Dernière mise à jour : 28/11/2007

Combien ça rapporte

D'après le récent article Hackers Selling Vista Zero-Day Exploit [1], les failles non révélées du nouveau système Windows® de Microsoft (Vista) se vendraient sur un marché souterrain entre 20000 et 30000$, voire 50000$ pour certaines ! Et les logiciels malveillants qui extorquent des informations personnelles[2] ou rallient des PC aux botnets se vendraient entre 500$ et 20000$. Ces botnets se loueraient ensuite 3000$ pour réaliser une attaque contre un serveur Internet comme l'indique l'article Le marché aux pirates fonctionne à plein régime qui souligne notamment la bonne organisation des réseaux de pirates où les uns achètent les compétences des autres ! Comme indiqué dans le billet Interview d'un jeune pirate à la tête d'un botnet sur ce blog, de tels botnets peuvent ainsi rapporter à leur propriétaire de l'ordre de 5 à 10 mille dollars par mois.

Soulignons aussi que l'introduction de ce texte peut ne pas être tout-à-fait exact : certains particuliers gagnent de l'argent grâce au piratage des machines de leurs voisins - ou peut-être de leur propre machine ! C'est ce qu'explique l'article Les cyber-criminels recrutent leurs complices parmi les internautes qui avance des revenus jusqu'à 3000€ par mois simplement en transférant d'un compte à un autre compte de l'argent volé par la mafia le plus souvent...

D'où provient l'argent

Tout ceci montre qu'il y a beaucoup d'argent qui circule dans la sphère du logiciel malveillant mais ne dit pas d'où provient cet argent, c'est-à-dire à quoi peut servir de constituer ces réseaux de machines piratées, que vendent-ils ? La réponse est dans le document Know Your Enemy: Botnets[3] du projet Honeynet[4] et traduit en français par Hervé Hubert. On en trouve un résumé dans le billet Le projet Honeynet publie une étude sur les "botnets" du site www.greyhats.org. Voici les activités des botnets qu'ils ont recensé début 2005 :

  • envoyer du spam ou du phishing, récolter des adresses email pour ces envois massifs de courrier d'arnaques
  • analyse du trafic réseau des machines afin d'en extraire des données personnelles transitant en clair
  • captures des frappes clavier de l'utilisateur pour extraire des données personnelles
  • recherche de fichiers sur le disque dur toujours pour extraire des données personnelles ou pour chercher des clefs d'activation de logiciels
  • forcer l'interruption de service de serveurs Internet officiels[5], celui du concurrent par exemple
  • dissémination de logiciels malveillants en recherchant sur Internet d'autres machines à détourner, par exemple pour lancer un nouveau virus
  • installer des fonctions liées à la publicité, aux jeux ou aux sondages sur Internet, par exemple clics automatiques sur des publicités

On voit ici que l'argent peut ainsi provenir des sources suivantes :

  • les comptes bancaires ou autres[6] d'honnêtes gens dépouillés à leur insu, voire même des biens immatériels comme des personnages de jeux vidéo[7]
  • des entreprises peu scrupuleuses qui payent pour nuire à leurs concurrents ou manipuler les résultats de publicités ou de sondages en ligne
  • revente de logiciels avec des clefs de validation volées
  • trafic de faux papiers d'identité plus vrais que nature car fabriqués avec des données de personnes existantes
  • chantage aux entreprises, la menace étant de faire tomber en partie leur système informatique[8]

Il faut savoir aussi que les botnets inquiètent aussi de plus en plus les responsables de sécurité territoriale[9]. Avec l'interconnexion croissante des réseaux et des services, une organisation terroriste pourrait paralyser une nation par une attaque bien conçue de ses systèmes informatiques... le tout grâce aux machines de ses propres citoyens ! C'est maintenant chose faite : Cyber-attaque d'une nation : de la théorie à la pratique.

Voilà qui ne donne guère envie de prêter sa machine à ces malfrats. D'après certains, l'argent du logiciel malveillant rapporterait plus que le marché du logiciel anti-logiciel malveillant[10] ! Raison de plus pour ne pas participer, n'est-ce pas ?

Leurs méthodes

L'étude du Honeynet dresse aussi un panorama des méthodes identifiées pour rallier des machines aux botnets qui peuvent contenir jusqu'à plusieurs dizaines de milliers de machines ! La plupart des botnets utilisent des failles[11] de logiciels pour se répandre à grande échelle et de manière automatique. Ces failles sont en parties des vulnérabilités connues et profitent donc de la non mise à jour d'un système.

L'exploitation d'une faille est de plus en plus simple et rapide car il existe des outils spécifiques de développement pour exploiter des failles[12] ! Aussi les machines infectées scannent en permanence le réseau à la recherche d'autres cibles vulnérables. Les ports réseau utilisés pour cela sont généralement toujours les mêmes. L'étude menée met en lumière les 4 ports suivants :

  • port 445 (Microsoft-DS Service, partage de fichiers Windows®)
  • port 139 (NetBIOS Session Service, partage de ressources Windows®)
  • port 137 (NetBIOS Name Service, paramètres réseau de machines Windows®)
  • port 135 (MS-RPC, exécution de code Windows® à distance)

Ceci confirme parfaitement les conclusions tirées de l'analyse des tentatives de connexion dans le billet Évaluer les risques sur Internet, à ceci près que le port 137 semble n'être plus ciblé au profit du port 1433 (Microsoft-SQL-Server, base de données Microsoft). Le trafic dans l'étude du Honeynet émanait déjà principalement de machines sous Windows® XP et 2000. Ainsi on ne sera pas surpris de constater que ces tentatives de connexion véhiculent des exécutables Windows® malveillants comme indiqué dans le billet Pots de miel et menace sur Internet.

Remarque : avec l'augmentation de la sécurité des systèmes, la diffusion des logiciels malveillants exploite de plus en plus l'inadvertance ou la méconnaissance de l'utilisateur par le biais du spam et du phishing. On note aussi la montée en puissance des méthodes d'intrusion basées sur le navigateur web comme indiqué dans le billet Pages web malveillantes : Firefox bas Internet Explorer par KO... sur ce blog.

En guise de conclusion

Le document du Honeynet dit dans sa conclusion :

« Nos recherches montrent que certains attaquants sont hautement compétents et organisés, et appartiennent probablement à des organisations criminelles structurées. »

Très clairement les chiffres montrent que l'utilisateur standard d'un PC n'est pas à la hauteur parce qu'il s'en remet généralement simplement à son antivirus. Vu les méthodes employées par les cyber-criminels, vu les sommes motivantes concernées, et vu que les logiciels anti-virus sont inefficaces, le lien de cause à effet est évident.

Restez sur vos gardes et réfléchissez à deux fois avant d'envoyer des informations personnelles sur Internet, par mail par exemple : vos correspondants ne sont peut-être pas bien protégés... Le plus simple bien évidemment, mais je sais que ça ne fait pas plaisir à beaucoup, est de quitter Windows® comme indiqué dans le billet Sécuriser sa machine vraiment.

NB: pour obtenir ces informations, Honeynet a utilisé 3 machines pots de miel et a pisté près de 100 botnets pendant 4 mois, vraisemblablement fin 2004 - début 2005, dont 35 sont restés actifs après l'expérience. Ils ont estimé à plus de 220000 le nombre de machines ayant rallié ces réseaux à l'insu de leur propriétaire. Enfin ils ont pu constater 226 attaques de serveurs par les botnets sur 3 mois, ces attaques évaluées à 3000$ actuellement. Je vous laisse faire les comptes...

Notes

[1] « des hackers vendent des exploitations de failles de [Windows®] Vista non corrigées »

[2] comptes Internet, mots de passe, adresse, nom, n° de carte de crédit, d'identité, de passeport, etc.

[3] « Connaître son ennemi : les botnets »

[4] il s'agit d'un réseau de "fausses" machines destinées à observer les actions des pirates sur Internet

[5] en envoyant simultanément de nombreuses requêtes depuis plusieurs milliers de zombies afin de planter le serveur qui croule subitement sous les demandes, voir Déni de service - Wikipédia

[6] eBay, PayPal, etc.

[7] certaines sociétés paient des joueurs pour produire des personnages suffisamment avancés dans un jeu afin de les revendre ensuite à d'autres joueurs moins doués ou moins patients !

[8] voir l'article La cyber-criminalité à but lucratif a explosé en 2004

[9] lire l'article U.S. warns of possible al-Qaida financial cyberattack ou le rapport du député Pierre Lasbordes sur la sécurité des systèmes d'information

[10] dont l'ordre de grandeur est indiqué dans le billet Microsoft tombe le masque

[11] erreur de programmation, de conception ou de configuration qui permet à un pirate de s'introduire sur un système informatique

[12] par exemple des exploitation frameworks officiels comme Metasploit, Core Impact ou Canvas qui peuvent être détournés de leur objectif initial de mise à l'épreuve des système