Powered By Blogger

Rechercher sur ce blogue

mercredi 4 mai 2016

Mon site a été piraté, que faire ?



Suite à une demande récente d’une association qui s’est fait pirater son site web, je tiens à faire un article qui regroupera quelques conseils pour récupérer son site et se protéger à l’avenir.
Note : Si il s’agit d’un compte, l’article correspondant aux comptes piratés se situe à l’adresse suivante : http://www.leblogduhacker.fr/reference-mon-compte-a-ete-pirate-que-faire/
Je suppose dans la suite que vous avez accès au serveur pour y effectuer les manipulations nécessaires. Si ce n’est pas le cas, il faut voir avec votre administrateur système/web.

3 étapes pour savoir si mon site est piraté

Habituellement lorsqu’un site est piraté, on le remarque, des fichiers sont supprimés, des éléments changent, certains services ne fonctionnent plus…etc.
Que ce soit pour en avoir le cœur net ou pour simplement vérifier, il est intéressant d’analyser le serveur et le site à la recherche des traces d’un pirate.
Voici donc 3 étapes (non exhaustives) à suivre.

1. Observer les messages externes

L’exemple typique nous vient de Google, lorsque la phrase « Ce site risque d’endommager votre ordinateur » s’affiche dans les résultats de recherche.
exemple de site hacké
Parfois, c’est votre antivirus qui détecte le site comme malveillant ou un autre outil comme Google Safebrowsing :
http://www.google.com/safebrowsing/diagnostic?site=leblogduhacker.fr
(Remplacez « leblogduhacker.fr » par votre site).
Si vous utilisez les Outils pour les webmasters de Google, vous aurez potentiellement un message et un moyen de régler le problème. Voici également d’autres informations de la part de Google : http://www.google.com/webmasters/hacked/
Votre navigateur peut également vous avertir :
site piraté Un problème a été détecté sur cette page
L’exemple suivant vient du navigateur Firefox. Pour recevoir plus d’informations sur les messages affichés, vous pouvez cliquer ici.

2. Observer les logs

Et dans d’autres cas vous observez par vous-même que quelque chose est suspect et qu’une intrusion est probable. Pour cela on peut notamment observer dans les logs (enregistrements de l’activité) du serveur web, des messages d’erreurs suspects. Pour cela il existe beaucoup de services comme URLVoid, Sucuri, ou Virustotal ainsi que des outils de scan de logs comme Scalp ou encore Fail2ban.
Il existe aussi les commandes classiques pour récupérer le contenu du répertoire de logs (/var/log). Ici un autre exemple avec la commande « last » sous Linux qui affiche la liste des derniers utilisateurs connectés ainsi que leur adresse IP :
last-login
Il est facile de repérer une adresse IP inhabituelle car elle ne correspond pas à votre adresse IP.
Pour de l’aide sur les adresses IP, je vous redirige par ici :
http://www.leblogduhacker.fr/donne-moi-ton-ip-je-te-dirai-qui-tu-es/
http://www.leblogduhacker.fr/comment-recuperer-une-adresse-ip/

3. Observer les fichiers modifiés

Enfin, vous pouvez également observer les derniers fichiers modifiés durant les 24 dernières heures (1 * 24) à l’aide de la commande Linux suivante :
find /repertoire-a-observer -mtime 1 -print | more

Récupérer un site piraté

Vient maintenant l’étape cruciale :  Comment récupérer un site piraté ?
Cela dépend beaucoup du travail de sauvegarde et de prévention que vous avez fait auparavant. Si le point précédent vous a permis de savoir qui est entré ou du moins comment il est entré sur votre serveur, vous pouvez supprimer/corriger les fichiers en questions afin de « patcher » la faille.
Si cela ne pose pas de problème pour vous et que vous préférez opter pour la solution brutale, vous pouvez réinstaller votre serveur mais sachez que si vous réinstallez par dessus un site faillible, le pirate reviendra sans problèmes.

Faire des analyses du serveur et du site

Un moyen plutôt sûr mais coûteux et de faire analyser votre serveur et/ou site. Pour cela il existe ce que l’on appelle des scanners de vulnérabilités comme Nikto (gratuit) ou Acunetix (payant).
Faire un test d’intrusion (pentest) est également le job des hackers éthiques, il existe divers types de prestations dont l’audit de sécurité en boîte noire (le hacker n’a pas connaissance du système interne) et l’audit de sécurité en boîte blanche (le hacker connaît le fonctionnement interne). Ces prestations sont souvent réservées aux grandes entreprises, mais en ayant acquis des connaissances en hacking vous serez tout de même en mesure d’analyser votre site ou votre serveur afin de détecter et déjouer vous même la plupart des attaques.

Installer des outils de détection d’intrusion

Ces outils sont divisés en deux groupes principaux : Les premiers vérifient les intrusions au niveau de la machine, les seconds vérifient les intrusions au niveau du réseau.
Parmi eux le plus populaire est probablement Snort, et vous aurez à maintenir des règles de sécurité.

Mettre à jour encore et toujours

Souvent les failles sont patchées via des mises à jour de sécurité. Faites donc absolument toutes les mises à jour que vous pouvez faire, et observez éventuellement si les patchs en question corrigent les vulnérabilités rencontrées.

À faire quoi qu’il arrive : Changer les mots de passe

Peu importe comment votre site a pu être sécurisé, il faut à présent que vous changiez tous les mots de passe. C’est-à-dire les mots de passe de votre compte (et de tous les autres comptes) sur le site et le serveur, le mot de passe de la base de données, etc… Car sécuriser un site en laissant un mot de passe au pirate, c’est lui permettre de revenir sans soucis.

Garder un site et un serveur sain à l’avenir

Pour que cela ne recommence pas à peine votre récupération terminée. Il faut garder en tête des bonnes pratiques.
Parmi les bonne pratiques, on notera les suivantes :

Sauvegarder régulièrement

En ayant sauvegardé vos fichiers régulièrement, il est bien plus facile de se remettre d’une attaque. Pensez donc à sauvegarder votre base de données, vos fichiers importants et tout ce dont vous avez besoin.

Surveiller ce qu’il se passe

C’est maintenant une bonne occasion d’installer des outils de monitoring pour votre serveur. On notera :
Vous pouvez également vous rendre sur l’article suivant dans lequel j’explique comment créer un site web sécurisé :
http://www.leblogduhacker.fr/creer-un-site-web-securise/
Vous y trouverez des conseils similaires à ceux-ci et d’autres astuces pour être et rester en sécurité.

Connaître les menaces et savoir s’en protéger

Je parle souvent des menaces et des moyens de s’en protéger, en ayant conscience de celles-ci vous saurez les éviter et comment réagir et cas de problème.
Par exemple :


Source.:

Comment se protéger de cette « faille » liée à WebRTC avec Chrome et Firefox ?

WebRTC, VPN et adresse IP : quand une « faille » vieille d'un an refait surface


Récemment, certains ont évoqué une « faille » de sécurité qui touche WebRTC : si vous utilisez un VPN, il est possible d'obtenir votre adresse IP. Mais, comme nous allons le voir, elle n'est pas nouvelle et faisait déjà parler d'elle il y a plus d'un an. Ce problème avait même été anticipé dès les brouillons de WebRTC de l'époque. Mais aucune protection n'a été mise en place depuis.
WebRTC est un ensemble d'API permettant de gérer des conversations audio/vidéo directement depuis un navigateur, sans plug-in à installer. Chrome et Firefox le prennent nativement en charge, Mozilla l'exploitant par exemple pour son client Hello disponible depuis la mouture 34 de Firefox.

C'est l'histoire d'une « faille » WebRTC qui diffuse votre IP, même derrière un VPN

Problème, WebRTC présente une « faille » qui peut s'avérer relativement gênante pour ceux qui utilisent un VPN et qui souhaitent cacher leur adresse IP d'origine. Elle permet en effet à n'importe quel site web de retrouver cette dernière, et non de s'arrêter à celle du VPN, du moins sous Windows. De très nombreux médias sont revenus sur cette affaire au cours des derniers jours, en évoquant notamment un prototype qui avait été mis en ligne via ce dépôt Github. Pour tester cette « faille », il suffit de se rendre à cette adresse via un VPN pour constater que, dans la liste des adresses IP, celle de votre connexion est bien présente aux côtés de celle du VPN.
IPLeaks VPN webRTC
Cette situation est due au protocole STUN (traversée simple d'UDP à travers du NAT) développé par l'Internet Engineering Task Force (IETF) qui permet à une application de connaitre l'adresse IP réelle de la machine. Il est notamment utilisé dans les clients de type VoIP ainsi que dans le protocole SIP. Il n'est donc pas anormal que WebRTC récupère cette donnée, mais ce qui est plus inquiétant c'est que cela se fasse sans que l'utilisateur en soit informé et sans qu'aucune confirmation ne soit demandée. Mais de fait, cette situation n'a absolument rien de nouveau.

Une « faille » dévoilée il y plus d'un an

En effet, après quelques recherches, on découvre rapidement qu'il existe déjà une extension Chrome permettant de bloquer cette « faille » : WebRTC Block. Détail surprenant, elle est en ligne depuis le 30 mai 2014 et, à l'heure actuelle, toujours en version 1.0. Surprenant pour une « faille » qui faisait parler d'elle fin janvier ? Pas tant que cela puisqu'elle avait en fait déjà été présentée fin mars 2014 par @vitalyenbroder, là encore avec un prototype fonctionnel :
Suite aux papiers de différents médias de fin décembre/début janvier, il a d'ailleurs mis à jour son blog, non sans une certaine dose d'ironie : « Le même problème de fuite VPN/IP a de nouveau été rendu public par un programmeur américain et cela a soulevé beaucoup plus d'intérêt sur Twitter et chez les magazines web. Conclusion : vous devez être américain pour être entendu ? »

It's not a « faille », it's a « feature » !

Mais nous ne sommes pas encore au bout de nos surprises puisqu'on se rend compte que, dès le mois de janvier 2014 (quelques mois plutôt l'annonce de Vitalyenbroder), le cas d'un VPN utilisé avec WebRTC était remonté via le Bugzilla de Mozilla ainsi que sur les forums de Chromium.
Du côté de la fondation au panda roux, l'importance du bulletin est jugée comme « critique », mais uniquement depuis le 31 janvier 2015 (date à laquelle la vague d'articles est sortie dans la presse). Si l'on regarde l'historique, on se rend compte qu'il était seulement considéré comme « normal » auparavant.  De son côté, Chromium a décidé de classer ce problème avec les labels entreprise et vie privée, et non pas sécurité.
Au-delà de ce classement, les réponses des développeurs sont tout aussi intéressantes à étudier. Dans les deux cas, on retrouve en effet une même remarque qui arrive rapidement sur le tapis et qui précise, en substance, que « ce comportement est dû à la conception même de WebRTC ». On retiendra principalement les interventions d'Eric Rescorla, auteur d'un des brouillons de WebRTC et fondateur de RTFM, sur Bugzilla, ainsi que de Justin Uberti, ingénieur logiciel, sur le blog de Chromium. Au travers de leurs commentaires, ils renvoient vers deux documents de l'IETF.

L'IETF avait anticipé ce problème dans les brouillons de WebRTC

Le paragraphe 5.4 du premier document, qui est un brouillon de WebRTC, précise clairement les choses (nous sommes début 2014) : « Un effet secondaire du fonctionnement du ICE [NDLR : Interactive Connectivity Establishment] est que la machine distante connait l'adresse IP de la première, ce qui donne de grandes quantités d'informations sur la géolocalisation. Cela a des conséquences néfastes sur la vie privée dans certaines situations. »
Le second document est un autre brouillon de WebRTC et, à la section 4.2.4 dédiée à la localisation d'une adresse IP, on trouve le commentaire suivant : « En fonctionnement normal, les sites connaissent les adresses IP, mais elle peut être cachée via des services comme Tor ou un VPN. Cependant, parce que les sites peuvent obtenir l'adresse IP du navigateur, cela donne aux sites un moyen de récupérer des renseignements sur le réseau de l'utilisateur, même s'il est derrière un VPN afin de masquer son adresse IP. » Il est ensuite précisé qu'il « serait souhaitable que les implémentations proposent des paramètres qui suppriment toutes les adresses IP qui ne sont pas celles du VPN si l'utilisateur exploite certains types de VPN, et en particulier des systèmes de protection de la vie privée comme Tor ».
Des recommandations sont également formulées afin de proposer des protections pour protéger l'adresse IP native dans le cas de l'utilisation d'un VPN. L'API de WebRTC pourrait par exemple fournir une solution afin de permettre à JavaScript de supprimer une demande de connexion tant que l'utilisateur n'a pas décidé de répondre à l'appel. Il est également question de restreindre les connexions aux adresses passant par un serveur TURN (Traversal Using Relays around NAT), ce qui aurait pour effet de protéger l'adresse IP native. Des recommandations qui ne semblent pas avoir été spécialement suivies par Mozilla et Google. Par contre, WebRTC est bien désactivé par défaut dans dans Tor Browser (qui exploite Firefox).
 WebRTCWebRTCLa différence entre STUN et TURN

Au final, comment se protéger de cette « faille » liée à WebRTC avec Chrome et Firefox ? 

Quoi qu'il en soit, il règne désormais une ambiance tendue avec une certaine incompréhension entre les deux camps. D'un côté, ceux qui pensent qu'il s'agit d'une « fonctionnalité » liée à WebRTC, qui nécessiterait tout de même des ajustements afin de mieux protéger la vie privée ou au moins donner plus d'information et de possibilités à l'utilisateur. De l'autre, et ceux qui estiment qu'il est question d'une importante faille de sécurité qui doit être corrigée.
Notez que pour vous protéger de ce genre de mésaventure, dans Firefox il est possible de désactiver WebRTC par défaut. Pour cela, il faut vous rendre dans « about:config » puis désactiver « media.peerconnection.enabled ». Cette manipulation n'est pas possible pour l'instant sur Chrome et il faudra donc passer par l'extension WebRTC Block afin de désactiver ce service. Le problème semblerait ne pas apparaitre lorsque le VPN est configuré sur une box ou un routeur et pas directement sur l'ordinateur sous Windows.
Avec l'ampleur médiatique des deux semaines précédentes, il sera intéressant de voir comment vont régir les deux navigateurs par rapport aux deux camps et aux différentes possibilités d'évolution. La situation restera-t-elle la même, désactiveront-ils par défaut WebRTC ou bien demanderont-ils une validation à l'utilisateur avant de transmettre l'adresse IP ? La question reste pour le moment ouverte.
Notez néanmoins que cette dernière possibilité ne semble pas spécialement plaire à Google qui indique, par la voix de l'un de ses développeurs avoir « considéré cette option, mais je ne pense finalement pas qu'introduire une action de l'utilisateur soit logique. Ce n'est pas une demande qui sera bien comprise ("voulez-vous que cette application puisse dévoiler vos différentes interfaces réseau ? ") ». Après, rien n'empêche de modifier le message afin de mettre un avertissement pour ceux qui utilisent un VPN, avec un lien vers des explications détaillées si besoin.
On pourrait par exemple imaginer un système qui fonctionne comme les demandes de géolocalisation qui peuvent être autorisées pour certains sites mais pas pour d'autres (comme lorsque les sites de presse veulent vous géolocaliser).
 
 
Source.:

Bloquer les adresses IP indésirables avec PeerBlock pour Windows



PeerBlock est un logiciel libre permettant de bloquer simplement des adresses IP indésirables issues de logiciels espions et publicitaires. Idéal pour protéger votre connexion à Internet contre les intrusions.
A l'instar de son prédécesseur PeerGuardian, le logiciel PeerBlock permet de protéger une connexion à Internet contre les intrusions malveillantes issues de logiciels de P2P, de logiciels espion ou encore de publicités.

Pour se faire, vous disposerez dès le début de plusieurs listes noires d'adresses IP néfastes afin de bloquer les communications entrantes et sortantes selon les adresses IP. Ces listes sont régulièrement mises à jour automatiquement. Pour chaque entrée, vous pourrez visualiser l'adresse source, celle de destination ainsi que le protocole utilisé.

De plus, vous aurez la possibilité de saisir vos propres adresses IP afin de bloquer les communications avec les logiciels espions, les publicités et autres sites web indésirables. De nombreux paramètres sont disponibles afin de protéger votre système selon vos besoins.

En somme, même si PeerBlock ne dispose pas de l'interface la plus attrayante de l'année, il n'en est pas moins simple à prendre en main

Récupérer un compte piraté: Facebook,Gmail,Yahoo,Outlook etc...




Je reçois beaucoup de demandes chaque jour, que je peux généralement classer en deux parties : Les demandes d’aide pour hacker un compte et les demandes d’aide pour récupérer un compte piraté.
Nous allons parler de la deuxième demande, c’est à dire « Comment récupérer un compte piraté ? »
Je vais vous demander de suivre pas à pas ce tutoriel. Il s’applique pour tous les types de comptes, Facebook, Mail, etc…

1. Historique et données diverses

Si l’un de vos comptes a été piraté, quelqu’un aura généralement trouvé votre mot de passe (On ne parlera pas des cas spécifiques type vols de sessions).
« Trouvé » peut avoir plusieurs sens, le mot de passe peut avoir été deviné (si il était trop simple), il peut avoir été découvert en vous observant taper sur un clavier ou via un bout de papier contenant les identifiants et enfin il peut avoir été récupéré via un programme ou un site web.
C’est l’une de ces 3 possibilités qui a permis à une personne de pirater votre compte (On exclut les failles systèmes, qui sont des cas rares).
Essayez donc de déduire laquelle s’applique à votre cas en vous rappelant ce que vous aviez fait récemment.
  • Est-ce que votre mot de passe était trop simple ?
  • Est-ce que votre mot de passe était noté quelque part ou a pu être observé ?
  • Est-ce que vous avez téléchargé un programme ou donné votre mot de passe sur un site récemment ?
Ensuite, trouvez les détails concernant ce que vous aviez fait, par exemple quel logiciel a été utilisé, quel site a été visité, qui a pu trouver mon mot de passe ?
Astuce : Il est souvent intéressant de garder un programme malveillant en quarantaine ou un site malveillant dans l’historique afin de mieux savoir ce qui s’est passé et ce qui a pu vous être volé.
Posez vous la question : Qui a bien pu vouloir pirater mon compte ? Pourquoi ?
Plus vous aurez de détails, plus vous aurez de chances de récupérer un compte piraté.
Si vous avez identifié le potentiel pirate, vous pouvez continuer votre lecture avec l’article suivant qui vous permettra de trouver son adresse IP et d’aller déposer plainte avec.

2. Un ordinateur sain

Il faut ensuite immédiatement s’assurer que l’ordinateur soit sain et qu’il n’y ait pas un keylogger qui attend sagement de récupérer d’autres informations.
Quoi qu’il arrive exécutez ce qui suit : (Je supposerai que vous utilisez un système Windows)
  • Appuyez simultanément sur CTRL + MAJ + ECHAP pour ouvrir le Gestionnaire des tâches de Windows.
  • (Appuyez ensuite sur Plus de détails seulement si vous êtes sous Windows 8)
  • Allez sur l’onglet Processus.
  • Cliquez en haut dans le menu sur Affichage -> Fréquence d’actualisation et vérifiez qu’elle ne soit pas « Suspendue ».
  • Cliquez ensuite sur Affichage puis Sélectionner des colonnes…
  • Cochez les cases Nom d’utilisateur, Mémoire – Plage de travail privée, Nom du chemin d’accès de l’image et Description. Cliquez sur OK.
  • Cliquez sur le nom de la colonne appelée Nom d’utilisateur afin de trier par utilisateurs.
On s’intéressera aux processus qui ont pour utilisateur le nom de votre ordinateur, si il n’y a rien ou par exemple SYSTEM, ce sont les processus systèmes, censés être sains. On va les ignorer.
récupérer un compte piraté
Prenez le temps d’observer et de comprendre ce qui s’affiche, un processus malveillant peut s’y trouver et être supprimé.
Parmi les processus qui ont pour Nom d’utilisateur le nom de votre ordinateur, regardez à présent le Nom du chemin d’accès de l’image.
Et notez chaque processus dont le nom du chemin d’accès de l’image contient AppData, ou %quelquechose%, ou d’une manière générale qui ne contient pas Program Files ou Windows.
Les processus que vous noterez seront suspects. Il y a fort à parier que vous pouvez terminer ces processus. Vous pouvez d’abord rechercher ces processus (Nom de l’image) sur Google pour savoir de quoi il s’agit, afin d’être sûr(e).
Pour le supprimer définitivement, faites un clic droit dessus puis sélectionnez Ouvrir l’emplacement du fichier, une fenêtre s’ouvre. Revenez dans le Gestionnaire des tâches et re-faites : Clic droit -> Arrêter le processus. Et enfin supprimez le programme qui se trouve dans la fenêtre qui s’est ouverte.

Si vous bloquez à une étape ou avez besoin de plus de détails, écrivez un commentaire, je ferais un tutoriel plus détaillé. 😉

3. Comment récupérer un compte piraté

Maintenant que nous avons repéré le problème et que nous avons un ordinateur sain, on peut commencer à récupérer un compte piraté.
Si vous souhaitez récupérer un compte Facebook, vous pouvez directement suivre mon tutoriel comment hacker un compte Facebook, notamment la fin de l’article dans laquelle j’explique la démarche, suivi de Comment sécuriser son compte Facebook une fois le problème réglé.
Si votre compte est un compte Gmail, vous pouvez lire un commentaire de Hanane, une lectrice qui a récupéré son compte et explique comment ici :
http://www.leblogduhacker.fr/recuperer-un-compte-pirate/comment-page-2/#comment-25801
Seyma quant à elle a pu faire supprimer son compte Facebook piraté :
http://www.leblogduhacker.fr/recuperer-un-compte-pirate/comment-page-2/#comment-25365
Un autre internaute a récupéré son compte Yahoo, je cite : « j’ai suivi toutes les étapes mentionnées dans le 3eme point (Comment récupérer un compte piraté) sauf que il faut insister plusieurs fois »
Si vous souhaitez récupérer un compte Mail, j’explique la démarche pour Hotmail/Outlook/Live car ce sont visiblement les plus demandés. La technique reste sensiblement la même pour Yahoo! ou encore Gmail.
2. Utilisez votre adresse de secours ou votre question secrète si l’une des deux solutions fonctionne.
3. Si ça ne fonctionne pas, allez sur https://account.live.com/acsr
4. Remplissez le formulaire et suivez les étapes.
Microsoft demande d’attendre au maximum 24h, j’ai attendu 2 minutes avec un compte test et j’ai pu récupérer mon compte :
récupérer compte piratéVous pouvez également suivre la formation Comment Protéger Son Ordinateur Et Sa Vie Privée pour avoir tout un panel de technique pour rester protégé efficacement.
Pour Outlook, Live, Hotmail, vous pouvez demander à vos amis de signaler votre compte comme piraté, notamment si le pirate envoie des messages depuis votre compte :
test
ÉDIT:
Étant donné le nombre impressionnant de demandes de personnes qui ont été piratées, je vais éclaircir certains points qui vaudront pour tous :
Je n’ai pas la possibilité de vous aider davantage que ce qui est donné dans cet article et dans le suivant http://www.leblogduhacker.fr/reference-mon-compte-a-ete-pirate-que-faire/
Il n’est pas possible de re-pirater un compte (dans le sens faisabilité).
J’aimerais faire des miracles et vous proposer une récupération de compte en deux clics mais cela n’existe pas.
La façon la plus rapide de procéder est d’entrer en contact avec le support technique du site en question (les liens sont donné dans l’article suivant) afin de leur indiquer votre souci.
Après tout votre compte est hébergé chez eux, ils peuvent donc vous aider et sont les mieux placés pour cela.
Si personne ne vous répond, ou si votre compte ne peut toujours pas être récupéré après contact, vous pouvez comme cité plus haut dans la partie « 1. Historique et données diverses » essayer de communiquer avec le pirate, récupérer son adresse IP et déposer plainte.

Comme dit plus haut dans l’article, vous pouvez lire les commentaires d’autres personnes qui ont réussi à récupérer leur compte et essayer de faire de même.

Autre astuce : Si votre compte de secours (ou secondaire) n’existe pas/plus, il suffit de le (re)créer tout simplement et de redemander l’envoi de la confirmation.
Encore une autre : Si vous souhaitez voir disparaître votre compte piraté (à défaut de le récupérer), réunissez tous vos amis et indiquez leur de signaler le compte en question. Facebook réagit lorsqu’un nombre conséquent de signalements est donné et cela a fonctionné pour une lectrice du site.

N’oubliez pas de sécuriser correctement vos comptes après et de vous assurer d’avoir un ordinateur sain.
http://www.leblogduhacker.fr/trouver-traces-pirate-en-3-etapes-radicales/
http://www.leblogduhacker.fr/comment-supprimer-un-virus/
http://www.leblogduhacker.fr/mais-alors-pourquoi-sommes-nous-toujours-pirates/
En vous souhaitant bonne chance.

Source.:

Il y aurait 3,600 réseaux de zombies opérationnels sur Internet actuellement

Économie des réseaux de PC zombies


Les réseaux de PC zombies ont considérablement évolué ces 10 dernières années. De quelques dizaines d’ordinateurs, gérés depuis des centres de commandes, ils sont passés à des millions de machines constituant des réseaux complexes et dotés d’une administration décentralisée. Quel est l’intérêt de créer de si grands réseaux de zombies ? Une seule réponse : l’appât du gain.
Un réseau de PC zombies, ou botnet, est un réseau d’ordinateurs infectés par un programme malveillant, qui permet à des individus mal intentionnés d’administrer ces ordinateurs à l’insu de leur propriétaire. Les réseaux de zombies représentent désormais une source de revenus stables pour un grand nombre de bandes cyber-criminelles. Le faible coût de production et la simplicité de l’administration des réseaux de PC zombies contribuent à leur popularité, et expliquent leur augmentation.
De nombreuses possibilités s’offrent aux individus qui souhaitent exploiter un réseau de zombies, du cybercriminel expérimenté au moins qualifié. Il est possible de monter de toutes pièces un réseau de zombies, les instructions nécessaires à leur création se trouvant facilement sur Internet.
Pour mettre sur pied un nouveau réseau de PC zombies, le cybercriminel peut infecter les ordinateurs des victimes à l’aide d’un programme spécial baptisé « bot ». Les bots sont des programmes malveillants qui regroupent les ordinateurs infectés au sein des réseaux de zombies.
Les moins doués pour la programmation peuvent tout simplement acquérir des réseaux de PC zombies, commercialisés sur certains forums. Les acheteurs peuvent demander l’obscurcissement et le chiffrement du code de leurs programmes, afin qu’ils ne puissent être découverts par les logiciels antivirus.
Le cybercriminel peut également choisir de détourner un réseau de PC zombies existant.
L’étape suivante pour le cybercriminel consiste à infecter les ordinateurs des victimes à l’aide de programmes malveillants. Il peut pour cela avoir recours à l’envoi de courriers non sollicités, à la diffusion de messages dans les forums ou sur les réseaux sociaux, ou encore au téléchargement à la dérobée. Le bot peut lui-même développer des fonctions de diffusion automatique, comme n’importe quel virus ou vers.
Diverses astuces d’ingénierie sociales sont exploitées lors de la diffusion de messages non sollicités ou de la publication de messages sur des forums ou des réseaux sociaux, afin de pousser la victime potentielle à installer le bot. Il peut s’agir d’une invitation à regarder une vidéo intéressante qui requiert un codec spécial. Une fois ce codec téléchargé et exécuté, l’ordinateur est infecté à l’insu de son utilisateur. Il devient un « esclave », à la merci du cybercriminel à la tête du réseau.
La deuxième technique la plus utilisée est celle du téléchargement à la dérobée, c’est à dire le téléchargement discret d’une application malveillante. Lorsque la victime accède à une page Web infectée, le programme malveillant est téléchargé sur son ordinateur via diverses vulnérabilités présentes dans les applications et les navigateurs Internet le plus souvent utilisés. Des codes d’exploitation sont utilisés pour tirer profit des vulnérabilités. Ces codes permettent non seulement de télécharger discrètement un programme malveillant, mais également de l’installer à l’insu de l’utilisateur. Si l’attaque réussit, l’utilisateur ne se doute même pas que son ordinateur est infecté. Ce mode de diffusion des applications malveillantes est le plus dangereux : si la ressource compromise est très fréquentée, ce sont des dizaines de milliers d’utilisateurs qui seront infectés !

Figure1. Piège pour l’utilisateur. (Fausse page YouTube)
Le bot peut avoir des fonctions de diffusion automatique via les réseaux informatiques. Il peut par exemple se propager en infectant tous les fichiers exécutables accessibles, ou en recherchant les ordinateurs vulnérables du réseau pour les infecter. Virus.Win32.Virut et Net-Worm.Win32.Kido en sont des exemples : le premier est un programme polymorphe qui infecte des fichiers, le second est un ver de réseau. L’efficacité de cette approche est difficile à évaluer : à l’heure actuelle, le réseau de zombies construit par le ver Kido est le plus étendu au monde.
Le créateur d’un réseau de PC zombies peut contrôler les ordinateurs infectés à l’insu des utilisateurs, grâce à un centre de commandes qui communique via un canal IRC, une connexion Internet, etc. Il suffit de réunir quelques dizaines de machines pour que ce réseau de zombies commence à engendrer un revenu pour son propriétaire. Ce revenu est directement proportionnel à la fiabilité du réseau de zombies et à son rythme de croissance.

Comment les propriétaires de réseaux de PC zombies gagnent-ils de l’argent ?

Plusieurs possibilités existent pour rendre lucratifs les ordinateurs asservis : attaques par déni de service distribué, collecte d’informations confidentielles, diffusion de courrier indésirable, hameçonnage, courrier indésirable de recherche, augmentation du nombre de clics ou téléchargement de logiciels publicitaires et d’applications malveillantes. Il faut noter que quelle que soit l’activité choisie par l’individu mal intentionné, les bénéfices seront au rendez-vous. Et d’ailleurs, pourquoi choisir ? Un réseau de zombies est parfaitement capable de réaliser toutes ces activités… simultanément !

Figure 2. Réseaux de PC zombies et affaires

Attaques par déni de service distribué

De nombreux chercheurs pensent que la fonction DDoS était déjà exploitée par les tous premiers réseaux de PC zombies. L’attaque par déni de service distribué est une attaque menée contre un système informatique dans le but de mettre celui-ci hors service, c’est-à-dire de le rendre incapable de recevoir et de traiter les requêtes d’utilisateurs légitimes. Une des méthodes les plus souvent utilisées consiste à envoyer un nombre élevé de requêtes à l’ordinateur de la victime, afin de le mettre hors service s’il ne dispose pas des ressources suffisantes pour traiter toutes les requêtes reçues. L’attaque par déni de service distribué est une arme précieuse pour les pirates, et le réseau de zombies est l’outil idéal pour exécuter ce genre d’attaque. Les attaques DDoS peuvent être employées aussi bien dans la lutte contre les concurrents que dans le cadre d’attaques de cyberterroristes.
Le propriétaire d’un réseau de zombies peut mener pour le compte de clients peu scrupuleux des attaques DDoS à l’encontre des sites de ses concurrents, qui sont ainsi rendus inopérationnels. Le cybercriminel peut alors exiger une rançon, plus ou moins importante. De la même manière, les propriétaires de réseaux de zombies peuvent utiliser à leur propre compte les attaques par déni de service distribué, afin d’extorquer de l’argent à de grandes entreprises. L’entreprise préfère souvent accéder aux demandes du cybercriminel, car la réparation des dégâts provoqués par une telle attaque coûterait encore plus cher.
En janvier 2009, une attaque menée contre l’un des plus importants hébergeurs, godaddy.com, a entrainé la mise hors ligne de plusieurs milliers de sites hébergés sur les serveurs de la société pendant près de 24 heures. Que s’était-il passé ? Une autre société d’hébergement avait-elle appliqué cette tactique illégale pour affaiblir son concurrent, ou l’hébergeur Go Daddy avait-il été la victime du chantage d’un groupe de cybercriminels ? Les deux scénarios sont possibles. Cet hébergeur avait d’ailleurs déjà été victime d’une attaque similaire en novembre 2005. A l’époque, le service avait été suspendu pendant une heure seulement. L’attaque la plus récente, bien plus terrible que la première, témoigne de la croissance incontestée des réseaux de PC zombies.
En février 2007, plusieurs attaques ont été lancées contre des serveurs DNS racines, dont dépend directement le fonctionnement normal de l’ensemble d’Internet. Il est peu probable que ces attaques visaient à détruire Internet car sans lui, les réseaux de zombies ne pourraient exister. Il s’agissait plutôt d’une démonstration de la force et des possibilités des réseaux de zombies.
Des publicités pour la réalisation d’attaques par déni de service distribué s’affichent ouvertement sur de nombreux forums consacrés au sujet. Concernant les tarifs, on observe que le prix à payer pour une attaque oscille entre 50 dollars et plusieurs milliers de dollars par journée complète d’utilisation d’un réseau de zombies. Cet écart au niveau des prix est compréhensible et justifié : l’utilisation d’un petit réseau de zombies (environ 1 000 ordinateurs) suffit pour perturber les ventes du magasin en ligne non protégé d’un concurrent pendant une journée, et cela ne coûtera pas très cher au contrevenant. La situation est toute autre si le concurrent est une grande société multinationale dont le site est protégé, ce qui impliquera l’utilisation d’un nombre bien plus élevé d’ordinateurs pour mener une attaque DDoS concluante. Le prix sera évidemment plus élévé.
Selon les données recueillies par shadowserver.org, près de 190 000 attaques par déni de service distribué ont été organisées en 2008, ce qui aurait rapporté aux cybercriminels près de 20 millions de dollars. Cette estimation ne tient pas compte des revenus du chantage, qu’il est tout simplement impossible d’évaluer.

Collecte d’informations confidentielles

Les informations confidentielles enregistrées sur le disque dur des ordinateurs intéresseront toujours les individus mal intentionnés. Les informations les plus prisées sont les numéros de cartes de crédit, les données financières et les mots de passe d’accès à divers services : courrier électronique, FTP, clients de messagerie FTP. Les programmes malveillants modernes sont capables de sélectionner les données nécessaires aux cybercriminels. Il suffit pour cela de charger le module adéquat sur l’ordinateur infecté.
Les cybercriminels peuvent soit revendre les informations volées, soit les utiliser dans leur propre intérêt. Chaque jour, des annonces pour la vente de codes d’accès à des comptes en banque sont publiées sur les forums clandestins. Le coût dépend de la quantité d’argent disponible sur le compte de l’utilisateur, et est compris entre 1 et 1 500 dollars par compte. La limite inférieure indique que la concurrence qui règne entre les différents cybercriminels du milieu pousse ces derniers à réduire les prix. Pour pouvoir gagner beaucoup d’argent, ils doivent pouvoir compter sur un flux stable de nouvelles données, ce qui implique une croissance stable des réseaux de zombies.
Les informations financières intéressent tout particulièrement les cybercriminels spécialisés dans la fabrication de fausses cartes bancaires. Pour se rendre compte de la rentabilité de ces opérations, il suffit de se souvenir de l’histoire de ce groupe de cybercriminels brésiliens arrêtés il y a deux ans. Ils avaient réussi à retirer 4,74 millions de dollars de divers comptes en banque en utilisant des données dérobées sur des ordinateurs.
Les données confidentielles qui n’ont aucun rapport direct avec l’argent des victimes intéressent les criminels qui se consacrent à la création de faux document, à l’ouverture de faux comptes en banque, à des affaires illégales, etc.
Le coût des données personnelles dérobées dépend directement du pays où vit le détenteur légitime de ces données. Par exemple, les données complètes de résidents des Etats-Unis valent entre 5 et 8 dollars. Sur le marché noir, les données d’habitants de l’Union européenne sont particulièrement recherchées : elles coûtent deux à trois fois plus cher que les données de résidents des Etats-Unis et du Canada. Ceci s’explique par le fait que les criminels peuvent utiliser ces données dans n’importe quel pays de l’Union européenne. La moyenne sur le marché mondial pour un kit complet de données relatives à un individu est de 7 dollars.
Les adresses de courrier électronique figurent parmi les données recueillies par les réseaux de zombies. A la différence des numéros de carte de crédit et des codes d’accès à des comptes bancaires, il est possible de récolter une multitude d’adresses depuis un seul ordinateur. Les adresses récoltées sont ensuite vendues, parfois « en gros », au mégaoctet. Les diffuseurs de courrier indésirable sont les principaux acheteurs. Une liste contenant un million d’adresses électroniques coûte entre 20 et 100 dollars, et la diffusion de messages aux adresses de la liste est comprise entre 150 et 200 dollars. La rentabilité est évidente.
Les criminels recherchent également les données d’accès à divers services payants et magasins en ligne. Ces données coûtent moins cher que les données d’utilisateurs, mais leur vente s’accompagne d’un risque moindre en matière de poursuites judiciaires. Ainsi, les données d’accès à un compte client sur le magasin en ligne Steam, qui propose des dizaines de jeux, sont vendues entre 7 et 15 dollars par compte.

Figure 3. Annonce sur un forum pour la vente de comptes Steam

Hameçonnage

La création de sites de hameçonnage est simple, mais il faut toutefois des moyens pour prévenir la fermeture de ces sites. C’est ici qu’interviennent les réseaux de zombies qui garantissent le fonctionnement de la technologie Fast-flux. Elle permet de modifier à intervalle de quelques minutes l’adresse IP des sites tout en conservant le nom de domaine, ce qui prolonge la durée de vie de ces réseaux et complique leur découverte et leur mise hors-service. Des ordinateurs de particuliers, intégrés à des réseaux de PC zombies, sont utilisés comme serveurs Web, avec du contenu de phishing. Fast-flux est plus efficace que les serveurs proxy pour dissimuler les faux sites Web sur Internet.
Ainsi le célèbre groupe Rock Phish, qui pratique le hameçonnage, collabore avec les opérateurs du réseau de zombies Asprox. En milieu de l’année dernière, le groupe Rock Phish, responsable de la moitié des attaques d’hameçonnage sur Internet qui ont entraîné plusieurs millions de dollars de pertes pour les utilisateurs des systèmes de transactions bancaires en ligne, a modernisé son infrastructure en utilisant la technologie Fast-flux. 5 mois ont été nécessaires, et le tout a été réalisé de manière professionnelle. Mais ils n’ont toutefois pas créé leur propre réseau Fast-flux : ils ont acheté une solution « clé en main » auprès des propriétaires d’Asprox.
Pour un hébergement Fast-flux, les cybercriminels, le plus souvent des phishers, paient mensuellement les propriétaires de botnets entre 1000 et 2000 dollars.
Le revenu moyen d’une attaque de hameçonnage est comparable au revenu rapporté par le vol de données confidentielles à l’aide de programmes malveillants, et peut atteindre des millions de dollars par an.

Courrier indésirable

Des millions de messages non sollicités sont envoyés chaque jour dans le monde. La diffusion de ce courrier indésirable est une des fonctions principales des réseaux de zombies modernes. Selon les données de Kaspersky Lab, près de 80 % de l’ensemble des messages non sollicités sont envoyés via les réseaux de zombies.
Les ordinateurs des utilisateurs sont utilisés pour envoyer des milliards de messages faisant la publicité du viagra, de fausses montres, de casinos en ligne, etc. Ces messages surchargent les canaux de diffusion et encombrent les boîtes aux lettres. Les adresses à l’origine de la diffusion sont ajoutées aux listes noires des éditeurs de logiciels antivirus.
On a observé ces dernières années un élargissement de la gamme de services offerts par le spam : il existe désormais les messages non sollicités sur ICQ, les messages non sollicités sur les réseaux sociaux, les forums ou les blogs. Il s’agit d’une vraie « prouesse » des propriétaires de botnets : il est très facile de programmer un module complémentaire pour le client « bot », générant de nouvelles opportunités avec des messages tels que : « Courrier indésirable sur Facebook. C’est pas cher ».
Les tarifs du courrier indésirable varient en fonction du public visé et du nombre d’adresses qui reçoivent les messages. Les prix pour une diffusion ciblée sont compris entre 70 dollars pour des centaines de milliers d’adresses et 1 000 dollars pour quelques dizaines de millions d’adresses.
L’an passé, les diffusions de spams ont rapporté aux spammeurs la somme astronomique de 780 000 000 dollars.

Courrier indésirable de recherche

Il existe une autre application des réseaux de zombies, à savoir l’optimisation des recherches. Avec ce procédé, les responsables de sites tentent d’améliorer leur position dans les résultats de recherches. Plus un site se positionne en haut du classement, plus il recevra de visiteurs via les moteurs de recherche.
Les robots de recherche tiennent compte de plusieurs facteurs pour évaluer la pertinence d’un site. Un des principaux paramètres est le nombre de liens vers d’autres pages ou domaines. Plus le nombre de ces liens est élevé, plus le classement du site du point de vue du robot sera élevé. Le classement est également influencé par les mots qui composent les liens. Par exemple le lien « achetez nos ordinateurs » sera très pertinent pour la recherche « achat ordinateur »
L’optimisation pour les moteurs de recherche (Search Engine Optimization) est économiquement rentable. De nombreuses sociétés paient des sommes astronomiques à des webmasters afin qu’ils placent leur site en première position dans les résultats de recherche. Les propriétaires de réseaux de zombies ont étudié quelques astuces et ont automatisé le processus d’optimisation de la recherche.
Une multitude de liens, créés par un inconnu ou un ami, peuvent apparaitre dans les commentaires d’une entrée sur un blog, ou d’une photo en ligne. C’est la technique utilisée pour promouvoir son site via un réseau de zombies. Le programme spécialement développé à cet effet est installé sur l’ordinateur zombie, et il laisse au nom du propriétaire de l’ordinateur asservi des commentaires sur des sites fréquentés, comportant des liens vers le site promu.
Le prix moyen pour ces services illégaux de courrier indésirable de recherche est d’environ 300 dollars par mois.

Installation de logiciels publicitaires et de programmes malveillants

Imaginez-vous un instant en train de lire votre magazine en ligne favori sur l’automobile, quand soudain une fenêtre s’ouvre et vous invite à acheter des accessoires d’origine pour votre véhicule. A priori, il n’y a rien de mal à cela et vous seriez même disposé à réaliser cet achat. Par contre, vous savez pertinemment bien que vous n’avez installé aucune application pour la recherche d’objets dont vous avez besoin (ou pas). L’explication est simple : les propriétaires d’un réseau de zombies ont « pensé à vous ».
Les nombreux éditeurs qui proposent des services de publicité en ligne sont payés pour chaque installation de leur application. Il s’agit en général d’une somme modeste, de 30 cents à 1,5 dollars pour une installation. Toutefois, si l’individu mal intentionné dispose d’un réseau de zombies, il peut installer en quelques clics n’importe quelle application sur des milliers d’ordinateurs et gagner ainsi une somme importante.
Le célèbre cybercriminel D. K. Schifer, jugé en 2007, a gagné en un mois plus de 14 000 dollars en installant un logiciel publicitaire sur 10 000 ordinateurs à l’aide d’un réseau de PC zombies de plus de 250 000 machines.
Les représentants d’activités cybercriminelles qui diffusent des applications malveillantes suivent souvent le même modèle en se faisant payer pour chaque installation de leur logiciel. De plus, l’installation d’applications sur des ordinateurs dans différents pays n’a pas le même coût. Ainsi, l’installation d’un programme malveillant sur mille ordinateurs en Chine coûtera en moyenne 3 dollars alors qu’il faudra compter 120 dollars aux Etats-Unis. Ceci est tout à fait compréhensible dans la mesure où les utilisateurs des pays développés ont des données qui valent beaucoup plus d’argent.

Augmentation du nombre de clics

Les agences de publicité qui travaillent en ligne selon le modèle PPC (Pay-per-Click) versent de l’argent pour chaque clic unique sur les annonces. Pour les propriétaires de réseaux de zombies, tromper ces compagnies peut rapporter gros.
Prenons par exemple le célèbre réseau Google AdSense. Les annonceurs paient Google pour les clics sur les annonces, en espérant que le visiteur achètera quelque chose chez eux.
Google de son côté place des publicités contextuelles sur divers sites participant au programme AdSense et paie un pourcentage pour chaque clic au propriétaire du site. Malheureusement, tous les propriétaires de sites ne sont pas honnêtes. Ainsi, le pirate ayant accès à un réseau de zombies peut générer des milliers de clics uniques par jour, un par machine afin de ne pas éveiller les soupçons de Google. L’argent dépensé en publicité par la société arrive dans les poches du pirate. Malheureusement, il n’existe à ce jour aucun cas où les auteurs ont dû répondre de leurs actes.
Selon les données de Click forensics en 2008, 16 à 17% des clics sur les liens publicitaires étaient contrefaits, dont un tiers était généré par les botnets. Un calcul rapide nous montre que sur un an les propriétaires des botnets ont récolté grâce aux liens commerciaux 33 000 000 de dollars.

Location et vente de réseaux zombies

La célèbre formule « marchandise-argent-marchandise » énoncée par Marx devient, pour les propriétaires de réseaux de zombie importants, « réseau de zombies-argent-réseau de zombies ». Il est vrai que le maintien du réseau de zombies, la recherche de nouveaux zombies, la protection contre la détection des bots par les logiciels antivirus et la mise en place de centres de contrôle et de commande nécessitent des investissements aussi bien en temps qu’en argent de la part des pirates. Ils n’ont ainsi tout simplement pas le temps de diffuser eux-mêmes les messages, d’installer une application quelconque ou de voler des données et de les revendre. Il est plus simple de louer le réseau de zombies ou de le vendre à toute personne intéressée.
La location d’un réseau de zombies de messagerie dont la vitesse de diffusion est de 1 000 messages par minute (lorsque 100 zombies sont en ligne) revient à environ 2 000 dollars par mois. Le coût de la location d’un réseau de zombies « clé en main » dépend du nombre d’ordinateurs infectés. Les petits réseaux comptant quelques centaines de bots sont compris entre 200 et 700 dollars, un bot revenant en moyenne à 0,5 dollar. Les réseaux plus développés coûtent bien plus cher. Ainsi, le réseau Shadow, créé par un jeune pirate hollandais de 19 ans, comptant plus de 100 000 ordinateurs à travers le monde, a été vendu 36 000 dollars. C’est le prix d’une petite maison en Espagne, mais un criminel brésilien a préféré s’acheter un réseau de PC zombies.

Conclusion

Chaque jour, les personnes à la tête de réseaux de zombies empochent des sommes astronomiques. La lutte contre cette activité exploite tous les moyens possibles, mais est loin d’être efficace devant la loi. L’application de législations contre le courrier indésirable, contre la création et la diffusion de programmes malveillants, ou contre la violation de l’intégrité de réseaux informatiques, n’est pas une pratique adoptée dans tous les pays, et tous les pays ne possèdent d’ailleurs pas nécessairement une législation en la matière. Les propriétaires ou les créateurs de réseaux de zombies qui ont été traduits en justice se comptent sur les doigts de la main. Paradoxalement, le nombre de réseaux de zombies opérationnels sur Internet est élevé : on en recensait récemment 3 600. En réalité, le décompte du nombre de réseaux opérationnels n’est pas une mince affaire car il existe quelques dizaines de réseaux de zombies importants dont il est impossible de remarquer l’activité et une multitude de réseaux plus petits particulièrement difficiles à découvrir et à scinder.
A l’heure actuelle, la méthode la plus efficace pour lutter contre les réseaux de PC zombies consiste à jouer sur une collaboration étroite entre les spécialistes de la lutte contre les virus, les fournisseurs d’accès Internet et les autorités judiciaires. C’est peut-être cette coopération qui a entraîné la fermeture de trois sociétés : EstDomains, Atrivo et McColo. Il faut noter que la fermeture de la société McColo, dont les serveurs hébergeaient les centres de commande de plusieurs réseaux de zombies importants, spécialisés dans la diffusion de courrier indésirable, a entraîné une réduction de 50 % du nombre de messages non sollicités en circulation.
Les spécialistes étudient des milliers de réseaux de zombies, les logiciels antivirus détectent et neutralisent les bots dans le monde entier mais seules les autorités judiciaires peuvent interrompre l’activité des centres de commandes et capturer les criminels, ce qui « désactiverait » les réseaux de zombies à long terme. Les effets de la fermeture de McColo ont été de courte durée : quelques semaines plus tard, le volume de courrier indésirable avait à nouveau atteint son niveau habituel. Les propriétaires de réseaux de zombies ont déplacé leurs centres de commande chez d’autres hébergeurs, et ils ont poursuivi leur activité comme auparavant. Aussi, il est primordial de mener une lutte de tous les instants, et non pas seulement des vérifications ponctuelles. Malheureusement, les réseaux de zombies s’apparentent bien souvent à une hydre des temps modernes !
La lutte ne peut être efficace si elle ne compte pas l’appui des utilisateurs. Ce sont en effet les ordinateurs des particuliers que l’on retrouve majoritairement dans les réseaux de zombies. Le non-respect de règles de sécurité élémentaires, telles que l’utilisation d’un logiciel antivirus, l’utilisation de mots de passe robustes, ou la désactivation du lancement automatique des fichiers depuis les supports amovibles, peut transformer votre ordinateur en nouveau membre d’un réseau de zombies, ce qui mettrait vos données et vos ressources à disposition d’individus mal intentionnés. Pourquoi faciliter la tâche des cybercriminels ?

Source.: