fut le flop, les thèses complotistes se turent.

Ajoutons à cette collection de rumeurs l’annonce quasi-officielle de la Chine qui répliquait dans les médias à l’accusation des Etats-Unis, en affirmant que la Chine était aussi une victime directe de StuxNet ; ou encore, la menace d’attaque d’Al-Qaeda sur les réseaux, qui était planifiée pour le 11 novembre 2007 mais qui ne vit jamais le jour — information qui provenait d’un unique forum en langue arabe ; l’outil d’attaque mis à disposition par l’Al Ansar Hacking Team et qui devait dévaster l’Occident était en fait de facture très rudimentaire et ne devint jamais fonctionnel, mais cela n’empêcha pas le web de buzzer. Il est d’ailleurs navrant de voir, des années après ce non-événement, des annonces similaires se diffuser de nouveau. Finalement, peu importe que l’attaque ait eu lieu ou pas : dans un monde virtuel où les retombées d’une attaque restent totalement abstraites pour qui n’est pas impacté directement, l’annonce équivaut à l’événement, et possède le même effet psychologique.

L’ennui, c’est que toutes ces informations erronées finissent en bout de chaîne par influer sur les décisions de nos responsables économiques et politiques : on retrouve par exemple le nombre totalement surestimé de 13 millions de machines infectées par Mariposa dans des documents officiels de l’US Cyber Command — nombre délirant dont le botmaster se moquait lui-même, affirmant qu’au mieux de sa forme, le botnet ne comptait « que » 100.000 à 200.000 machines, avec un pic à 900.000… A long terme, cette surenchère porte le risque de perdre toute crédibilité lors d’alertes légitimes sur de réels incidents de sécurité.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.