On s’en doutait, l’Opération Aurora (également désignée comme l’attaque Hydraq, du nom du trojan), n’était pas un cas isolé. Symantec s’est chargé de surveiller et de détecter des mécanismes similaires afin de comprendre à posteriori cette attaque.Trois ans après la déclaration publique de Google, cible de cette attaque, Hydraq continue son bonhomme de chemin et appelle encore d’autant plus de questions. En trame de fond, nous allons nous questionner sur le business de certaines sociétés du milieu de la sécurité informatique, même si rien ne semble les associer directement, si ce n’est la pléthore de vulnérabilités 0day employées dans le cadre de l’Opération Aurora.
Mesurer les effets d’une attaque, c’est long, mais nécessaire
On peut mesurer l’impact d’une attaque informatique selon diverses variables. Certaines sont plus ou moins objectives. Le préjudice financier causé par une attaque ne peut à lui seul constituer un critère objectif, le nombre de machines infectées non plus. En revanche, la durée dans le temps, la « persistance » d’une attaque, est un critère particulièrement intéressant. Les cibles, elles aussi, peuvent nous renseigner sur la nature, les motivations ou les auteurs présumés.
Aujourd’hui, les attaques sérieuses sont toujours complexes à analyser « à chaud ». Les méthodes d’analyse, la complexité de ces attaques et surtout le fait que certaines passent dans des giga de trafic légitime, obligent les analystes à collecter un maximum de trafic malicieux pour tenter de comprendre :
- les mécanismes d’infection ;
- les éventuels mécanismes polymorphiques de propagation ;
- l’évolution des techniques d’exploitation conduisant à la compromission.
Trouver un coupable, nous l’avons vu avec Aurora, Stuxnet, Flame ou Gauss n’est pas des plus évident. Le code malveillant ainsi que le trafic portant l’attaque est anonymisé et chiffré, comprendre son fonctionnement dans le détail prend souvent plus de temps qu’il n’en faut à l’auteur de l’attaque pour la faire « muter ». Si les motivations d’une attaque finissent généralement par être connues après analyse des effets, des mois, voir des années après, débusquer les auteurs, en revanche, c’est une autre paire de manches.
Parmi les motivations les plus communes et pourtant les plus méconnues, il y a les motivations d’ordre économique. Dans ce domaine, il est difficile de demander aux victimes d’être transparentes. Les victimes craignent souvent que d’être la cible d’une attaque réussie, même partiellement, ne nuise à leur image de marque. Cependant aux USA, et de plus en plus en France, entreprises et administrations victimes commencent à se prêter au jeu de la transparence. Et que dire de cette transparence si ce n’est qu’elle est une condition à une réponse plus adaptée et plus rapide à ces attaques, à leur compréhension ?
Aurora, selon Symantec, ne serait pas terminée
Aurora, nous avons commencé à en entendre parler début 2010. L’attaque se serait déroulée pendant le second semestre 2009. Début septembre, Symantec publiait le fruit d’une longue analyse de plusieurs mois, ciblant le groupe présumé d’auteurs et les techniques qu’ils mettent en oeuvre, encore aujourd’hui, pour s’introduire sur des cibles de choix. Quand Google a brisé le silence, on parlait déjà en 2010 d’une trentaine de gros acteurs privés du secteur de la défense et des TIC, des ONG et des structures proches de mouvements de défense des droits de l’homme. Symantec affirme disposer d’éléments factuels qui indiquent que les auteurs d’Hydraq sont toujours en activité et qu’ils poursuivent leurs intrusions, généralement des attaques menées à très grande échelle, mais avec quelques petites nouveautés.
Une pluie de 0day…
Ce ne sont pas moins de huit 0day qui ont été utilisés dans le cadre des propagations d’Hydraq. Ça fait beaucoup, ça fait même trop pour certains experts qui désignent aussitôt des moyens d’une structure gouvernementale. Là encore, aucune certitude de trouver la main d’un gouvernement derrière l’Opération Aurora sur la simple constatation de l’utilisation de 8 vulnérabilités jusqu’alors inconnues… ça donne juste une indication très intéressante sur les moyens dont disposent les auteurs d’Hydraq, être puppetmaster d’Hydraq et mener des attaques de grande envergure (34 entreprises compromises sur une courte période et par des attaques utilisant le même mécanisme), c’est le travail d’une équipe à plein temps. Pour mener à bien ces attaques, le mode opératoire consiste en un simple email liant une page web contenant un script malicieux et exploitant un buffer overflow sur la CoolType.dll d’Acrobat Reader (CVE), ça c’était en 2009, la vulnérabilité a été patchée début 2010. Dans le temps, ce seront 7 autres 0day qui seront exploités pour l’inoculation du Trojan Hydraq. Voici en vrac les derniers 0day aujourd’hui connus et ayant été utilisés (révélés par les chercheurs de Symantec) pour inoculer Hydraq :
• Adobe Flash Player Object Type Confusion Remote Code Execution Vulnerability (CVE-2012-0779)
• Microsoft Internet Explorer Same ID Property Remote Code Execution Vulnerability (CVE-2012-1875)
• Microsoft XML Core Services Remote Code Execution Vulnerability (CVE-2012-1889)
• Adobe Flash Player Remote Code Execution Vulnerability (CVE-2012-1535)
mais pas de leak.
Que sont devenues les données dérobées par les auteurs de ces attaques ? Elles n’ont à notre connaissance pas été publiées, on en déduira que le groupe n’agit donc pas « for the lulz ». Aucun chantage financier n’a, à notre connaissance, été exercé sur les victimes. S’il y a des motivations économiques à ces attaques, on peut en conclure que nous sommes, peut-être, face à une affaire importante d’espionnage industriel. Les cibles, qui comptent quand même jusqu’à l’ordinateur personnel du Dalai Lama, ouvrent d’autres portes qui font converger les regards sur Pékin. Huit 0day pour accéder à des comptes Gmail de dissidents, ça fait quand même beaucoup. Pékin de son côté a toujours nié être à l’origine de ces attaques, déclarant qu’en chine, des milliers de machines et beaucoup d’entreprises avaient été victimes d’attaques similaires semblant émaner des USA. Wikileaks a de son côté publié des câbles diplomatiques qui pourraient confirmer la piste de nos fameux hackers chinois. Oui, mais…
Et si ce n’était pas un gouvernement ?
Et voici la question que personne ne semble _vouloir_ se poser : est il possible que ces attaques ne proviennent pas d’acteurs publics, mais d’acteurs privés ? Nous allons éviter de nous cacher derrière notre petit doigt, et répondre affirmativement à cette question. Oui il est parfaitement possible que des acteurs privés (nous entendons par là des sociétés et/ou des particuliers) soient à l’origine d’Aurora. L’espionnage politique est une chose, l’espionnage économique en est une autre. Si des sociétés commerciales et des particuliers peuvent ne sembler pas avoir grand intérêt à déployer autant de ressources, on peut envisager une autre explication.
Le hacker chinois, on le sait, est responsable de tous les maux sur Internet, il y a même un rapport parlementaire qui en atteste. Que ferait une organisation criminelle dont l’objectif serait de dérober des informations valant des dizaines ou des centaines de millions de dollars, notamment des secrets industriels ? Ne serait-elle pas tentée de faire accuser un coupable tout désigné… comme ce satané hacker Chinois ? pour le faire accuser, rien de plus simple, il suffit de s’en prendre à son ennemi juré, au pif quelques dignitaires tibétains et une ou deux ONG pour faire bonne figure et bien laisser des grosses traces bien visibles permettant d’affirmer que c’est la même équipe qui vise le PC Dalai Lama et les systèmes d’information de Boeing, Juniper ou Google.
Le concept d’une attaque ciblée comporte plusieurs avantages :
- il est possible de cibler exactement qui on veut et donc par les cibles choisies de faire croire à peu près tout et n’importe quoi
- ces attaques demeurent discrètes, moins voyantes que des infections de masse et passent souvent sous les radars des Firewall des ISP
- si la loi du silence n’est pas brisée par une victime, alors le public n’en sait jamais rien.
Le business du 0day
Le législateur a toujours eu un peu de mal à appréhender les questions relatives à la sécurité informatique. Les intrusions, la divulgation de vulnérabilité (en full disclosure), le fait d’avoir contourné un dispositif de sécurité, le fait d’étudier le fonctionnement d’un logiciel en le reversant (c’est à dire en décompilant son binaire pour en étudier le code source) est lui aussi réprimé si le reversing n’est pas fait dans un but d’interopérabilité. Bref si vous décompilez un logiciel, vous aurez une excuse toute trouvée du genre : « mais monsieur le juge, j’ai décompilé Acrobat Reader Pro pour le porter sur GNU/Linux et enfin pouvoir lire des PDF » (entre nous choisissez un autre logiciel…)
. En France par exemple, si vous lâchez un 0day dans la nature, vous vous exposez à des poursuites judiciaires :
- fourniture de moyens ayant permis à un crime ou un délit ;
- atteinte à l’image de la société éditrice du logiciel ;
- et probablement une ou deux autres joyeusetés en fonction des articles du code pénal ou du code de la propriété intellectuelle que l’avocat des plaignants aura su dépoussiérer.
Bref en France, rendre public un 0day, c’est plutôt risqué, du moins si on le fait en mode full disclosure. Certains s’y sont essayé, et ils ont eu des problèmes.
Le 0day, c’est aussi un sacré business pour quelques sociétés. Owni a d’ailleurs consacré un article sur le sujet.
Mais posons nous quelques questions simples :
1) On parle d’un business de truc illégal ?
- Oui, du moins en France.
2) Est-il possible que des gouvernements achètent ces 0day à des sociétés privées ?
- Oui !
3) En France aussi ?
- Oui, avec une particularité, celle d’être autant acheteur que… vendeur !
4) Et ça se vend comment ?
- Comme n’importe quel logiciel, dans des salons professionnels (interdits au grand public pour certains, comme le Milipol), ou carrément en ligne, quand ce n’est pas sur des boards russes.
5) Qui achète ces trucs ?
Des gouvernements, pas toujours de grands modèles démocratiques d’ailleurs… ainsi qu’une poignée d’acteurs privés, des sociétés militaires privées, des cabinets d’intelligence économique…
6) Et ça fait des morts ?
- Oui, dans certains pays, comme en Égypte ou au Bahreïn.
7) Y a t-il un contrôle sur les ventes ou à l’exportation de ces solutions ?
- Non
8) Et comment est-ce possible ?
- Tout simplement, parce que ça arrange tout le monde, et probablement, parce qu’aucune victime ou famille de victime de ces saloperies n’a eu la présence d’esprit de porter plainte.
9) Est-ce que ceci va arriver un jour ?
- Probablement
10) Est-ce que le législateur va réagir ?
- Probablement pas, ou s’il le fait, ce sera partiellement et non de manière satisfaisante.
Qui sont les acteurs ?
En France, on considère qu’il y a peu d’acteurs et que leur modèle diffère pas mal de certains acteurs étrangers. On citera la société VUPEN qui se tient, sur le papier, à une ligne éthique relativement claire :
- La société éditrice est prévenue (responsible disclosure),
- Les 0day ne sont vendus qu’à des pays membres de l’OTAN (NDLR : ah tiens, mais si les éditeurs sont prévenus, il n’y a plus de 0day, c’est un coup à se faire hotfixer son propre business…).
- Les vulnérabilités sont, à terme, rendues publiques (NDLR : toutes ? vraiment toutes ? comme ça gratuitement ? sans aucune forme de rémunération ?)
VUPEN offre des services de recherche et de prévention aux acteurs privés, mais d’autres services, bien plus discutables aux agences gouvernementales. Vous vous doutez bien que comme ce marché est un marché dans lequel on aime bien la discrétion, il y a peu de chances qu’on nous communique un jour la liste complète des clients et que l’on puisse nous assurer que non, les outils de VUPEN n’ont pas été vendus aux autorités chinoises, nord-coréennes, ou syriennes à des fins d’espionnage de dissidents politiques ou de violations manifestes des droits de l’homme. VUPEN assure de son côté ne vendre ses outils qu’à des états membres de l’OTAN. Mais les vend t-il à des acteurs privés ?
Il arrive que certaines de ces sociétés se fassent prendre la main dans le sac, ça arrivera d’ailleurs pour toutes un jour ou l’autre. C’est le cas de l’entreprise britannique, le GAMMA GROUP, éditeur de la suite FinFisher aussi connue sous le nom de Finspy.
Peu après le soulèvement égyptien, des documents attestaient de l’existence d’un contrat de 287 000 euros correspondant à une licence d’exploitation pour cette suite logicielle. GAMMA a juré devant tous les grands dieux qu’il n’avait rien vendu au gouvernement égyptien. Le hic, c’est qu’il y a bien des activistes égyptiens qui ont fait les frais de cette suite logicielle dédiée à l’intrusion et à l’espionnage des communications électroniques. En plus d’être reconnu internationalement comme de parfaits barbouzes n’hésitant pas à vendre ses outils à des acteurs privés. GAMMA, c’est un peu le Amesys britannique qui sera capable de vous expliquer qu’il vend ses outils en Égypte ou au Bahrein pour traquer le pédophile et le terroriste.
Est-il selon vous possible que les outils de VUPEN ou de GAMMA pour ne citer qu’eux se retrouvent entre de mauvaises mains ?
« On s’est fait pirater une version de test »
Plus récemment encore, un document officiel des services de renseignement intérieurs du Bahrein attestait que ces derniers testaient Finfisher pendant le début des soulèvements, et que « ça marchait vachement bien pour surveiller les activistes et les opposants« . GAMMA, interrogé à ce propos par Bloomberg a déclaré sans trembler des genoux qu’il s’agissait probablement d’une version de test (NDLR : pfffft), piratée (NDLR : krkrkrkrkr) par les autorités bahreinies (mouahahahahah!!). Il est bien établi qu’au Bahrein, le gouvernement dispose des ressources techniques nécessaires pour déplomber Finfisher et que l’on trouve un keygen fonctionnel pour cette suite sur emule… c’est bien connu.
Pour les personnes qui lisent l’arabe, voici le document en question.
finfisher-barhein
Le bug
Le bug est avant tout juridique. Aujourd’hui, le 0day, c’est un peu un monde parallèle défiant toute logique éthique et juridique. Rendez publique une vulnérabilité face à un éditeur rechignant à la corriger et risquez la prison. Ou, si vous ne voulez pas être ennuyés, faites en business : vendez les à prix d’or à des gouvernements… ou à des sociétés privées, pour que ces derniers les utilisent pour attaquer des gouvernements, des entreprises privées ou des ONG…
Comment se fait-il, qu’un développeur se fasse condamner pour avoir révélé une vulnérabilité publiquement (suite à un reversing, ou pas) et ainsi avoir contraint un éditeur logiciel à la corriger (évitant ainsi des préjudices aux utilisateurs, qu’il s’agisse de particuliers, d’entreprises ou d’institutions publiques), pendant que d’autres font commerce d’outils à vocation strictement offensive, avec on ne se sait trop qui, en toute opacité ? Il y a au bas mot de quoi y percevoir un très mauvais signal : encouragerions-nous une dérive commerciale de la sécurité informatique ?
Quelle logique y a t-il à pénaliser la divulgation publique de vulnérabilités contraignant les éditeurs à les corriger au plus vite alors que l’on tolère la vente d’outils d’exploitation de 0day, que l’on retrouvera un jour ou l’autre au coeur d’attaques comme Aurora ? Et Aurora… si ce n’était pas les chinois ?
Sur Internet plus qu’ailleurs, ces armes finissent toujours, un jour ou l’autre, par se retourner contre leurs concepteurs ou le public qu’elles déclaraient, sur le papier, « protéger ». Tant que les entreprises qui commercialisent ces kits d’exploitation de 0day continueront leur business, ces menaces dites persistantes depuis Aurora fleuriront sur le Net.
Billets en relation :
Renforcer l’arsenal juridique contre internet, « principal outil de la diffusion de la haine raciale », pour Cindy Léoni, « il y a urgence à y mettre un coup d’arrêt ».
Par chance (pour Cindy), la méthode qui consiste à « surveiller et punir » se décline fort bien sur internet. Autre chance (toujours pour Cindy), les technologies qui permettent cela sont l’un des points forts de l’économie numérique Française. Elles ont été testées et approuvées par Ben Ali, Kadhafi et sont en cours d’installation chez Mohamed VI et dans de nombreux autres pays « amis de la France ». Tout va bien pour Cindy, ou presque. Elle oublie juste un détail : ces contrées sont loin d’être des démocraties. On y nomme les dirigeants plutôt que de les élire (comme Harlem Désir, en pratique… comme quoi…).
