Pour faire suite à notre premier article sur le piratage des sites web, nous avons le plaisir de recevoir aujourd’hui sur le blog Karim Slamani, consultant en sécurité des systèmes d’information, qui nous donnera son avis d’expert sur la question.
Pour commencer, peux-tu te présenter ?
K. S. : Beaucoup me connaissent sous mon pseudo Twitter, mais derrière cette identité virtuelle se cache un certain Karim Slamani. Je suis consultant en sécurité des systèmes d’information à mon compte depuis maintenant 2 ans.
Je me suis spécialisé principalement dans les audits de code source et le DFIR (Digital Forensics Investigation Research). Pour les plus curieux, cela consiste à faire de l’analyse d’intrusion « post-mortem », c’est-à-dire une fois que l’intrusion a eu lieu. Il s’agit de comprendre le pourquoi du comment de l’intrusion tant sur le plan technique que sur l’intérêt du pirate.
Plus globalement, je m’occupe des différents aspects de la sécurité d’une organisation. Évidemment techniques (problème de sécurité, sites web compromis ou encore audit de code) mais aussi organisationnels puisqu’on ne le répète jamais assez, mais la sécurité des systèmes d’information est avant tout liée au facteur humain.
Les attaques du type de celle que nous décrivions sur afd.fr sont-elles courantes sur le web ?
K. S. : Malheureusement oui. Des dizaines de sites sont détournés tous les jours. Les objectifs des pirates ne sont pas toujours les mêmes qui peuvent être répartis dans 5 grandes familles :
- Ludique
- Cupide
- Économique
- Terroriste
- Stratégique
Nous n’irons pas dans le détail sur chacun de ces points, mais l’intrusion subie par AFD est commune et relativement simple à mettre en place.
Dans le cas d’une « campagne » de création de trafic de ce genre, les retombés économiques peuvent être intéressants. Ce qui explique en tout logique l’engouement des pirates pour ces techniques.
Ce type d’attaque est d’ailleurs connu et très souvent utilisé pour la promotion de vrais/faux sites « pharmaceutiques » et de « casinos en ligne ».
Résultats de recherche pour la requête intitle:viagra
Un petit exemple pour illustrer tout ça : il est normal que le Tennis Club Lillois Lille Métropole propose ce genre de produits, tout comme il est logique que l’Université Paris 5 fasse la promotion de ces pilules magiques sur son site dédié à l’orientation des jeunes… ?
Selon toi, que s’est-il passé ?
K. S. : Pour faire très simple, la compromission du site est liée à une attaque massive et non une attaque ciblée.
Les étapes sont toujours les mêmes : Les pirates identifient une nouvelle vulnérabilité dans un Framework, un CMS ou dans une application. Ils trouvent un « pattern » (ou footprint ou dorks) qui leur permet de trouver un maximum de cibles. La vulnérabilité est alors exploitée en masse de manière à constituer un réseau de sites infectés, également appelé Botnet.
Voilà un exemple d’outil permettant d’exploiter une masse une vulnérabilité à partir d’un simple footprint :
Capture d’écran de l’outil Sqlmap
Dans le cas de l’AFD, il est impossible d’appuyer une hypothèse plutôt qu’une autre sans une analyse complète. Une recherche rapide sur les termes utilisés par le pirate ainsi que sur les domaines de redirection ne permet pas de mettre en évidence un lien entre les sites compromis.
D’expérience, c’est l’hypothèse de l’exploitation en masse d’une vulnérabilité qui semble avoir été utilisée.
Succinctement, qu’est-ce qu’un botnet ?
K. S. : Je reprendrai la définition de Wikipédia qui est très claire :
[pullquote]Un botnet est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches.
Le sens de botnet s’est étendu aux réseaux de machines zombies, utilisés pour des usages malveillants, comme l’envoi de spam et virus informatiques, ou les attaques informatiques par déni de service (DDoS).[/pullquote]
Il n’y a pas grand-chose de plus à ajouter.
Existe-t-il d’autres types d’attaques ?
K. S. : Il existe évidemment d’autres types d’attaques dont la motivation est économique.
On peut nuire directement à son concurrent de différentes manières :
- Une attaque par déni de service : le site web du concurrent est inaccessible,
- Compromettre le site en intégrité : un commanditaire peut aller supprimer la base de données du concurrent. Il peut y injecter malwares ou contenu explicite, ce qui entraîne le fameux message d’alerte ci-dessous :
Il existe des dizaines de manières de nuire de manière directe ou indirecte à ses concurrents.
Ne donnons pas plus d’idées !
Y a-t-il des sites plus sujets que d’autres à ces attaques ?
K. S. : Dans l’absolu, non. Ces attaques ne sont pas ciblées.
Sur l’exemple de l’AFD, l’attaquant ne cherche pas à nuire directement et spécifiquement à la victime. Il recherche son propre intérêt, et l’AFD est un dommage « collatéral ».
Pour rebondir sur le paragraphe précédent, l’objectif est ici économique puisque le but de l’attaque est la création trafic sur le site du commanditaire, que ce soit via la création de backlinks ou par la mise en place d’une redirection vers le site cible.
Pour aller quand même un peu plus loin dans la réflexion, ces attaques touchent rarement des sites « propriétaires » (comprendre développés en interne). Tout simplement parce que ces sites ont une signature unique et ne rentrent donc pas dans les « patterns » de recherche des attaquants.
Exemple de pattern permettant d’automatiser une attaque
Attention par contre de ne pas déformer mes propos, cela ne veut pas dire que ces sites sont moins protégés. Ils passent à travers les mailles de ce très gros filet, c’est tout.
D’où viennent ces pirates ?
K. S. : Ils peuvent venir de tout horizon, de toute nationalité.
Il faut surtout faire la distinction entre les commanditaires et les fournisseurs des moyens techniques. Ce sont généralement deux entités distinctes. Il y a d’une part le profil technique, celui qui va déterminer quels sont les vecteurs de contamination, celui donc qui va identifier la faiblesse technique et mettre en place le ou les outils qui permettent l’exploitation de cette vulnérabilité. Et il y a de l’autre côté, le profil « économique », celui qui va donner une valeur financière à l’exploitation des vulnérabilités. C’est lui qui va choisir et ordonner le déploiement des textes et choisir les domaines cibles.
Cela passe très souvent par des « Black Markets », comprendre ici des places de marchés de vente de vulnérabilité. De véritables sites d’e-commerce où l’on choisit le type et le nombre de vulnérabilités. Anciennement réservée au PPP (Porn, Poker, Pharmacy), il semble que cette pratique se soit étendue à la vue du cas de l’AFD.
Sur ce cas précis, les textes sont d’un français irréprochable. On peut donc légitimement penser qu’il s’agit de la langue maternelle du commanditaire, mais cela ne reste qu’une supposition…
Comme toujours, il est impossible d’aller plus loin sans une analyse poussée.
Que faire pour s’en protéger ?
K. S. : De la veille.
Il n’y a malheureusement pas de solution miracle pour se protéger de ce genre d’attaques. Généralement ces intrusions sont liées à des vulnérabilités qui sont exploitées de manière opportuniste.
Il s’agit donc de suivre les évolutions et les mises à jours des applicatifs utilisés.
Mettez à jour vos plug-ins, mettez à jour vos thèmes, mettez à jour vos CMS. Mettez à jour vos navigateurs. Mettez à jour Java. Mettez tout à jour. Et régulièrement. Et faites des sauvegardes aussi.
Je travaille aujourd’hui sur un outil qui simplifiera cette veille technique. Plus d’infos dans quelques mois !
Et si l’on en est victime ?
K. S. : C’est à mon sens la question la plus importante. Beaucoup de monde l’ignore, mais il existe une procédure simple à respecter :
Première étape : isoler le serveur compromis du réseau.
Dans ce cas-là, l’urgence est de couper immédiatement le service compromis. Dans notre exemple, il s’agit de couper le serveur Web pour « sortir » le serveur du botnet. Très concrètement, votre site ne doit plus être accessible. Il ne doit plus être utilisé pour servir l’objectif des pirates.
Dans le cas d’une compromission de données sensibles, il s’agit de débrancher du réseau la machine et contacter les autorités compétentes.
Erreur à ne pas commettre : ne surtout pas débrancher ni redémarrer le serveur. Il serait tout simplement impossible de connaître les processus qui étaient actifs au moment de l’intrusion. Vous risqueriez de provoquer une modification sur le système de fichiers et de perdre de l’information utile pour l’analyse de l’attaque.
Deuxième étape : mesurer l’étendue des dégâts
Seconde étape, analyser les fichiers journaux. Il s’agit de comprendre ce qui a été compromis par les attaquants.
- Des données sensibles ont été consultées ?
- Des fichiers clients ont été volés ?
- Une backdoor a été déposée ?
- Un compte administrateur/utilisateur a été compromis ?
Troisième étape : déterminer la vulnérabilité utilisée
L’analyse des fichiers journaux (système & applicatifs) permettra de comprendre la chronologie de l’attaque et les vecteurs techniques (ou humains) ayant permis la réussite de l’attaque.
Dernière étape : appliquer le ou les correctifs
Dernière étape, corrigez la vulnérabilité. C’est l’analyse précédente qui permet de comprendre la méthodologie de l’attaquant. Les correctifs adéquats devront être déployés.
Il est vivement conseillé de réaliser un audit de sécurité plus complet à ce moment là et de mettre à jour tous les composants du site.
Dans tous les cas, il est conseillé de faire appel à des professionnels pour ces différentes étapes.
Y a-t-il des recours juridiques que l’on peut envisager ?
K. S. : Oui et il doit y en avoir.
N’oubliez pas en tout cas que vous pouvez dans certains cas être considérée comme pénalement et civilement responsable des dégâts qui seraient causés par un intrus, à partir de vos sites et plus largement de votre système d’information:
Le dépôt de plainte: gardez à l’esprit que seule la direction de votre organisme, qui en porte l’autorité morale, est habilitée à déposer une plainte.
Il existe également des services spécialisés auprès desquels la direction de votre organisme peut déposer une plainte si elle le désire.
Mais comme je le répète régulièrement, chacun son métier. Je vous invite donc à trouver un conseil en droit. Pour des références et des contacts, n’hésitez pas à me contacter.
