Andy Dean - Fotolia

FancyBear perd une partie de son infrastructure

Microsoft a lancé des poursuites en justice pour mettre la main sur des noms de domaines utilisés par le groupe d’attaquants pour certains serveurs de commande et de contrôle.

La cybersécurité n'est pas toujours une bataille entre pirates informatiques et les professionnels de l'informatique, comme Microsoft vient de le démontrer avec un procès visant à prendre le contrôle de noms de domaines malicieux.

L’éditeur a initialement engagé les poursuites en août 2016, cherchant à obtenir une injonction permanente lui permettant de « désactiver l'accès à ces noms de domaines et leur exploitation », qui sont associés aux activités malveillantes du groupe Fancy Bear, aussi connu sous les noms APT28, Sofacy, Pawn Storm et Strontium.

Selon la plainte, Microsoft voulait prendre le contrôle des serveurs de commande et de contrôle afin qu’à « chaque fois qu'un ordinateur infecté tente de contacter un serveur de commande et de commande via l'un des domaines, il sera plutôt connecté à un serveur sûr », maîtrisé par l’éditeur.

L’astuce a consisté à jouer sur le droit des marques : Microsoft a ainsi déploré « l’utilisation de marques déposées » par ses soins pour tromper la vigilance de ses clients et les amener « à ouvrir des documents ou à cliquer sur des liens » menant à la compromission de leur machine. Dans la liste de noms de domaines produite par Microsoft, on trouve notamment outlook-security.org, microsoftsecurepolicy.org, microsoftcorpstatistic.com, msmodule.com, ou encore onedrivemicrosoft.com. Et l’on trouve également au moins un cas de recouvrement avec les noms de domaines attribués par Trend Micro à APT28 dans son rapport publié fin avril dernier.

En août dernier, le tribunal a donné à Microsoft le contrôle temporaire de 70 noms de domaines. Mais l’éditeur voulait une injonction permanente. Le tribunal a entendu sa demande de jugement définitif le 21 juin 2017, mais n’a pas rendu de décision à ce jour.

Microsoft avait déjà utilisé des poursuites similaires par le passé contre le botnet Zeus. Mais Richard Goldberg, du cabinet Goldberg & Clements, à Washington, DC, relève une nouveauté dans l’approche de l’éditeur : il « demande que la décision finale place un juge en poste permanent pour statuer sur les commandes de saisie subséquentes, jusqu’à proposer de payer la facture pour cela, si les informations diffusées dans la presse sont correctes ».

Selon Richard Goldberg, il est possible que cette demande soulève des inquiétudes, tant les milieux juridiques que dans ceux de la sécurité informatique : « y aura-t-il un contrôle suffisant par des juges techniquement compétents, ou les commandes seront-elles essentiellement tamponnées ? »"

Lamar Bailey, directeur de recherche senior chez Tripwire, reconnaît que « prendre le contrôle des serveurs de commande et de contrôle est toujours une bonne chose ». Mais il se demande si les forces de l’ordre ne devraient pas être là à la manœuvre pour enquêter sur Fancy Bear, notamment car ces serveurs peuvent collecter des données : « quelles règles vont s’appliquer à des entreprises privées pour sécuriser et protéger les données récoltées à partir des serveurs ? Vont-elles prévenir les utilisateurs infectés qu’ils le sont ? Les données peuvent-elles être utilisées à des fins de marketing ou autre ? Il y a là de nombreuses questions ». 

Pour approfondir sur Cyberdélinquance

Close