Quelques exemples concrets

Afin de replacer notre veille dans le contexte actuel, et pour éviter d’assommer le lecteur plus qu’il ne l’est déjà avec des normes et des méthodes d’audit de sécurité, nous aborderons dans cet article deux exemples concrets d’acteurs qui auraient dû renforcer leur plan de sécurité avant de faire la une des blogs du monde entier.

Ainsi, nous étudierons le cas du piratage du PlayStation Network (alias PSN) de Sony, puis nous parlerons rapidement du piratage des Heartland Payment systems.

1. Le hack du PSN

L’origine de cette attaque est assez lointaine puisqu’elle trouve sa source dans l’homme qu’est George Francis Hotz (ou GeoHot, pour les intimes… et tout internet). GeoHot est connu dans le monde du hacking notamment pour avoir jailbreaké (piraté) l’iPhone, mais surtout, dans le cas qui nous concerne, pour être le premier à avoir cracké la Playstation 3, en 2010. GeoHot a notre âge, 23 ans, et est un petit génie de l’informatique et de l’électronique, hacker de profession. C’est pourquoi, quand il a acheté sa nouvelle console Playstation, GeoHot a trouvé amusant d’essayer d’en obtenir le maximum, et notamment dans le cas présent, il a voulu avoir accès au système d’exploitation très fermé et sécurisé de la console.

Cependant, en rendant public les informations sensibles, et notamment la “Master Key” de la PS3 (clé de cryptage), GeoHot s’est attiré les foudres de l’entreprise japonaise qui a alors porté plainte contre lui sous une multitude de chefs d’accusation. Pour appuyer son attaque en justice, la société se débrouille pour qu’une descente soit réalisée dans le logement de GeoHot et que tout son matériel informatique soit détruit. Et là, c’est le drame.

Cette attaque fait le buzz (ou le ramdam, si on s’en tient aux consignes de l’académie française) et attire l’attention des Anonymous, un groupe de hacktiviste bien connu sur internet (et décrits dans un post de l’année dernière). Se reconnaissant dans la personne de GeoHot, ces derniers ripostent à l’action de Sony en attaquant son réseau de jeu en ligne, le fameux PSN et le service Qriocity(service de Streaming de musique et de Vidéos à la demande de Sony), rendant inaccessible un certain nombre de sites de l’entreprise et dérobant des informations confidentielles sur pas moins de 25 millions de clients de Sony (les informations n’étant pas chiffrées). On parle ici de données personnelles des clients de Sony : noms, adresses et adresses électroniques, dates d’anniversaire, pseudonymes et mots de passe, historiques des paiements, factures ainsi que des données plus sensibles telles que les données bancaires.

Sony coupe alors l’ensemble du PSN et de Qriocity le 20 avril 2011 pour une maintenance qui durera jusqu’au 16 mai 2011.

Les conséquences sont lourdes pour Sony : des millions de dollars perdus (on parle de 170 millions de dollars de pertes), des millions d’utilisateurs mécontents, des actions en justice engagées contre l’entreprise pour négligence de failles de sécurité, l’action de Sony chute et… les ingénieurs sécurité de chez Sony qui passent pour des imbéciles. En effet, il semblerait que Sony utilisait des versions obsolètes de logiciels et que ses serveurs n’étaient pas protégés par un pare-feu.

De l’importance de bien protéger et de crypter les données à caractère personnel et de mettre à jour le logiciel (Apache) de vos serveurs…

2. Heartland Payment Systems

En 2009, Heartland Payment Systems est l’un des plus grands organismes de transferts de paiements aux Etats Unis. Malgré son importance, la société est victime d’une faille informatique découverte et exploitée largement par le pirate Albert Gonzalez et deux associés via un spyware implanté sur l’un des serveurs de la société, puisqu’ils ont pu ainsi accéder aux données (nom, numéros de cartes, dates d’expiration et monitoring des crédits et débits) de plus de 130 millions de cartes de crédit. Les hackers ne pouvaient cependant pas utiliser les informations telles quelles mais pouvaient créer de fausses cartes de crédit avec les données volées.

Le 25 mars 2010, un tribunal américain a condamné le pirate à purger une peine de prison de 20 ans et un jour, ainsi qu’à 25.000 dollars d’amende, voulant faire un exemple pour décourager ce genre de crimes. A titre de comparaison, les pertes de Heartland Payment Systems s’élèveraient à 12,8 millions de dollars.

De l’utilité de surveiller ses machines et les protéger avec les programmes adéquats.

Dans le prochain article, nous ferons donc une synthèse de notre travail et un résumé des bonnes pratiques à avoir afin d’obtenir une sécurité informatique minimale.

SOURCES :
Washington post
http://www.computerworlduk.com
Wikipédia
http://www.2008breach.com

 

 

La sécurité informatique dans l’actualité

Avant d’attaquer sérieusement la partie sur les logiciels permettant de détecter les trous de sécurité qu’il peut exister au sein de votre système d’information, nous vous proposons un petit intermède lié à l’actualité :


megaupload logoVous avez sûrement entendu parler de la chute de l’empire MegaUpload, provoquée par un groupe qui lutte tous les jours pour qu’Internet soit entièrement sous son contrôle. Cette faction, plus connue sous le nom de FBI, et largement poussée par les lobbys des médias et du divertissement américains, a fait fermer tous les sites liés à Mégaupload, arrêté les dirigeants, saisit tous les biens et les serveurs des sites, et le tout, situé hors sol américain et sans procès préalable.

sopa pipaUne action coup de poing qui souligne la mainmise américaine sur Internet, et le bafouage des libertés sur Internet, et qui est appuyée par les projets de loi visant à contrôler et censurer le web par les états (SOPA, PIPA).

Tout cela a entrainé de nombreuses contestations sur la toile, et certains ont décidé d’agir pour sauver l’Internet actuel et empêcher son filtrage massif. On peut citer par exemple Wikipédia, ou les forums Linux qui avaient décidé de ne plus afficher le contenu de leur pages en mettant des pages noires à la place. Même le géant Google avait protesté sur sa page d’accueil contre ces mesures.

Wikipedia black out

Un groupe d’anonymes, mais pas inconnus, les Anonymous, s’est érigé en Robin des Bois de l’ère moderne. Et a mis tout en œuvre pour faire pencher la balance et éviter/condamner ce genre d’actions.

anonymous

On peut recenser plusieurs types d’actions qu’ils ont effectué dans cette bataille contre les états.

  • Attaques par déni de service (DoS) :

Une attaque par déni de service (denial of service attack, d’où l’abréviation DoS) est une attaque ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Il peut s’agir de :

  • L’inondation d’un réseau afin d’empêcher son fonctionnement ;
  • La perturbation des connexions entre deux machines, empêchant l’accès à un service particulier ;
  • L’obstruction d’accès à un service à une personne en particulier.

L’attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès à un serveur web, empêcher la distribution de courriel dans une entreprise ou rendre indisponible un site internet.

Pour réaliser ces attaques, les Anonymous utilisent un logiciel spécifique : LOIC, pour Low Orbit Ion Cannon. C’est une application de test de réseau, qui tente d’attaquer par déni de service le site ciblé en inondant le serveur avec des paquets TCP, des paquets UDP, dont des requêtes HTTP avec l’intention de perturber le service d’un hôte particulier.
Cependant, pour faire tomber un site web, et plus particulièrement des sites visités par de nombreux visiteurs (et donc calibrés pour résister à un certain nombre de requêtes/connexion simultanées), il faut effectuer énormément de requêtes, qu’un seul poste ne peut fournir. Bien que les Anonymous soient nombreux (plus de 4000 selon certaines sources) et présents dans le monde entier, il peut arriver qu’ils ne soient pas assez nombreux pour faire planter un site web.

  • Diffusion de liens vérolés :

Pour palier leur nombre de machines insuffisant en cas d’attaques DoS, ils diffusent des liens au travers de leurs canaux de communication (leur profil Twitter étant le plus visité de ceux-ci), mais ses liens sont souvent vérolés, et permettent de prendre à votre insu le contrôle de votre ordinateur (comme on l’a vu dans les précédents articles), et surtout d’y installer, je vous le donne dans le mille,… LOIC ! Ainsi, lorsqu’ils prévoient leur attaques, ils ne font pas “seuls”, mais avec une armée de PC-zombies à leurs ordres, via des salons IRC.

  • Protection de l’adresse IP attaquante :

Au vu du nombre importants de PC infectés, il est quasi-impossible de trouver d’où sont lancées les attaques. Cependant un travail minutieux des autorités pourrait permettre de remonter à certains des attaquants, via les adresses IP des machines qui sont parfaitement connues lors des attaques. Pour parer cela, les Anonymous se cachent derrière des réseaux ou Proxy anonymiseurs. Mais Nul doute que ce cher FBI va essayer de faire tomber ce genre de site, afin d’attraper les Anonymous qui causent tant de dégats sur la toile.

La combinaison de ces trois techniques a entrainé, après le 19 janvier 2012, la chute plus ou moins momentannée des sites gouvernementaux américains (le FBI, la justice américaine, l’U.S. Copyright Office, l’Utah Chiefs Of Police Association, la Broadcast Music Incorporated, de la Warner Music Group et de Sony), des lobbys du divertissement (Universal Music, la Recording Industry Association of America, la Motion Picture Association of America) ou du gouvernement français suite aux propos de soutien de Nicolas Sarkozy aux actions du FBI (Hadopi).

Ce type d’attaque est très difficile à parer, car on ne peut contrôler les flux de requêtes envoyé sur un serveur, et à moins d’avoir une très bonne bande passante, et d’une capacité énorme de traitement des requêtes, les sites attaqués ont peu de chance de résister…

  • Piratage et cybersquattage de sites web :

En plus des attaques par déni de service, les Anonymous ont attaqué des sites web, en vue d’en prendre le contrôle, et d’en modifier/diffuser le contenu au plus grand nombre.

Ainsi on a pu voir le contenu payant de Sony relâché sur les réseaux P2P, ou même l’url du site de l’Élysée modifiée, avec des extraits du slogan des Anonymous (“We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us.“).

elysee.fr URL piratéeCes attaques utilisent des faille de sécurités sur les sites web et serveurs. Parfois même, les attaques DoS permettent de prendre le contrôle des serveurs lors de leur redémarrage. On peut aussi citer les vols/décryptage des logins et mots de passe administrateurs (et ainsi accéder directement à l’administration des sites web en question).


Cet article n’a pas pour but de faire l’apologie des Anonymous, qui utilisent, des méthodes illégales comme le contrôle des ordinateurs à distance en les infectant au préalable, et les attaques par déni de service. On peut d’ailleurs se demander si leurs intentions sont parfaitement louables et dénuées d’intérêts… Ce billet a pour pour simple but celui d’informer sur les méthodes utilisées sur internet pour cracker/faire tomber un site ou un système d’information. Afin de soulever des interrogations sur les moyens de contrer ces attaques.