Spécial sécurité : le côté obscur des FAI français

Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité informatique, se penchent sur le dernier classement des FAI véreux ou peu regardants, classement établi par Brian Krebs et où figure en bonne place le Français OVH. Egalement au programme : une surprenante étude sur la précocité des hackers britanniques tentant de pirater des comptes Facebook - CNIS y voit une prise de conscience des enjeux de la sécurité sur les réseaux sociaux de la part des ados - et un outil de Google permettant de détecter les zones à risques sur les serveurs Web.

Sommaire :

1 - Le côté obscur des FAI Français

2 - Hackers en culottes courtes

3 - Google Skipfish, pour radiographier un serveur Web

4 - RBS WordPay, trois « cerveaux » sous les verrous

1) Le côté obscur des FAI Français

Brian Krebs, l’homme qui fit fermer McColo, continue sa chasse aux hébergeurs véreux ou peu regardants. The Planet, China Net, China Telecom, GoDaddy font presque « naturellement » partie du décor. Ce qui est plus étonnant, c’est la place qu’occupent les fournisseurs d’accès et hébergeurs Français, et notamment OVH dont le nom revient dans pratiquement toutes les catégories : réservoir à phishing, chaine d’alimentation Zeus, domaine intégré dans les listes de malwares, attaques composites… OVH, bien que montrant quelques efforts de bonne volonté, figure en 7ème place du « top 20 Malicious Autonomous Systems » en date du 18 mars dernier. Un titre de gloire dont les administrateurs se passeraient bien.

Proxad (AS12322) figure également dans la liste des réseaux « marrons » dénoncés par Brian Krebs. Google précise : «  Of the 41364 site(s) we tested on this network over the past 90 days, 644 site(s), including, for example, societeg.com/, gratuit.li/, quakexpert.com/, served content that resulted in malicious software being downloaded and installed without user consent  ».

2) Hackers en culottes courtes

L’Angleterre a peur. Selon une étude de la société israélienne Tufin, un gamin britannique sur quatre avoue avoir tenté de « hacker » le compte Facebook d’un proche en lui dérobant son mot de passe. 78 % des « coupables » reconnaissent que cet acte est peu moral. Cette pratique est répandue aussi bien auprès des jeunes garçons que des jeunes filles. Ces crises de voyeurisme s’assouvissent indifféremment dans la chambre du coupable (27 %), dans un Web-Bar (22 %), devant un ordinateur appartenant à un établissement scolaire (21 %) ou sur la machine d’un copain (19 %).

Sur toutes ces tentatives de pénétration, 46 % d’entre elles étaient motivées par un simple amusement, 21 % pour provoquer un dysfonctionnement et 20 % pour y trouver un éventuel moyen de se « faire de l’argent ». 5 % « seulement », précise l’étude, avaient trouvé en cette pratique un catalyseur les ayant fait basculer du côté « obscur de la force ».

L’étude repose sur un échantillon de 1000 jeunes Londoniens et 150 Cumbriens. Paradoxalement, c’est dans cette région montagneuse du Nord de l’Angleterre que semble s’éveiller les vocations précoces. En Cumbrie, l’on hack à 78 % avant 13 ans… seuls 44 % des Londoniens piratent avant 16 ans, et 16 % de ce groupe étaient dans la tranche la plus jeune des 10/15 ans.

Repris pratiquement dans son intégralité, le communiqué de presse de Tufin a fait le tour des rédactions anglo-saxonnes : Network World, CNN, New Kerala, la BBC, One India, ces chiffres ont fait le tour du monde, sans éveiller de la part de nos confrères autre chose que des remarques inquiètes sur le manque de morale et de discernement de cette génération numérique montante.

L’on pourrait pourtant considérer la chose sous un éclairage plus optimiste : de ces « jeux d’enfant » souvent cruels comme des jeux d’enfant, en ressort nécessairement une prise de conscience bien plus aigüe que celle de leurs parents pour ce qui concerne la relative (in)sécurité des réseaux sociaux. En outre, le terme « hacker » a, pour une fois, été utilisé dans son sens le plus accepté. Car à 13 ou 14 ans, on « casse » bien plus pour « voir comment ça marche à l’intérieur » que pour sciemment nuire à autrui. Plutôt que de jouer les Cassandres, les analystes de Tufin pourraient interpréter ces chiffres comme étant l’indice qu’il existe, dans les cerveaux de nos héritiers, le germe de la curiosité et de l’expérimentation, même si celle-ci sent un peu le souffre. Et que les futurs gourous et bidouilleurs de haut vol auraient plutôt tendance à naître dans un milieu provincial, campagnard et montagnard plutôt que dans les grandes villes situées à l’altitude zéro. Une conséquence indirecte de la pression atmosphérique ou la preuve que les statistiques qui veulent traiter de cyberdélinquance ne veulent parfois strictement rien dire.

3) Google Skipfish, pour radiographier un serveur Web

Distribué via Google Code, Skipfish est un outil servant à examiner la structure et les pages actives d’un serveur Web, dans le but premier d’en détecter notamment les sections vulnérables ou dangereuses. Il se situe en droite ligne d’autres « appareils à rayons X » pour serveurs http tels que Nikto. Outil testeur de vulnérabilités, chargé de détecter le moindre élément pouvant servir à une « server side attack » (XSS, injections SQL, shell ou Xpath, Mime forgés, requêtes http dangereuses…), c’est également un stéthoscope relativement indiscret et un outil de bench de montée en charge assez impressionnant, 7 000 requêtes par seconde en local.

Skipfish a été développé en C par Michael Zalewski, et tourne sous Linux, FreeBSD 7.0+, MacOS X et Cygwin sous Windows.

4) RBS WordPay, trois « cerveaux » sous les verrous

Ils s’appellent Viktor Pleshchuk, Sergei Tsurikov et Oleg Covelin, et seraient les cerveaux présumés du « casse mondial » de WordPay. Ce coup de filet des services de renseignement russe est une sorte de « gage de bonne intelligence » que souhaite donner l’Est aux Etats-Unis. Rappelons que l’affaire RBS WordPay s’était déroulée en trois temps : un premier hack du système informatique de la banque avait laissé fuir des informations portant sur des milliers d’identités. Et c’est à partir de ces données que les techno-truands sont parvenus à reconstituer les codes PIN des cartes de crédit associées à chaque compte. Après une importante phase de préparation, skimming ou fabrication de fausses cartes, puis distribution desdites cartes et des instructions associées à un réseau, des centaines de « mules » ont, en moins de 12 heures, retiré plus de 9 millions de dollars sur 2100 distributeurs de monnaie situés dans 280 villes différentes de par le monde. Un formidable travail de coordination qui montre à quel point ce « casse » était organisé.

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)

Close