SecurityOverviewLuxembourg
From CSRRT-LU
| Table of contents |
Panorama Cybercrime Luxembourg 2005-2006
Dans le but de décrire ce que l’on appelle les attaques sur les réseaux de l’information et de la communication, des termes aussi divers que : « cyberdélinquance », « crime numérique », « crime binaire », ou encore « cybercrime » peuvent indifféremment être utilisés. Afin de conserver une homogénéité dans la reconnaissance sociétale et fédératrice du terme, nous conserverons le terme de « cybercrime » pour la description de ce phénomène.
Quelle est l’importance du cybercrime ainsi que son impact au Luxembourg ?
Il est toujours difficile de donner une réponse officielle à cette question, d’autant plus qu’il n’existe pas de structure nationale de type CERT (Computer Emergency & Response Team) « officielle », en charge de relever les incidents de sécurité de ce type, de les traiter, de les synthétiser et de communiquer à leur propos, dans le but d’améliorer la sécurité des infrastructures numériques en place. Ainsi, il est presque impossible de quantifier, voire de qualifier objectivement (de manière globale) les cybermenaces actives au Luxembourg.
A ce jour, seule une structure de type A.S.B.L : C.S.R.R.T (Computer Security Research & Reponse Team – http://www.csrrt.org.lu) joue ce rôle au Grand-Duché et est reconnue en tant que telle par l’agence européenne de la sécurité de l’information, plus connue sous le dénominatif d’ENISA (European Network & Information Security Agency – http://www.enisa.eu.int).
La majorité des pays, au niveau international, se sont organisés « pour faire face à une menace globale, par une réponse globale », généralement en mettant en place au moins une structure de type CERT, souvent nationale, voire parfois plusieurs par secteur d’activité économique. Pour l’heure, ce type de structure n’a pas encore été créé au Luxembourg, néanmoins, une telle réalisation est prévue et mentionnée dans le pilier numéro deux du Plan Directeur National de la Sécurité des Réseaux Luxembourg, qui en compte quatre au total. [Le premier pilier « sensibilisation » ayant d’ores et déjà été concrétisé par la mise en place de la structure CASES (Cyberworld Awareness & Security Enhancement Structure - http://www.cases.lu)].
Autant de questions auxquelles nous tenterons de répondre via le seul terrain d’observation innovant, disponible au Grand-Duché du Luxembourg, à savoir le projet « HoneyLux » qui s’inscrit dans le cadre international du HoneyNet Project (www.honeynet.org, HoneyNet étant un projet de Recherche, reposant sur le volontariat et qui fédère l’ensemble des HoneyPots disponibles sur Internet. Les HoneyPots (littéralement pots de miel) visent à piéger des crackers afin d’étudier leurs techniques d’attaques. HoneyNet est littéralement un réseau d’HoneyPots). HoneyLux est un HoneyPot luxembourgeois (sachant que la plus forte présence HoneyPots se situe aux Etats-Unis) constituant un véritable projet de Recherche et reposant sur le volontariat des organisateurs, chercheurs et autres participants. Il est constitué de machines interconnectées sur Internet à partir du territoire luxembourgeois, apparaissant de manière anonyme (implantation confidentielle), telles des machines de production classiques. Ainsi, HoneyLux est actif depuis quatre ans au Grand-Duché du Luxembourg et vise à capturer les traces de piratages informatiques, pour ensuite les étudier et en tirer des enseignements sur les techniques utilisées par les crackers ; traduisant de facto la menace du moment sur le réseau Internet. A l’inverse d’une approche théorique, HoneyLux vise une approche purement pratique dans le but principal de mieux appréhender les difficultés rencontrées sur le terrain ? Ceci, dans l’optique de déceler les nouvelles attaques, de manière à mieux s’en protéger. L’intérêt réside également dans le fait que HoneyLux capte les attaques mais les stocke également, ce qui permet de les analyser plus en profondeur. Cela permet d’effectuer une analyse de type « légiste » (Forensic Analysis) de l’entrave à l’information et à la communication.
De manière générale, il faut savoir qu’une machine HoneyLux est attaquée dans la minute suivant sa mise en ligne sur Internet…
Cependant, avant toute analyse, déterminons notre problématique en définissant la cybercriminalité, ainsi que ses principaux acteurs:
– Cadrage du Cybercrime :
- Le cybercrime : réalité d’une menace technique et sociale
Le cybercrime est désormais un véritable état de fait. L’ensemble des nations a tôt fait de réagir en mettant en place des contre-mesures, (le plus souvent d’envergure), vis à vis de cette menace. De nombreux pays se sont sérieusement organisés dès le développement exponentiel d’Internet, notamment lorque les offres de connexion sont devenues possibles vers le citoyen.
Ainsi, la France a, par exemple, dès 1994, mis en place des services de police spécialisés pour non seulement lutter contre la cybercriminalité, mais aussi pour sensibiliser les entreprises à la nécessité de se protéger contre ces nouvelles menaces à l’encontre de l’information et de la communication publiquement mises en réseau. Très tôt, le basculement de l’économie vers le numérique, associé à sa mise en ligne vers des réseaux publics, rencontra les inquiétudes étatiques, les gouvernements craignant concrètement une menace pour ce modèle de développement économique via les réseaux, devant plutôt globalement être soutenu (Initiative e-Europe de l’Union Européenne), et non soumis aux diverses tentatives possibles de dégradations/détériorations/destructions. La multiplication des affaires de piratages informatiques (vol d’informations, espionnage d’informations, « défiguration » de sites web, mise hors service de sites,…) a donc considérablement renforcé les initiatives de protection des pouvoirs publics.
La première loi concernant directement la criminalité informatique et la répression de la cyberdélinquance a été adoptée en 1984 aux Etats-Unis (Comprehensive Crime Control Act), et rapidement amendée par le Computer Fraud and Abuse Act de 1986 qui criminalise six types d’accès frauduleux aux systèmes informatiques, en fonction de la finalité de l’opération d’intrusion réalisée.
En France, les enjeux de la sécurité informatique ont été pris en compte dans la loi Godfrain du 05 janvier 1988, reprise dans le Nouveau Code pénal sous les articles 323-1 et suivants. En cette matière l’arsenal juridique est formé de trois délits distincts, visant les atteintes aux systèmes et les atteintes aux données.
Au Luxembourg, la loi du 15 juillet 1993 détermine les infractions pénales informatiques, s’inspirant fortement de la loi Godfrain (France) : - article 509.1 : Accès frauduleux ou maintien non autorisé dans un système de traitement ou de transmission de données. - - article 509.2 : Entrave intentionnelle au fonctionnement d’un système de traitement de données - - article 509.3 : Introduction intentionnelle, directe ou indirecte, de données dans un système de traitement de données, suppression ou modification de données, suppression ou modification des modes de traitement ou de transmission de données. Pour ces trois infractions les peines encourues varient entre 2 mois et 3 ans d’emprisonnement et entre 500 et 25 000 Euros d’amende.
- Qu’est-ce que la cybercriminalité ? (http://www.cases.lu)
La cybercriminalité se définit communément, comme toute action illicite, visant l’intégrité d’un site informatique déterminé, ou bien menée à l’aide d’un outil informatique. Cette définition se décline selon l’utilisation faite du médium informatique. En effet, soit ce dernier est utilisé par le délinquant comme outil d’un délit ou d’un crime conventionnel (escroquerie, menaces…), soit l’ordinateur est la cible même visée par le délinquant (vol, utilisation frauduleuse ou encore destructions de données,…).
- Qui est concerné ?
Tous les citoyens, PME et administrations, connectés via leur ordinateur sur Internet, peuvent être victimes d’un, voire de plusieurs cas de piratages informatiques. Les caractéristiques peuvent être variées et correspondre soit à un délit, soit à un crime conventionnel, soit en utilisant l’ordinateur comme relais, ou soit en prenant véritablement l’ordinateur pour cible. Ainsi, le simple fait de connecter sa machine à Internet suffit pour ouvrir une porte d’accès potentielle à toutes ces menaces. Actuellement, les statistiques établissent un court délai d’environ quinze minutes de connexion, avant de subir au moins une tentative de connexions illicites (de type scan) ou tout du moins non sollicitées.
- Comment cela fonctionne-t-il ?
La cybercriminalité se divise en actions utilisant le médium informatique (attaques « conventionnelles ») ou bien s’attaquant à l’intégrité même du médium (attaques « technologiques »).
· Attaques dites « conventionnelles » :
Ces attaques utilisent les réseaux d’information et de communication en tant que support, il s’agit de profiter de ce type d’innovation technologique pour en tirer profit de manière illicite. Le plus souvent, le but est de profiter de la crédulité des personnes victimes pour obtenir des informations confidentielles et les utiliser ensuite de manière illégale.
Exemple : c’est le cas des escroqueries dites « à la nigérienne ou encore SCAM 4-1-9 (du nom de l’article pénal prévoyant cette escroquerie au Nigéria) ». Il s’agit d’un mail proposant de manière urgente le dépôt d’une somme importante sur votre compte bancaire moyennant une rétribution non négligeable « pour service rendu » ! Le but est, bien entendu, de récupérer vos données bancaires pour un usage illégal. C’est également le cas des diverses tentatives maquillées, d’obtention de données bancaires, via la technique dénommée « phishing ».
Il existe toute sorte d’infractions classées dans cette catégorie, et ce type de menaces est en constante augmentation, nous pouvons notamment citer : - les extorsions de fond, - la fraude à la carte de crédit, - les menaces répréhensibles diverses, de type « vengeance », - la fraude commerciale, - les abus de confiance et escroqueries diverses, - les détournements de mineurs…etc.
Il s’agit véritablement de l’ensemble des crimes et délits « traditionnels » se transposant via les réseaux numériques d’information et de communication. Les motivations quant à ces attaques sont essentiellement de type cupides (le but est la recherche d’un gain, qu’il soit financier ou matériel) ou bien encore immorales, « malsaines » et maladives (pédophilie, réseaux de prostitution, racisme, révisionnisme, etc).
· Attaques dites « technologiques » :
Ce type d’attaques apparaît non négligeable en regard de leur évolution. Elles concernent essentiellement celles qui visent l’intégrité du médium informatique. A ce titre, elles sont nombreuses et corrélatives au nombre des vulnérabilités à exploiter. Elles se déclinent, principalement, ainsi : - usurpation d’adresses I.P, - dépôt de programmes espions (spywares), - - dépôt de programmes pirates (adwares, rootkits, sniffers,…), - - intrusions, - - détériorations diverses, - - destruction de sites, - - vol d’informations, - - saturations de sites, - - rebond à partir de sites informatiques victimes, etc.
Les motivations diffèrent quant à l’attaque numérique du médium, elles peuvent-être :
- stratégiques (visant des informations sensibles classifiées), - idéologiques (transformations de pensées prédominantes ou de courant d’idées en actes illicites), - terroristes (toute action visant à déstabiliser l’ordre établi), - cupide (le but est la recherche d’un gain, qu’il soit financier ou matériel), - ludique (agissements par amusement ou loisir), - vengeur (réaction à une frustration quelconque). Souvent, plusieurs de ces motivations peuvent être combinées lors d’une attaque de ce type. Elles visent soit la confidentialité, soit l’intégrité mais aussi la disponibilité d’un système informatique (voire une combinaison des trois).
Le pirate informatique use généralement de procédures diverses pour attaquer une ressource visée. Les pratiques les plus souvent rencontrées sont les suivantes :
- la prise d’empreinte : généralement, avant d’attaquer une cible particulière, le pirate procède à un relevé de toute information pouvant mener à une cartographie (photographie détaillée) de l’organisation ou de l’individu qu’il vise - le balayage systématique de réseau : correspond à la recherche d’informations au sens large (image consistant à « clencher » chaque porte pour déterminer celles qui peuvent s’ouvrir). Les pirates testent des systèmes cibles pour vérifier s'ils sont actifs, et déterminer quels ports de communications peuvent être en veille - le recensement : après la prise d’empreinte et le balayage de réseau, le pirate va ensuite chercher à identifier des comptes d'utilisateurs valides ou des ressources partagées mal protégées. Ces opérations sont appelées les opérations de « recensement ». Il s’agit véritablement de la phase précédent celle plus active de pénétration et d’intrusion. Généralement, lorsqu'un nom d'utilisateur (ou de ressource partagée) est recensé, le délai est court avant que l'intrus ne parvienne à deviner le mot de passe correspondant ou à identifier une faille associée au protocole de partage de ressources - le fichier piégé : le pirate peut tenter une attaque en envoyant un e-mail piégé, contenant un « cheval de Troie » (voir fiche CASES « Cheval de Troie ») masqué dans un programme de type lambda, qui pourra lui permettre si le destinataire l’active, de prendre par la suite, à distance, la main sur le micro-ordinateur victime - le « social-engineering » : dans ce cas précis la victime n’est pas confrontée à une manipulation technique mais directement à un pirate qui se fait passer pour une personne identifiée afin d’avoir accès à des informations tel qu’un mot de passe par exemple. Ce scénario est pratique courante ; les pirates agissent souvent par pression psychologique et/ou invoquent l’urgence pour obtenir rapidement des renseignements sur la victime.
- Pourquoi se protéger ?
La cyberdélinquance constitue une menace considérable sur Internet, les pertes peuvent être véritablement conséquentes, pouvant entraîner des pertes financières directes, de réputation ou encore de temps ; que l’on soit un particulier, une entreprise ou bien une administration. Elle affiche des visages multiples et ne connaît pas de frontières. Ce caractère générique et instable exige une nécessaire prise de conscience ainsi que la mise en place de contre-mesures adéquates.
- Comment se protéger ?
La protection passe par une nécessaire prise de conscience du phénomène et par le choix et la mise en place de contre-mesures adéquates : - penser au phénomène de la cyberdélinquance dès que l’on se connecte, mais surtout dès qu’un élément particulier non prévu survient, - - mettre en place des réflexes de sécurité de base tels que : o ne pas ouvrir des e-mails en provenance d’inconnus et ne pas exécuter de pièces-jointes associées, o mettre à jour son OS, son anti-virus et son firewall, o ne pas surfer sur des sites « trop » underground, o se méfier des inconnus, etc, - - effectuer une veille quant aux menaces courantes, - - faire un usage raisonné et adapté d’Internet, - - ne pas faire « trop facilement confiance au premier venu »…
Autant de règles simples qui pourront vous permettre d’éviter de devenir trop aisément un catalyseur de la « menaçante » cyberdélinquance. - Qui sont les cyberdélinquants (http://www.cases.lu)
Note : Pour décrire ces mêmes acteurs sociaux, est souvent également utilisé, et de manière très générale, voire abusive, le terme « cybercriminels », nous préfèrerons celui de cyberdélinquants, plus global. Les actes de piratage informatique, au cœur des réseaux d’information et de la communication, sont l’œuvre d’acteurs sociaux, communément dénommés « cyberdélinquants », qu’il convient de connaître et de comprendre, notamment afin d’appréhender correctement les caractéristiques de ce type de menaces,
- Les cyberdélinquants
Les cyberdélinquants se définissent communément, soit comme acteurs menant un délit ou crime conventionnel à l’aide d’un outil informatique, soit comme acteurs, visant l’intégrité d’un site informatique déterminé.. Nous trouvons dans cette première catégorie des cyberdélinquants de type :
- cyber-escrocs, - cyber-fraudeurs, - cyber-voleurs, - cyber-abuseurs, - cyber-déviants - cyber-pédophiles…etc.
Quant à la seconde catégorie, les acteurs s’attaquant au médium informatique, ils jouissent depuis l’avènement d’Internet, d’un véritable succès médiatique ouvrant à une véritable catégorisation, qui, en terme de recherche, demeure critiquable, mais qui en terme de compréhension permet d’appréhender les formes possibles de menaces effectives. Les cyberdélinquants se caractérisent par des capacités techniques certaines et des motivations diverses, tout en provenant d’horizons sociaux multiples. Afin d’en faciliter la compréhension, il est d’usage de procéder à leur classification. Ainsi, sont principalement catégorisés au cœur de la cyberdélinquance, trois communautés bien distinctes, aux relations tendues, à savoir les hackers, les crackers et les script-kiddies. De plus, si ces différentes communautés ont bien pour point commun l’illégalité reconnue dans laquelle elles agissent, leurs motivations respectives, quant à elles, divergent fortement.
- Les hackers
Le terme de hacker est souvent utilisé à mauvais escient par la presse écrite pour couvrir l’ensemble des pirates informatiques. Cet amalgame contribue à propager une image fantasmée et alarmiste des menaces informatiques. Situation fortement paradoxale, quand on sait que les hackers constituent certainement, la communauté la moins nuisible, au sein de l’univers encore très méconnu de la cyberdélinquance. En réalité, si tout hacker peut être « étiqueté » en tant que cyberdélinquant, tous les cyberdélinquants ne sont pas des hackers.
Les hackers ou « chapeaux blancs » sont certainement les plus connus, mais aussi les plus incompris des cyberdélinquants. Ils se démarquent des crackers et des script-kiddies par leur sens de l’éthique. Contrairement à ces derniers, ils n’attaquent pas leurs cibles, mais se contentent d’enfreindre la sécurité de leurs systèmes pour en souligner les failles. Il s’agit pour le hacker, à travers des moyens, illicites il est vrai, de relever un « challenge » technologique tout en agissant pour le bien des organisations attaquées, puisqu’il permet l’amélioration de la sécurité du système d’information concerné. Hautement qualifiés et compétents, les hackers sont quasiment indétectables. Leurs actions sont motivées par une idéologie commune, à savoir, la conviction que la propriété intellectuelle doit appartenir à tous ceux qui en ont la compréhension et que toute tentative de légiférer en matière de cyberespace doit être combattue.
La communauté hacker partage une culture commune rassemblant des programmeurs expérimentés, des spécialistes réseaux et des passionnés des technologies de l’information et de la communication, au sens large du terme. L’histoire de cette communauté date de plusieurs décennies, remontant aux premiers développements du concept d’ordinateur, et aux premières expériences du réseau ARPAnet.
Ce sont les propres membres de cette communauté qui se sont dénommés hackers (du verbe to hack, littéralement « hacher » : pour mieux comprendre, mieux développer, et par extension mieux sécuriser). Ils sont à l’origine du développement d’Internet, et ont, entre autre, également permis le développement des systèmes d’exploitation tels que Unix, et récemment Linux. Il convient d’associer ces acteurs sociaux au concept de bâtisseurs plutôt que de destructeurs, dernier terme d’importance qui différencie, respectivement et définitivement, les hackers des crackers.
Note : Eric S. Raymond, célèbre auteur de « Jargon File » et de « New hacker’s dictionnary », permet de définir très finement la terminologie relative au hacker, avec le respect de l’ensemble de la communauté concernée. Un célèbre article « How to become a hacker » permet de mieux comprendre ce contexte. Pour aller plus loin : http://www.catb.org/~esr/
- Les crackers
Le cracker ou « chapeau noir », pénètre, au contraire du hacker, les systèmes informatiques avec l’intention de nuire. Il peut arriver que le cracker attaque pour des raisons ludiques, mais en général, il essaye de tirer un gain de ses exactions, comme le fait de nuire à un concurrent, de s’enrichir personnellement ou d’acquérir des données confidentielles. Bien souvent, il s’agit de véritables criminels, fonctionnant dans des réseaux mafieux, pour leur propre compte ou le compte d’autrui. Souvent très compétents techniquement, ils peuvent égaler les compétences des hackers, cependant, ils en représentent véritablement le côté sombre, puisqu’ils ne font pas profiter une victime de leur savoir et que celle-ci ne peut en profiter pour améliorer ses paramètres de sécurité. Bien au contraire, leur but est de maximiser cette connaissance à leur propre profit. Aucune éthique n’est présente dans la réalisation des actes des crackers, au contraire des hackers. Souvent, les piratages relevés par la presse font état des actes de crackers, il s’agit généralement de piratages de serveurs web (transformation de pages), de saturation de sites, de transformations de données, de rebond pour pirater d’autres sites, etc. Mais, chaque action révèle toujours une volonté de nuire à une victime potentielle. En terme de cracking, d’autres acteurs sociaux sont catégorisés comme étant particulièrement dangereux : les « enfants du script » ou encore « script kiddies ».
- Les script kiddies
Les scripts kiddies forment le bas-de-gamme du piratage informatique. Si les deux communautés précédentes se focalisent sur des cibles spécifiques, les script-kiddies eux, lancent leurs attaques de manière totalement aléatoire, en utilisant des listes de commandes groupées dans un script, d’où leur nom.
Ce type d’attaque ne demande pas un très haut niveau de connaissance informatique ; c’est pourquoi le script kiddy est souvent un adolescent voire parfois un enfant. Ce dernier utilise des logiciels « prêt à l’emploi », ne maîtrisant nullement les conséquences de l’action entreprise, ni même son fonctionnement. Le comportement des scripts kiddies est totalement irresponsable, pouvant atteindre n’importe quelle ressource informatique, y compris les ressources informatiques de la compagnie où travaillent leurs parents, par exemple. Dans l’ensemble, ces communautés ne se mélangent pas. Les hackers ont très peu de considération pour les crackers (qu’ils considèrent comme de véritables pirates informatiques) et inversement. Quant aux script-kiddies, ils font partie d’un monde totalement à part, ne bénéficiant d’aucune considération.
A partir de cet état des lieux, la possibilité pour une commune ou une PME de se faire attaquer par un hacker apparaît pratiquement nulle. Cette communauté ne comporterait par ailleurs que quelques centaines de membres au niveau mondial, et n’est attirée que par les sites hautement sécurisés, représentant un véritable défi technologique. Si les crackers sont plus nombreux, ces derniers se concentrent généralement sur les grandes compagnies, n’ayant aucun intérêt à viser une cible de moindre importance. Cependant, cette menace générique n’est pas nulle. En fait, la masse nuisible, qu’une petite organisation ou que le citoyen est susceptible de rencontrer très régulièrement, (car ils se comptent par centaines de milliers et attaquent de manière complètement aléatoire), est constituée par les script-kiddies (et surtout les malfrats qui les manipulent). Cependant, leurs attaques étant courantes et connues, il est relativement facile de les prévenir ; en appliquant les patchs de sécurité relatifs aux systèmes d’exploitation utilisés, en surveillant les accès aux réseaux et en mettant en place un plan de réponse sur incidents. Ainsi organisée, la sécurité devient une garantie de gestion surveillée des attaques potentielles connues. En quelque sorte, le respect du minimum requis en terme de sécurité des systèmes d’information et de la communication.
- Comment sensibiliser ?
Les pouvoirs publics tentent difficilement de « réguler » les menaces via le cadre de la répression, mais aussi idéalement via celui de la sensibilisation. L’organisation de type privée peut simplement « sonder » la menace associée à son contexte, via notamment, par exemple, la mise en place de leurres réseaux de type Honeypots, ou bien encore en analysant les traces de logs de différents mécanismes de sécurité réseau, et de leur corrélation. Ainsi, même si l’information devient perceptible pour une entreprise privée, il demeure toujours impossible d’agir directement sur cette dernière, il est ainsi hors de question de répondre à un acte cybercriminel en ré-attaquant cet agent menaçant ; c’est une règle fondamentale de droit, mais surtout d’éthique.
Dans ce cas : deux possibilités s’offrent alors à l’organisation :
- réaliser une médiation en contactant le(s) agent(s) menaçant(s) détecté(s) pour tenter de stopper leurs attaques, voire de vérifier s’ils ne sont pas eux-mêmes des victimes de type « rebond » ou interdire une connexion en provenance de cette cible. – ou enfin, exercer une répression en déposant plainte contre l’agent menaçant (sans être véritablement efficace en terme de résultat, cette démarche permet tout de même de montrer son engagement contre tout type de permissivité cybercriminelle).
Toute externe qu’elle soit, la menace doit surtout aussi être perçue en interne ; pour ce faire, une troisième voie associée à la gestion des risques de sécurité, devient fondamentale, à savoir la sensibilisation aux menaces adaptée à la politique sécurité de l’organisation. En effet, la prise en compte du phénomène en interne est majeure si l’on veut éviter de créer des points d’accroches aux agents menaçants. Cette conscience doit être parallèle à celle développée lors de l’analyse de risque de sécurité vis à vis des bases de connaissance des menaces. Parallèlement au « sondage » technique vu supra, et en ligne avec la politique de sécurité, le RSSI se doit de sonder également les représentations mentales des employés quant aux menaces. Ainsi, il peut percevoir les absences de connaissance flagrante et dangereuse pouvant nuire à l’organisation, car traduisant notamment une incompréhension de la politique de sécurité en place. Pour ce faire, des questionnaires adaptés peuvent être proposés, aux fins de mesure, reprenant les images associées aux menaces et véhiculées par les médias, les experts sécurité et les pirates informatiques. Ces types de questionnaires (par exemple : http://jph.cases-cc.org) peuvent être déroulés durant une séance de sensibilisation à la sécurité des systèmes d’information, et en fonction des réponses, créer le débat, apporter des réponses concrètes et objectives permettant de faire le lien avec la politique de sécurité en cours et sa justification. Ce dernier pourra aussi bénéficier utilement de l’aide didactique fournie par la structure CASES (http://www.cases.lu).
Au-delà des solutions de sécurité tant techniques, qu’organisationnelles, la multiplication des infractions pénales, via l’utilisation d’outils informatiques, au niveau international, semble exponentielle, mais qu’en est-il au Luxembourg ?
- Luxembourg & cybercrime (au départ : absence de visibilités d’impacts…)
Luxembourg and its Internet localization
A global technical and organizational perspective of the Internet connectivity in Luxembourg.
Based on basic data collection (CSRRT) - BGP aggregation and alike.
Lorsque l'on parle de sécurité informatique, on oublie souvent d'insister que le vecteur principale (bien entendu, pas uniquement) des risques de sécurité c'est les reseaux (Internet est un vecteur). Les réseaux et les moyens de communications sont très importants pour l'utilisation des systèmes d'information et les services informatiques fournis. Il est très important de bien comprendre l'importance et surtout le role de ces réseaux dans la sécurité des systèmes d'information. Ces réseaux changent la perspective et donne une zone globale à la connectivité de systèmes. Il n'y a pas de séparation comme des frontières physiques, des controles entre chaque pays... cela fait la force d'Internet mais cela peut aussi etre sa faiblesse dans certains cas. La compréhension de la structure des réseaux pour un pays permet d'appréhenter les risques et les sources des attaques.
Lors de nos recherches dans l'association CSRRT-LU, nous avons pu nous rendre compte de la grande similarité des connectivités à travers les pays européens. Le Luxembourg possède une connectivité très européenne (ç-à-d que les connections directes sont souvent avec des opérateurs européens) on peut le voir sur le diagramme des connectivités . (dia. à insérer)
Le Luxembourg n'est pas à l'abris puisque il est visible comme l'ensemble des operateurs européens.
Honeynets as a source
Une introduction aux réseaux Honeynets
Les honeynets constituent une source sure (note de bas page : ce n'est pas une solution parfaite mais donne déjà une belle vue si les bonnes pratiques sont respectées) d'information concernant les attaques informatiques.
Quelques chiffres après 3 années Honeylux
Result for the 3/4 years of collection in high and low interaction honeynets. (Type of a attacks, targets, main issue/outcome in collection and analysis, outcome for the users on the Internet, outcome for the providers of services on Internet)
Table à introduire. (années, serveurs compromis/non-compromis) pourcentage des serveurs compromis.
Bonnes pratiques suivant les résultats Honeynets
Suivant plusieurs pratiques communes par les attaquants de systèmes d'information, on peut en déduire plusieurs bonnes pratiques pour sécuriser ses systèmes.
- Ne jamais donner un accès Internet à un serveur Internet (ne pas donner un accès illimité à Internet). Cela peut sembler du bon sens mais combien de fois on peut voir que les attaquants téléchargent des outils utilisés lors de l'attaque. Ne pas donner accès à Internet à des serveurs qui ne fournissent qu'un service sur Internet permet de limiter les moyens de téléchargement des outils des attaquants. Un autre point, les attaquants utilisent les machines pour tester et collecter des autres informations pour leur cibles potentiels. Donner accès Internet aux serveurs donnent la possibilité d'envoyer des "probes" (tests) à partir de vos machines... pourquoi donner des capacités complémentaires aux attaquants.
- Les premières vulnérabilités utilisées par les attaquants c'est les logiciels vulnérables. Ils utilisent en premier et de façon automatique les vulnérabilités des logiciels utilisés sur Internet (server web, ftp, mail, ...). Si vous avez des versions récentes et appliquer les dernières versions permet déjà d'éviter les grands problèmes classiques. Bien entendu, s'ils sont mal configurés comme par exemple, un serveur proxy web, ils seront rapidement utilisés par les spammeurs ou autres attaquant pour leur propre source d'activité.
- Les attaques sont souvent composées de deux phases. Une première donnant l'accès ou testant la possibilité d'accès à la machine. L'attaque elle-meme peut suivre plusieurs heures ou jours ensuite. Il est donc important de surveiller (monitorer) ces systèmes et de se rendre compte d'une attaque préliminaire pour éviter les poursuites d'une attaques qui sont souvent alors source de dégats plus importants.
- Les attaquants désirent conserver sur le long terme les serveurs compromis. Ils appliquent plusieurs outils sur les serveurs pour éviter de se faire voir/remarquer et ainsi déroute les administrateurs du système. Si vous appliquez de façon régulière et systématiques le hashage à sens unique (note de bas de page : à expliquer /wikipedia fr) des fichiers sur ces serveurs, cela permet de vite remarquer des changements subtiles dans les systèmes de fichier. C'est une pratique assez simple mais qui est souvent négligée par les administrateurs systèmes.
Automatic malware collection as a source
CSRRT-lu a un projet intitule Collection de Malware et son analyse automatique. Le but de ce projet est d'utiliser des programmes qui porraient etre vu comme des pots de miels a basse interaction. Ces programmes sont connus sous les noms de mwcollect et nepenthes. Les deux logiciels sont produits par le German Honeynet Project et une forte cooperation entre ce dernier e le CSRRT-LU existe en ce qui concerne differentes activites.
Le projet consistait dans la mise en place d'une machine Linux, qui simulait une demi classe C d'adresses IP et qui faisait tourner soit mwcollect, soit nepenthes. Ces machines etaient alors connectees a Internet avec le seul but de collectionner autant de fichiers uniques que possible.
Ces deux logiciels ne font rien d'autre qe de simuler des services vulnerables Windows et d'attendre que des vers, des bots ou des virus se connectent dessus. Apres qu'une machine infectee s'est connectee sur notre machine leurre, les logiciels essaient d'obtenir le payload qui est propage par les virus, vers, bots. C'est ces payloads qui sont interessants pour notre projet.
Apres avoir recu le payload, le meme est analyse par des Antivirus differents et est alors classe dans une base de donnees avec tout les resultats qu'on a obtenu. En meme temps tout ce qui se passe autour de la connection est logge. Comme ca on sait de quel addresse IP le payload vient et en utilisant un petit outils intitule p0f, qui n'est rien d;autre qu'un "passive fingerprinting tool" on peut aussi savoir quel Systeme d'exploitation tourne sur la machine attaquante.
Le projet consiste donc a mettre en place des machines simulant ces ports bien connus dans differnets endroit a Luxembourg.
La premier machine qui a ete mise en place a collectionnee 600 000 !! fichiers en un temps de 3 semaines. Parmi ces 600 000 fichiers 542 ont ete uniques. Ces 600 000 fichiers representaient une taille de 9,2 GByte dont les 542 fichiers uniques representaient environ 80 Mbytes. La taille des differents fichiers variait entre 100 Bytes et 1145856 (1,093Mbytes).
En utilisant la commande file sur l'ensemble des fichiers on peut distinguer majoritairement des fichiers des types suivants:
- MS-DOS executables
- MS-DOS executables, OS/2 or MS Windows
- MS Windows PE 32-bit Intel 80386 GUI executable
En analysant les 542 fichiers des plus pres on apus eliminer 12 qui etait sot des strings SMB ou du code HTML. Les 530 fichiers restant sont des fichiers appeles "Malware" donc malicieux.
En analysant ces fichiers avec 4 logiciels d'Antiviurs differents on obtenait les resultats suivants:
- 51,845% des ficheirs ont ete detectes par tout les 4 logiciels
- 16,790% des ficheirs ont ete detectes par 3 des 4 logiciels utilises
- 25,461% des fichiers ont ete detectes par 2 des logciels
- 1,120% n'ont pas ete detectes
- 2,201% etaient corrompus
La plupart des virus, vers ou bots trouves sot des types suivants:
- Codbot
- Poebot
- Dabber
- Parite
- Korgo
- Agobot
- Gaobot
- IRCBot
- Padobot.
- Rand
- Rbot
- SdBot
- SpyBot
- Zotob
En utilisant la sandbox de norman ( sandbox.norman.no) on peut faire analyser des binaires capturer et on obtient alors des resultats comme suit:
Report created: 26.08.2005 10:20:32
Automatic Sandbox analysis of W32/Suspicious_M.gen [ General information ]
- File length: 83107 bytes.
[Changes to file system]
- Creates file C:\WINDOWS\SYSTEM\ssmss.exe.
- Deletes file 1.
[Changes to registry]
- Creates value "IE6"="ssmss.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
- Creates value "IE6"="ssmss.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
- Creates key "HKCU\Software\Microsoft\OLE".
- Sets value "IE6"="ssmss.exe" in key "HKCU\Software\Microsoft\OLE".
- Sets value "restrictanonymous"="1" in key "HKLM\System\CurrentControlSet\Control\Lsa".
[Network services]
- Looks for an Internet connection.
- Connects to "XXX.253.138.160" on port 6667 (TCP).
- Connects to IRC server.
- IRC: Uses nickname C|8034.
- IRC: Uses username ezkiey.
- IRC: Joins channel #C with password rave.
- IRC: Sets the usermode for user C|8034 to +x.
- Attempts to delete share named "IPC$" on local system.
- Attempts to delete share named "ADMIN$" on local system.
- Attempts to delete share named "C$" on local system.
- Attempts to delete share named "D$" on local system.
[ Process/window information ]
- Creates a mutex Ruffnes.
- Will automatically restart after boot (I'll be back...).
- Enumerates running processes.
- Enumerates running processes several parses....
(Type of a attacks, targets, main issue/outcome in collection and analysis,
outcome for the users on the Internet, outcome for the providers of services on
Internet)
Wireless situation
Des. of wardriving
Situation and propagation speed of APs in Luxembourg city and around. Secure/Non-secure.
other information as a source
Des. incidents handling, flow analysis...
Status of luxembourg in Internet security
- Current issues - open issues
- Approach to be used to resolve the issue
– Les cas concrets sur le terrain (exemples fournis via CLUSSIL) – Mise en contexte avec des solutions de sensibilisation via CASES
