Spécial sécurité : le Cloud Computing, outil de luxe pour hackers

1) Cloud Computing, un beau sabre de pirate

Le Cloud Computing, outil de luxe pour hacker ? Ce n’est pas franchement nouveau, puisque cette idée trotte dans les esprits depuis au moins les premières heures d’existence de Seti@home : disposer d’un réseau de calcul distribué – et donc d’une formidable puissance de traitement -, voilà un véritable rêve de pentesteur.

L’équipe de Neohapsys a repris cette idée et s’est lancé dans la fabrication d’un casseur de mot de passe nouvelle génération. La partie active du programme peut être diffusée via une attaque XSS, et quelques astuces permettent de continuer à faire travailler la JVM distante même lorsque la page web infectée a été fermée. Une petite séquence vidéo montre grossièrement comment fonctionne ce « cloud hacking ».

Même idée, mais plus de détails techniques, et surtout financiers, sur le blog Electric Alchemy (ce qui prouve qu’une bonne trouvaille n’est que trop rarement le fait d’une seule équipe). Cette fois, le programme de hacking utilisé est disponible en téléchargement (gratuit). Ce n’est autre que EDPR (Elcomsoft's Distributed Password Recovery)... Amélioré par une dll magique offerte, pour les besoins de la cause, par Andrey Belenko, d’Elcomsoft. Restait à réaliser la Cloudification effective de l’outil d’attaque, ce qui fut réalisé tout naturellement en faisant appel au service EC2 d’Amazon. Toute la question était de savoir si le « coût du service » pouvait s’avérer rentable, et en fonction de quelle complexité de mot de passe. Tous les détails de l’attaque, les résultats des tests de « solidité » des mots de passe et le rapport complexité/coût d’une attaque en « brute force » sur le site des briseurs de clefs. Les résultats sont édifiants. Un mot de passe « simple » - alphabétique uniquement - de plus de 13 caractères coûtera, avec cette technique, près d’un million de dollars à casser. En dessous de 12 caractères, l’opération sera pratiquement gratuite. Idem pour les mots de passe complexes (lettres, chiffres, symboles…). En dessous d’une longueur de 8 caractères, les coûts sont insignifiants. Au-delà, les prix grimpent rapidement. Insistons sur le fait que ces métriques ne reposent que sur l’usage d’un procédé « brute force ». Un mot de passe de 30 ou 40 caractères alphabétiques constitué de différents mots connus ne résiste pas très longtemps face à une attaque par dictionnaire. Et l’on ne parle pas de l’efficacité des Rainbow Tables. Les vendeurs de ressources de calcul « cloudifiées » ont donc de beaux jours à vivre.

2) Cloud Computing, une future arme de forban

Combien de temps faudra-t-il pour que les RBN et Rock Phish divers et variés ajoutent à leurs cordes d’hébergeurs mafieux des services de Cloud Computing ? A moins que la technique de zombification invoquée par l’équipe de Neohapsis fasse son chemin. Après tout, les prix de location d’un bon botnet ne cessent de s’effondrer ces jours-ci. A tel point, nous explique Dancho Danchev, que les opérations de racket à l’attaque en déni de service deviennent presque monnaie courante. Certes, le montage est complexe, si l’on considère les articulations techniques nécessaires : injections SQL massives pour parvenir à truander les moteurs de recherche lesquels, dans un second temps, attirent des « clients » curieux vers des sites compromis. En les visitant, l’internaute se fait infecter grâce à des techniques d’ingénierie sociale de plus en plus sophistiquées et réalistes (incitation à installer de faux codecs, pseudo mises à jour Adobe, anti-virus faisandés etc..). Parallèlement à ce tissu technologique, il faut que le racketteur recrute également une armée de « mules », intermédiaires financiers chargés de « relever les compteurs » et accessoirement de servir de fusible en cas d’enquête policière.

Danchev publie même une authentique lettre d’extorsion, qui semble tout droit sortie d’un roman de Dashiel Hammett. Après le traditionnel « payez 10 000 roubles (230 euros) par mois ou votre site tombera », les escrocs expliquent leur manière d’opérer : « Dans un premier temps, vos installations seront attaquées par un botnet constitué de 2 000 postes. Si, par hasard, vous aviez l’indélicatesse de faire appel à une entreprise de sécurité qui bloquerait nos 2 000 vecteurs de déni de service, nous serions contraints de contre-attaquer avec 50 000 postes… et c’est pas donné, la location d’un tel parc. Fatal, ça risque d’augmenter nos tarifs… »

On ne peut éviter d’imaginer les prochaines publicités des hébergeurs marrons : « outre une garantie d’uptime en 24/7/365, nous offrons un éventail de services « on demand » de location de temps CPU associés aux meilleurs outils de productivité développés à ce jour : éventreurs de SHA1, détrousseurs de PGP, atomiseurs de mots de passe GMail, Hotmail, MSN, Outlook Server, compilateurs de Captcha complexes, etc. Avec notre offre Troïka-bit-slice-bulletproof, vous ne payez que ce que vous consommez, vous consommez sans avoir à sortir de chez vous, vous commandez sans avoir à investir un kopek en matériel, logiciel, mise à jour ou maintenance. Troïka-bit-slice-bulletproof : même le FSB nous l’envie… »

3) iPhone : cachez ce SSH que je ne saurais voir

Après le racket industriel façon camorra visant les grands serveurs Web, voici le petit hack semi-mafieux s’attaquant aux possesseurs d’iPhone « jailbreakés ». Certains abonnés hollandais de T-Mobile ont pu lire sur l’écran de leur téléphone un bien étrange message rédigé en anglais : «  Votre téléphone a été hacké car il est vraiment mal sécurisé. SVP visitez le site xxx pour protéger immédiatement votre iPhone. Dès à présent, je peux accéder à tous vos fichiers. Ce message ne s’effacera pas tant que votre iPhone ne sera pas sécurisé ». Le « prix » du racket (du conseil en sécurité prétend l’auteur du message) a été facturé un bref instant aux environs de 5 euros. La « faille de sécurité » en question serait en fait un SSH ouvert avec un mot de passe par défaut, port dont l’ouverture aurait été mise en évidence par un simple balayage lancé par le hacker. Depuis, l’apprenti pirate aurait fait amende honorable et aurait remboursé ses premières victimes. L’affaire n’étant en aucun cas propre à la structure du réseau T-Mobile, le même genre de mésaventure peut se produire en France. Il est donc conseillé aux utilisateurs d’iPhone jailbreakés de n’utiliser leurs SSH que lorsque cela est nécessaire, et surtout d’en changer le mot de passe par défaut.