Fermer

  • AgoraVox sur Twitter
  • RSS
  • Agoravox TV
  • Agoravox Mobile

Accueil du site > Actualités > Technologies > Comprendre la formation d’une économie souterraine en (...)

Comprendre la formation d’une économie souterraine en ligne

Il est loin, le temps où les virus informatiques se contentaient de supprimer plus ou moins aléatoirement quelques-uns de nos documents, ou de mettre nos PC en carafe. Depuis quelques années, leur comportement a radicalement changé si bien que ce qu’on appelle aujourd’hui plus volontiers les « malware » ont au contraire tendance à s’assurer que nos machines restent opérationnelles, connectées à internet et que leurs utilisateurs ne se rendent compte de rien.

Les hackers, les crackers d’hier bidouillaient pour leur propre plaisir ou par défi technique. Les plus chevronnés d’entre eux travaillaient d’arrache-pied pour trouver reconnaissance auprès de leurs pairs. Alors que l’argent commence à irriguer ces réseaux complexes, certains d’entre eux ont choisi de passer de l’autre côté, et se sont reconvertis. On les appelle les « chapeaux noirs » (black hats) par opposition aux « chapeaux blancs » (white hats) qui eux s’évertuent à prévenir les failles des systèmes sans exploiter celles-ci.

Si l’on craint moins de perdre ses fichiers personnels, on doit, quand on est une entreprise, d’autant plus redouter de se les faire voler. Lorsque l’on est un particulier, accepter que sa machine fasse partie d’un vaste réseau d’exécutants silencieux d’actes de cybercriminalité. Le calme, lui, n’est qu’apparent.

Petite revue des principaux actes de cybercriminalité actuellement en vogue

Le spam consiste en l’envoi de courriers électroniques non sollicités à caractère commercial. En 1995, le spam générait environ 50 emails par an et par boîte aux lettres électroniques. Dix ans plus tard, la moyenne est de 2 000 courriers commerciaux non sollicités. L’envoi de spam (je vends un produit, je cherche des clients, je paye quelqu’un afin qu’il s’occupe de spammer pour mon compte) est une opération très profitable car relativement peu coûteuse. Le déficit d’image des entreprises ayant recours à cette pratique ne décourage pas les plus petites d’entre elles, en général positionnées sur des niches (produits à la limite de la légalité, pour une demande forte). Elles sont souvent basées à l’étranger.

Plus rare : l’attaque massive et coordonnée sur des serveurs identifiés (attaques par déni de service) : je paye quelqu’un qui s’occupe de mener l’attaque pour mon compte. Les motivations peuvent être politiques (dans le cadre d’un conflit géopolitique, nuisance par paralysie d’un système d’information public ou privé) et/ou économiques (attaque d’un site de e-commerce concurrent afin de faire chuter sa réputation et de gagner des places de marché).

On peut également citer le "Pump and Dump", une technique consistant à inonder les forums internet de rumeurs dirigées contre une entreprise cotée en bourse afin de faire chuter le cours de ses actions. Le "phishing", visant à récupérer des informations confidentielles par abus de confiance ou encore le stockage de contenus pédophiles permettant aux personnes en faute de ne pas stocker eux-mêmes les images et autres vidéos, mais de ne faire que consulter ce matériel à distance et ainsi ne pas courir de risque au niveau judiciaire.

Tout ce qui génère de l’argent sur ce marché, un « botnet » peut le réaliser

De tels actes de cybercriminalité ne peuvent se faire depuis un ordinateur isolé, aussi puissant soit-il. La mise en œuvre technique de ceux-ci se fait aujourd’hui grâce à ce qu’on appelle un « botnet ». Un botnet est un réseau clandestin d’ordinateurs connectés en permanence ou ponctuellement à internet. Les botnets les plus importants de nos jours réunissent jusqu’à plusieurs dizaines de milliers de machines, en grande partie des ordinateurs familiaux reliés en permanence à internet par ADSL ou par le câble. Comme toute armée, les soldats répondent aux ordres de supérieurs, en l’occurrence un donneur d’ordre que l’on appelle le « contrôleur », c’est-à-dire une machine contrôlée par le gérant du botnet.

Un récent rapport rend responsables six botnets de 85 % du volume mondial de spam. Le spammeur a besoin d’un botnet afin de multiplier les sources des envois. L’avantage est double : on risque moins de saturer un « tuyau » et donc de limiter l’ampleur de l’attaque ; d’autre part il est alors plus difficile de se faire repérer car les flux sont dispersés entre un grand nombre de fournisseurs d’accès à internet.

Comment se propage un botnet ?

Cela commence généralement par l’exploitation de vulnérabilités logicielles (e-card infecté dans un email, exploits récents via des failles de logiciels tiers ou de navigateurs internet) ou l’abus de la confiance de l’utilisateur ("cliquez ici pour télécharger la dernière version de MSN Messenger"). Cela permet d’injecter la tête de pont de l’attaque : soit directement ce qui procédera à l’installation du client du botnet sur la machine soit un programme intermédiaire, un cheval de Troie de téléchargement (downloader trojan), qui pourra plus tard éventuellement distribuer d’autres clients de botnets ou malware.

Ces malwares se déploient de plus en plus en profondeur dans le système d’exploitation notamment grâce aux « rootkits », leur permettant de dissimuler leurs activités vis-à-vis des logiciels antivirus.

Un véritable marché est en train de se créer autour de ces usages

La réalisation d’une telle affaire se décompose en plusieurs étapes : tout d’abord la rencontre entre le client et le fournisseur du service cybercriminel, qui se déroule en général sur un réseau de type IRC (Internet Relay Chat). Le fournisseur doit alors gagner la confiance de l’acheteur potentiel, soit en procédant à une démonstration pour prouver sa bonne foi, soit via le recours à un système de cooptation plus ou moins complexe régissant le fonctionnement de la place de marché. Vient ensuite la réalisation de la transaction, par exemple un paiement total ou partiel via compte Paypal ou équivalent. S’ensuit la préparation de l’attaque sous forme de développement d’un nouveau botnet ou, plus souvent, de paramétrage d’un botnet existant déjà déployé. Le succès constaté de l’opération viendra débloquer le versement des sommes restantes par le client.

Quelques fonctionnalités remarquables

Les malware passent de plus en plus souvent leurs communications sur le port 80 et grâce à un protocole de type HTTP, afin de faire croire aux antivirus et aux firewalls à des flux web classiques et pénétrer dans les réseaux non seulement des particuliers mais aussi ceux des grandes entreprises.

Un botnet peut également faire un travail de prospection pour la communauté : certains d’entre eux dressent et transmettent par exemple la liste des antivirus présents (activés ou non) sur la machine infectée, permettant aux concepteurs d’orienter leurs efforts futurs (cela revient à maximiser le retour sur investissement de leur maintenance applicative, concrètement en évitant de passer des heures à développer une contre-mesure qui ne ferait rentrer dans le rang qu’une faible proportion de machines infectées ou à infecter).

L’exploitation d’une liste centralisée d’adresses emails (celles des victimes du spam), couplée à l’entretien de celle-ci par l’ensemble des agents sur la base de reconnaissance de messages d’erreurs émis par les serveurs SMTP cibles, permet de maintenir le taux de bonne distribution (delivery rate) du botnet proche de 100 %.

Les botnets évoluent avec leur temps et contournent au fur et à mesure de leur apparition les nouvelles protections anti-spam, comme par exemple la technique du "Greylisting" (ou "Greetdelay") qui consiste pour un serveur de mail à refuser au moins temporairement un email suspect. De manière un peu naïve cette contre-mesure supposait que les serveurs SMTP utilisés par les botnets n’évolueraient pas fonctionnellement. Cette parade est aujourd’hui obsolète. Une réponse au niveau de technique directement supérieur n’est jamais suffisante...

Les botnets font également preuve de comportements sophistiqués : on notera entre autres mécanismes remarquables le déclenchement d’attaques contre des systèmes-sondeurs, ainsi qu’une propension grandissante au cannibalisme, certains botnets n’hésitant plus à phagocyter d’autres botnets plus vieux.

Dans une première phase de son cycle de vie, un botnet cherche à grossir, c’est-à-dire à infecter le maximum de systèmes connectés. Actuellement un botnet fonctionnant sur le mode client/serveur classique peut se propager pendant en moyenne six mois avant d’être repéré par les éditeurs d’antivirus et faire l’objet d’une description à base de signature statique ou dynamique, comportementale. A ne pas confondre avec la durée de vie stricto sensu du botnet car une fois « fiché », celui-ci continuera d’être actif ou pourra se transformer plus ou moins en profondeur avec pour conséquence un retour temporaire à la clandestinité. La systématisation du recours à une architecture décentralisée de type P2P (Peer-to-Peer) a d’ores et déjà pour conséquence de rallonger considérablement ces délais.

Une tendance inquiétante : le MaaS ou "Malware as a Service"

Le besoin de monétisation fait qu’aujourd’hui le malware se gère comme une offre de service définie par un périmètre fonctionnel donné, une qualité, des rôles de mise en œuvre (conception, intégration, test, maintenance) et des tarifs forfaitaires.

Sous couvert de cette nouvelle forme d’organisation "en strates", il sera souvent très compliqué de remonter jusqu’aux commanditaires. Une fois la relation de confiance construite, la transaction peut très bien se faire en dehors de tout échange électronique.

D’un point de vue technique, on assiste à la création d’un système d’exploitation clandestin doté de fonctionnalités similaires à un Windows récent, à savoir la capacité de se mettre à jour silencieusement en fonction cette fois-ci non pas des menaces, mais des contre-mesures techniques implémentées par le système d’exploitation « légal » contre celles-ci.

Dans ce combat d’un nouveau genre, les pirates bénéficient des avantages procurés par leur posture offensive. Sans une sensibilisation massive et la mise en place de moyens coordonnés conséquents et de systèmes de protection centralisés et réactifs, ils bénéficieront toujours du coup d’avance.


Moyenne des avis sur cet article :  4.7/5   (27 votes)




Réagissez à l'article

8 réactions à cet article    


  • dup 7 mars 2008 11:35

    tout ça marche tant que les carnets d’adresses ne sont pas protégés par des accès physiques depuis le clavier et que les accès à outlook n’est pas protégé par un chiffrage manuel (je sais plus comment on appele cela) ,mais qui evite de pouvoir ’chaluter’ des adresses par des machines. Cela crée nul ralentissement si on valide un correspondant comme légal. Je suis étonné que des mesures aussi simples soient pas généralisés . Quand on voit les dégats du spam et des virus ,on se demande si microsoft serait pas dans le coup


    • foufouille foufouille 7 mars 2008 14:16

      ca date pas d’hier

      on peut rever d’un windows sans faille de securite

      ou utiliser linux (en boot dvd pour les parano)

      bien evidement ne pas mettre son nom, n°secu ou cb, adresse partout c’est mieux


      • jpeg 7 mars 2008 18:41

        il est bien evident que le systeme d’exploitation est pour beaucoup dans ces problemes avec linux mon seul souci est le spam que j’efface sans ouvrir sinon tous les autres virus,trojan et autres saletes ne peuvent s’installer le jour ou j’ai installe ubuntu je le beni bien sur cela represente 0,5 pour cent des pc mais au moins je suis tranquille ni pare feu ni antivirus une installation simple tous les programmes dont j’ai besoin une aide des autres utilisateurs demarage plus rapide a oui quelque choses en moins les jeux quoique certains j’y arrive passez sous linux vous ne le regretterez pas


        • Méric de Saint-Cyr Méric de Saint-Cyr 7 mars 2008 22:19

          J’ai lu votre article avec d’autant plus d’intérêt que c’est pour moi un "monde à part"... Car toutes ces histoires d’utilisation d’ordinateurs individuels à l’insu de leur plein gré, ça n’existe que dans un seul monde, celui des PC chargés avec le pire système qui soit, Windows...

          Moi qui suis depuis l’époque audacieuse de l’Apple ][ un inconditionnel des ordinateurs à la pomme, aujourd’hui Macintosh avec le système Leopard sur base Unix, j’ai l’impression que les malwares, spyware et autres saloperie-ware sont un peu comme si on me parlait d’une autre planète.

          C’est comme si on expliquait à un herbivore qu’il y a des vers dans la viande…

          Je ne suis pas ici pour faire de la pub pour Mac : après tout, chacun fait ce qu’il veut de son pognon. Mais je me demande comme foufouille si finalement Bill Gate n’est pas complice de cette perversion-collusion entre la malware-connexion et cette merde nommée "vista"…

          J’ai acheté mon premier Mac en 1986. Dans un monde parfait c’est ce système et cet ordinateur qui aurait dû s’imposer. Ce qui a fait l’inexplicable succès d’ordinateurs moins bons et moins fiables c’est uniquement la perversion d’une politique marketing.

          Je sais que ce n’est pas gentil ce que je vais dire mais pourquoi devrais-je me gêner ? Les virus et les malware pullulent sur les PC-Windows ?

          Tant pis pour eux !

          Bien fait pour eux !

          Quand vous en aurez marre et super-marre de vous faire pirater l’ordi, vous finirez peut-être par choisir le camp de heureux en vous achetant un Mac. Ou alors, effacez tout et passez sous Linux.

          Je ne comprends pas qu’avec toute cette pollution informatique, les utilisateurs s’obstinent à choisir PC/Win…


          • foufouille foufouille 7 mars 2008 22:59

            effectivement windaube a des failles de securite integre depuis w95 qui devait servir a micro$$$ de recuperer des infos sur les utilisateur

            pour XP il faut le sp1, le sp2 et bientot le sp3 plus des heures de reglages pour desactiver les merdes de microbill. en plus la pub d’install est mensongere. plus on fait de choses pointu plus ca plante. blue screen of death.

            pour les mac, en tant que nerd j’ai touche un peu mais c’est inabordable faute de pub. linux c’etait pour les geek jusqu’a pas longtemps. "la ligne de commande c’est puissant". DOS aussi


            • HELIOS HELIOS 7 mars 2008 23:34

              Ben sur mon portable windows, je fais pareil ! j’utilise outlook et je vire tous les spams qui ont échapés au dossier "courriers indésirables" sans les ouvrir.

              Par acquit conscience j’ai installé un HIPS (antivirus comportemental, avec liste blanche PrevX) et j’ai fait une image de mon système que je reinstalle de temps en temps pour revenir a des performances acceptables et être bien sur que tout est ok.

              J’ai quand même peerGuardian, pour ceux qui savent a quoi ça sert

              Plus de problème depuis, merci V2I protector (pour l’image) et PrevX. Quand a mon poste fixe, il n’a rien, il est derrriere le routeur et c’est pas un zombi !

               


              • foufouille foufouille 8 mars 2008 09:57

                on peut effectivement faire des sauvegardes image du disque dur mais c’est chiant

                et toujours aussi instable meme en desactivant les mises a jour, il faut aussi kerio ou outpost comme firewall

                j’ai un ordinateur pas cher, alors changer de carte mere plus l’enregistrement debile a microboule merci

                avec linux on peut booter sur cd, demander de l’aide, reparer le systeme, reboot en ligne de commande, se connecter a internet et mettre a jour le systeme tjrs en ligne de commande.essaye de faire ca avec windows. y a meme pas de bootcd


                • Jerome Buchler Jerome Buchler 12 mars 2008 11:22

                  Les systèmes Mac ne sont pas épargnés par les malware : http://www.channelregister.co.uk/2008/03/12/mac_security_site_malware_infes tation/

                  (désolé, c’est en anglais)

                   

Ajouter une réaction

Pour réagir, identifiez-vous avec votre login / mot de passe, en haut à droite de cette page

Si vous n'avez pas de login / mot de passe, vous devez vous inscrire ici.


FAIRE UN DON






Les thématiques de l'article


Palmarès