Activités du pirate

Maître d'un botnet de 13000 machines, le but de ce jeune pirate est d'installer des logiciels espions et publicitaires type fenêtres popup à l'insu du propriétaire de la machine. Ces logiciels lui sont fournis par des éditeurs spécialisés dans ce genre de logiciels pour qu'il les diffuse, mais il écrit lui-même les scripts qui les introduisent sur des machines connectées à Internet. Il fréquente pour cela des salons de discussion en ligne ou des forums un peu spéciaux, et passe l'essentiel de son temps à attendre que ses logiciels malveillants se propagent tout seul !

Ses logiciels espions collectent des informations sur les habitudes de navigation web de ses victimes, mais aussi des informations personnelles comme mots de passe, adresses email, numéro de sécurité sociale et numéro de carte de crédit. Pour ceux qui ne seraient pas convaincus de l'intérêt de ces informations, l'article avance un chiffre de 2 milliards de dollars pour la seule industrie du logiciel publicitaire... Activité a priori légale puisque les utilisateurs sont sensés installer volontairement ces logiciels[1]. Aussi notre jeune pirate, qui ne laisse pas le choix à ses victimes, limite volontairement l'installation à une faible proportion de son parc afin de ne pas éveiller de soupçons des sociétés éditrices. Ces sociétés ne seraient pas au courant de ses méthodes ?

Plus inquiétant : il dispose des données de connexion[2] de plusieurs comptes email se terminant par .mil et .gov (armée et gouvernement américains). L'article relate d'ailleurs aussi le procès d'un autre jeune pirate de 20 ans à la tête d'un botnet de pas moins de 400 000 machines : son réseau incluait des machines d'instances militaires américaines. Ajoutons le virus Code red qui ciblait la Maison Blanche en 2001 et l'on comprend que les autorités gouvernementales se fassent du souci au sujet des logiciels malveillants, pas seulement aux États-Unis[3].

Que faire contre ?

L'article couvre aussi partiellement le problème de la lutte contre ces script-kiddies. Pour empêcher les botnets de sévir, il faut les empêcher de communiquer faute de pouvoir les empêcher de s'installer.

Jusqu'à présent les botnets fonctionnent sur le modèle client-serveur : les PC-robots, clients, attendent les ordres émanant d'un serveur, généralement par un canal IRC, et lui renvoient leur collecte. Il suffit donc de faire tomber le lien au serveur. Malheureusement il est fort probable que les botnets s'inspirent très prochainement du modèle peer-to-peer dans lequel l'information circule entre les membres du groupe sans être centralisée. Ceci va forcément compliquer la lutte contre les botnets.

L'article rapporte l'interview du responsable de ChangeIP.com qui recense et neutralise de l'ordre de 40 nouveaux botnets par semaine tentant de s'attribuer un nom de domaine[4]. Le service offert par ce genre de société permet en effet aux botnets de changer rapidement de serveur sans en informer les machines clientes : même nom de serveur mais machine correspondante différente. Visiblement le FBI aussi est sur les rangs : 40 botnets par semaine, à disons 10 000 machines en moyenne, ça fait quand même 400 000 machines zombies par semaine, 20 millions par an, de quoi faire pas mal de dégâts !

Aussi même les utilisateurs un peu au courant se font enrôler dans les botnets à leur insu. L'article interview une des victimes du pirate qui en vient à se demander s'il n'aurait pas oublié de mettre à jour régulièrement son antivirus et son pare-feu payés 50$ justement pour éviter ce genre de déconvenue... Celui-ci ne se doutait même pas que sa machine avait été piratée avant que le Washington Post ne le contacte ! En fait la faille de son système est classique : Windows® n'était pas à jour. Comme beaucoup il pense à tord qu'un antivirus et un pare-feu suffisent, il va falloir qu'il revoit sa copie[5].

Conclusion

Pirater le PC de Monsieur Tout Le Monde est devenu un jeu d'enfant très lucratif et répond à un idéal courant dans nos Sociétés : travailler peu et gagner beaucoup. En plus il semble très rare de se faire épingler, c'est donc nettement moins risqué que le recèle ou le trafic de stupéfiants. Vu la prolifération des connexions Internet[6], il semble qu'il n'y ait pas 50 solutions pour enrayer l'hémorragie :

  1. mieux sécuriser les systèmes par défaut
  2. éduquer l'Internaute
  3. traquer ou bloquer les pirates au niveau de l'infrastructure (fournisseurs d'accès, noms de domaines, etc.)

Éduquer l'utilisateur est la parade la plus risquée d'un point de vue économique[7]. Traquer ou bloquer les pirates nécessite de faire collaborer des acteurs dont le rôle n'était pas au départ d'assurer la sécurité d'Internet (par exemple les FAI). Quant à la sécurité des systèmes par défaut vous connaissez le problème : 95% de machines sous Windows® dans une version souvent très peu sécurisée. Gageons qu'un commerçant qui aurait vendu des produits posant autant de problèmes aurait depuis longtemps soit rappelé ou remboursé tous ses produits[8], soit mis la clef sous la porte. La différence de taille est ici que le client ne râle pas et continue même à acheter, enfin pas moi ! ;-)

Comme mot de la fin ajoutons que la question fondamentale que l'on voit ici surgir est : qui doit être tenu pour responsable de la délinquance sur Internet ? Fournisseurs de services, de logiciels, de matériels, utilisateurs ? Ce qui est sûr c'est que tous doivent agir ensemble pour que ce soit le plus efficace possible. Or pour le moment Internet est surtout un monde parallèle avec très peu de règles, ce n'est donc pas gagné...

PS: merci à greyhats.org pour le tuyau concernant l'article.

Notes

[1] en ayant lu toutes les clauses de l'accord de licence bien entendu ;-)

[2] identifiant et mot de passe

[3] lire l'article U.S. warns of possible al-Qaida financial cyberattack ou le rapport du député Pierre Lasbordes sur la sécurité des systèmes d'information

[4] nom humainement lisible d'une machine sur Internet, par exemple www.debian.org, liée à l'adresse IP de la machine qui constitue la seule information qui permette de la retrouver sur le réseau.

[5] voir la série d'articles sur La sécurité informatique

[6] voir la page INTERNET USAGE STATISTICS

[7] il ne faut pas faire peur au client qui paye si cher son matériel, ses logiciels et ses services et pourrait ainsi douter de la qualité de la marchandise

[8] une simple campagne à la télé ou la radio aurait suffit