Daniel Roesler, un chercheur en sécurité informatique travaillant à Oakland, a publié hier une démo surprenante (31 janvier 2015). Si vous utilisez un VPN (hors CISCO) sur Windows et que vous surfez avec Chrome ou Firefox, votre IP réelle peut être découverte par n’importe quel site web sans même que vous ne le sachiez.(pas pratique en P2P )
EDIT : la faille pourrait fonctionner sur les OS GNU/Linux. A confirmer, je n’ai pas encore pu essayer personnellement.
A l’heure où j’écris ces lignes, la faille est toujours opérationnelle. Si elle ne l’est plus au moment où vous lisez cet article, les explications que j’y donne reste valables et vous intéresseront si vous avez envie de comprendre un peu mieux le fonctionnement d’Internet.
Avant de détailler la faille, il est important de comprendre le principe du protocole STUN (RFC 5389). C’est assez simple vous allez voir.
A quoi sert un routeur ?
Vous utilisez sûrement une box Internet
chez vous, pour vous connecter à Internet (une bbox, une livebox, etc…).
Dans le jargon informatique, une box s’appelle un routeur. Pour faire simple, on peut dire qu’un routeur sert à connecter un réseau informatique à un autre réseau informatique.
Dans votre cas, votre box vous sert à connecter votre petit réseau local (c’est à dire tous les appareils de votre maison : téléphone, ordi, tablette, …) à un gros réseau qui s’appelle… Internet !
Venons en au fait ! Votre box, comme tout routeur qui se doit, a une mission importante : offrir à votre réseau local une adresse IP pour être identifiable sur Internet. C’est entre autre pour cela que vous payez votre fournisseur d’accès tous les mois une trentaine d’euros.
Votre maison ne peut pas être branchée à Internet si elle ne dispose pas d’une adresse IP publique. Ça serait comme rouler sur l’autoroute sans plaque d’immatriculation en quelques sortes.
Pour résumer en 2 mots : un routeur
(votre box) sert à connecter votre maison à Internet. Cette box a une
mission bien particulière : rendre votre petit réseau local visible sur
le grand Internet, en lui attribuant une adresse IP.
A quoi sert le protocole STUN ?
Maintenant, passons à la faille à proprement dite.
Sans rentrer dans le fonctionnement d’un réseau informatique, vous devez savoir qu’un ordinateur à l’intérieur de votre maison n’est pas censé connaître l’IP publique qui l’identifiera sur Internet. Il n’en a pas besoin en fait…. enfin, presque pas besoin.
Je dis “presque”, parce que certaines
applications comme la “voix sur IP (voIP)”, c’est à dire téléphoner
en utilisant Internet, obligent votre ordinateur à connaître son adresse
IP Internet. Le pauvre, il ne la connait pas et n’a aucun moyen de la connaître (même si ça peut paraître bizarre).
Pour palier à ce problème, les informaticiens ont inventé le serveur STUN.
Il s’agit d’un système qui permet à un ordinateur de connaître sa
propre adresse IP Internet (et pas mal d’autres trucs sympas) simplement
en allant la demander à un serveur situé à l’autre bout de la
planète. C’est le job des serveurs STUN. Ouf, heureusement qu’ils sont
là.
La faille STUN / Web-RTC
Vous commencez à voir le lien
avec l’histoire des VPN ? La majorité des navigateurs Internet utilisent
cette technologie des serveurs STUN lorsqu’ils en ont besoin (encore
une fois, dans des situations assez particulières).
Cependant, les versions Windows de Firefox et Chrome ont un gros problème : elles permettent à n’importe quel site web de récupérer l’adresse IP réelles des internautes, par l’intermédiaire d’une technologie que l’on appelle WebRTC, couplée au protocole STUN dont je vous ai parlé.
Pour vous le prouver, il suffit d’aller sur cette page que j’ai hébergée ici. Si vous utilisez un VPN en visitant cette page ET
que vous utilisez Chrome/Firefox sur Windows, vous verrez l’adresse IP
que vous tentez de cacher. Si vous la voyez, cela veut dire je peux
aussi l’enregistrer de mon côté pour vous identifier… pas top !
Comment vous protéger de la faille ?
Pour être tranquille, vous devez bloquer
l’API WebRTC sur votre navigateur. Il s’agit du module de développement
qui sert à interroger le serveur STUN qui communique votre IP réelle. Bloquer WebRTC peut rendre indisponible certaines applications qui l’utilisent.
Pour vous protéger sur Chrome / Chromium / Opera, il suffit d’installer l’extension suivante qui désactive WebRTC : WebRTC Block.
Pour vous protéger sur Firefox, tapez about:config dans
votre barre d’adresse du navigateur. Cherchez le paramètre
“media.peerconnection.enabled”, faîtes un clic droit dessus puis
“inverser” (pour le passer à false).
Pour vous protéger sur Internet Explorer et Safari : ces deux navigateurs n’utilisent pas WebRTC à l’origine de la faille. Vous n’avez donc rien à faire.
Pour vous protéger sur TOR Browser : par défaut, TOR Browser désactive WebRTC. Là encore, aucun problème à signaler.
Pour en savoir plus
Si les notions de réseau que j’ai vulgarisées vous intéressent, voici quelques articles intéressants pour en savoir plus :
Il circule beaucoup de mythes &
légendes à propos des virus informatiques. Un des plus
coriaces consistent à croire qu’il est possible d’être infecté simplement en ouvrant un e-mail ! C’était peut-être vrai avec la première version d’Outlook, mais ce n’est heureusement plus le cas aujourd’hui.
Pourquoi ne peut-on pas être infecté en ouvrant un e-mail ?
Les e-mails contiennent du texte ou du code HTML. Le HTML est le
langage utilisé pour construire les pages web, comme celle que vous
lisez actuellement. Un e-mail rempli de texte ou de HTML ne peut absolument pas nuire à votre ordinateur.
Fût une époque, Outlook (le client mail de Microsoft) exécutait le
code Javascript que pouvait contenir les e-mails. Le Javascript est un
autre langage utilisé pour le web qui peut, contrairement au HTML, nuire
à l’utilisateur.
Cette époque est révolue : aucun client mail digne de ce nom n’exécute le Javascript qui pourrait être inséré par un pirate dans des e-mails.
Outre ces légendes urbaines, il existe
des faits avérés assez incroyables dans le monde des virus. En voici 3
qui ont retenu mon attention et qui vous plairont sûrement.
1. Le virus le plus couteux de l’histoire de l’humanité
En 2004, un virus dénommé MyDoom fait
son apparition. Le mode de propagation était classique : une fois qu’il
avait infecté un ordinateur, le MyDoom envoyait des e-mails vérolés à
tous les contacts du propriétaire pour les infecter à leur tour (grâce à
une pièce jointe attrayante).
Le virus servait à prendre le contrôle des ordinateurs
infectés pour envoyer du spam mais aussi pour lancer des attaques
contre des entreprises comme Google, Microsoft ou encore SCO,
une boite de sécurité informatique.
Les experts de MessageLabs, une
entreprise d’emailing, ont rapporté 7,4 millions d’e-mails contenant le
virus MyDoom. Toujours selon eux, 1 e-mails vérolé sur 41 infectait
véritablement le destinataire (ce qui est monstrueux). La société
d’antivirus Kaspersky estimait à 700.000 le nombre de PC infectés en 2004 (ça aussi c’est monstrueux).
Comme je l’ai dis plus haut, le virus
lançait différentes attaques grâce à ses ordinateurs zombies. Des
attaques ont eu lieu contre SCO, Microsoft et Google. Microsoft dépensa 5 millions de dollars pour aider le FBI à trouver le créateur + 250.000$ de récompense à quiconque donnerait des informations sur lui.
En Juillet 2004, Google a cessé de fonctionner pendant une journée entière
suite à une attaque d’une variante de MyDoom. Difficile à imaginer
aujourd’hui…. La dernière fois que Google a flanché violemment, c’était à
la mort de Mickael Jackson. Le moteur a eu du mal à ingérer les
millions de requêtes par seconde qu’il recevait.
Bref, au total, le virus MyDoom aura coûté approximativement 38 milliards de dollars à l’État américain et à toutes les entreprises attaquées entre 2004 et 2007. 38 milliards. Pour info, le déficit de la sécu en France s’élève à 11 milliards d’euros…. soit à peine 13 milliards de $.
L’auteur du virus, vraisemblablement Russe, n’a jamais été retrouvé. La v1 de MyDoom a été programmée pour arrêter sa propre diffusion à une date donnée
(février 2004) ce qui a valu la découverte de dizaines de dérivées du
virus qui prenaient la relève à chaque fois. Tous les dérivés semblent
avoir été écrits par la même personne.
2. Le tout premier virus de l’histoire a été créé par 2 frères Pakistanais
Il s’appelait Brain et voici ses créateurs :
Les deux frères ont conçu ce virus en
1986 pour protéger leur logiciel d’analyse médical des pirates. En
clair, chaque personne qui utiliserait une copie illégale de leur
logiciel médical serait infecté par Brain ! La sentence était assez
terrible, puisque l’ordinateur affichait cet écran au démarrage sans
moyen d’aller plus loin :
On pouvait y voir inscrit (à droite de la capture ci-dessus) :
Ils donnaient leur adresse et leur numéro de téléphone pour que les victimes se fassent dépanner (“contactez-nous pour la vaccination“) ! Ils n’avaient pas prévu que des milliers de personnes allaient se faire piéger et appèleraient. Leur ligne a été totalement saturée et les médias se sont emparés de l’histoire.
Leur entreprise actuelle, Brain Net,
est l’un des plus célèbres fournisseurs d’accès Internet au Pakistan.
Ils avouent eux-même que Brain a été un bon tremplin À l’occasion de l’anniversaire des 25 ans de Brain, les deux auteurs ont accepté de participer à un documentaire intéressant sur le sujet.
3. Le plus grand réseau d’ordinateurs zombies… oscar à Zeus !
Zeus est un virus type trojan, qui
permet d’espionner et de prendre le contrôle d’un ordinateur
infecté. Majoritairement utilisé par des groupes purement criminels type
mafias organisées, Zeus a servi à voler des millions de numéros de cartes de crédit. Les débits bancaires pouvaient être de plusieurs dizaines de milliers d’euros pour les victimes !
Des mules étaient employées pour
récupérer l’argent volé déposé sur des comptes bancaires. Ces mules
étaient engagées par Internet par les hackers pour récupérer en cash
l’argent dans un distributeur et leur amener en Europe de l’Est.
Hamza Bendelladj, arrêté en 2013 par le FBI, semble avoir été la tête pensante du réseau criminel derrière Zeus.
Sur le Darknet, le virus coûtait entre 3000 et 4000$ minimum à celui qui voulait se le procurer,
sans compter certains modules supplémentaires. Le module qui permettait
par exemple de récupérer toutes les données du navigateur Firefox sur
l’ordinateur de la victime coûtait 2000$ de plus. Le module qui
permettait de faire tourner le virus sur Windows Vista et Windows 7 coûtait 2000$ lui aussi.
A titre personnel, je crois
avoir rencontré des réseaux d’affiliation qui permettaient de gagner
entre 40 et 50$ par ordinateur que l’on infectait avec Zeus et que l’on
“offrait” ensuite au réseau. Pourquoi pas après tout ! Plus on est de
fous, …
Conclusion
L’historique des virus informatique est
vraiment passionnant. Ces 3 faits sont ceux qui m’ont le plus marqués
pendant mes recherches, mais je ne doute pas qu’il en existe d’autres
aussi excitants. Je pense notamment aux virus qui détruisent du matériel civil ou militaire.
Facebook, Google, AddThis, KissMetrics, whitehouse.gov… certains de ces sites vous parlent, d’autres non. Quoi qu’il en soit, ils font tous partis des 100.000 sites les plus populaires au monde. Et ils utilisent tous ces nouvelles méthodes de tracking (suivi) contre lesquelles nos petits bloqueurs de pub — Adblock, Ghostery — auront du mal à rivaliser.
À quoi sert le tracking sur Internet ?
Le tracking sur Internet a surtout deux intérêts :
Dans un cadre étatique, cela sert à vous identifier et à vous surveiller.
On espère que dans nos démocraties occidentales ce genre de pratique
reste marginale, mais l’actualité autour de la NSA laisse
malheureusement penser le contraire.
Dans un cadre publicitaire et commerciale, le tracking est utilisé pour vous servir les bonnes publicités au bon moment et vous inciter à acheter.
Pour Google, la publicité compte pour
presque 90% de son chiffre d’affaire. Je pense que c’est pareil pour
Facebook, Twitter et les autres. Le tracking est donc absolument
primordial pour les Géants.
Pourquoi de nouvelles méthodes de tracking ?
Les méthodes actuelles se basent quasi exclusivement sur l’utilisation de cookies.
Il s’agit de petit fichier que les sites Internet peuvent enregistrer
sur votre ordinateur pour vous suivre pendant plusieurs mois.
De plus en plus d’internautes bloquent leurs cookies,
soit par choix (Adblock, Ghostery, etc…), soit parce que certains
navigateurs comme Firefox ou Safari décident de bloquer les cookies par
défaut.
Google et tous les autres acteurs du web qui vivent grâce au tracking ont donc été obligé d’évoluer rapidement. Voila comment ils s’y sont pris.
1. La méthode Google : mystérieuse et gênante
Google, qui ne communique pas des masses sur son nouveau procédé de suivi, semble créer une “empreinte digitale” (fingerprint) de la machine utilisée par chaque internaute.
Cette empreinte est une sorte de bouillie créée en mixant :
Des caractéristiques de votre navigateur ;
Des caractéristiques sur votre ordinateur ;
Probablement des cookies, des sessions, votre IP ;
Pour le premier point c’est facile : il suffit de récupérer l’user-agent. Pour le second point, c’est de plus en plus facile pour Google puisque le navigateur Google Chrome passe en tête dans tous les classements de navigateurs web.
En installant Chrome, vous donnez à Google toutes les clefs dont il a
besoin pour accéder à votre machine. Enfin pour le dernier point, c’est
du grand classique.
J’imagine que Google crée une checksum (somme de contrôle) avec toutes ces info pour nous identifier. Nous verrons comme nous protéger des 3 techniques de cet article dans la dernière partie.
2. La méthode du ETAG : bien cachée, et difficile à contrer
Cette méthode a été parfaitement décrite par lucb1en sur son blog (en anglais). Voici ce qu’il faut retenir.
Lorsque vous surfez sur Internet, votre
navigateur web discute sans cesse avec des serveurs web. C’est grâce à
ces discussions entre votre navigateur et les serveurs web (le protocole HTTP) que vous pouvez accéder à tous les sites web de la planète.
Pour gagner du temps et éviter des “discussions” inutiles, votre navigateur et les serveurs web utilisent ce qu’on appelle un système de cache.
Chacun de leur côté, ils gardent des choses en mémoire (des pages que
vous visitez souvent, des images, …) pour vous les ressortir très vite
si vous leur demandez.
Par exemple : vous arrivez sur mon blog
ce matin à 10h. Si vous y retournez à 10h02, il y a de fortes chances
pour que rien n’ai changé. Du coup, votre navigateur va mettre en cache
les pages de mon blog que vous visitez la première fois pour vous les
ressortir très rapidement les prochaines fois (sans
aller discuter avec mon serveur web). S’il y a eu des changements entre
temps, alors rassurez-vous : le navigateur sera forcé de mettre à jour
les pages qu’il a sauvegardé. Vous aurez toujours la dernière version de
mon blog sous les yeux.
Et justement : pour savoir s’il y a eu du changement entre deux de vos visites sur un site, le serveur et votre navigateur s’échange un ETAG.
Ce ETAG permet de savoir, pour faire simple, si des choses ont changé
entre la version mise en cache par votre navigateur et le site lui-même.
Ce ETAG est une suite de lettres et de chiffres (du genre 2b987efiej7fe987f). Partant d’un principe assez noble (améliorer les délais d’attente sur le web), ce ETAG a été détourné pour pister les internautes.
En affectant à chaque visiteur un ETAG différent, un site web est
capable d’utiliser le cache navigateur – et non les cookies – pour vous
pister.
Qui pense à vider son cache ? Pratiquement personne. Qui bloque la mise en cache de son navigateur ? Presque personne non plus, parce que bloquer le cache c’est ralentir fortement votre vitesse de navigation.
Pour info, KissMetrics (un outil qui
vous track sur de nombreux sites) et Hulu (une sorte de Netflix aux
USA) ont utilisé ce procédé.
3. La méthode du Canvas Fingerprinting : un dessin malicieux
Cette dernière méthode est utilisée par
les grands sites dont je vous parlais au début de l’article. Elle
consiste à faire dessiner par votre navigateur une image (invisible) et à
la numériser, c’est à dire la transformer en une série de chiffres qui
vous identifie, comme un code-barre en quelques sortes.
Cette image sera dessinée en prenant en
compte les propriétés de votre matériel : votre carte graphique, votre
navigateur, votre système d’exploitation. Cela étant dit, une empreinte générée par cette méthode n’est pas forcément unique d’un
internaute à l’autre. Il existe une marge d’erreur qu’il est facile de
faire disparaître en combinant ce tracking avec les autres méthodes
détaillées précédemment.
C’est justement à cause de son manque d’entropie, c’est à dire le manque de certitude avec laquelle on peut identifier de manière unique un internaute, que cette méthode du canvas ne semble pas utilisée à grande échelle.
Pour connaître votre “empreinte canvas”, vous pouvez cliquer ici et chercher la ligne “Your browser fingerprint”. Votre identifiant (presque) unique se trouve juste en dessous.
Conclusion et méthodes de protection
Ces 3 méthodes sont les prémisses du nouveau web, un web où les
cookies disparaîtront petit à petit au profit d’autres technologies
beaucoup plus intrusives.
Voici des pistes pour vous protéger des 3 techniques ci-dessus et pour vous protéger des méthodes à l’ancienne :
Pour vous protéger de la technique 1 : il me paraît sain de ne pas utiliser Google Chrome et/ou pourquoi pas d’utiliser une extension de navigateur type Random Agent Spoofer ou
équivalent. Cette extension change régulièrement votre user-agent
pour éviter d’être clairement identifiable. Changer son adresse IP (avec
un proxy ou un VPN) me semble aussi une bonne idée.
Pour vous protéger de la technique 2 : c’est assez
difficile. Soit vous désactivez le cache de votre navigateur, mais vous
perdez vraiment en performance, soit vous videz le cache régulièrement
(à la fermeture par exemple, Firefox le permet nativement). Dernière
idée : utiliser le plugin “Secret Agent” pour Firefox et dérivés, qui s’amuse avec les ETAGS pour vous éviter d’être pisté. Je n’ai pas testé cette solution.
Pour vous protéger de la technique 3 : il n’existe
pas de solutions miracles, si ce n’est utiliser un bloqueur de pub type
Adblock ou Ghostery. Ces bloqueurs vont bloquer les scripts type AddThis
qui, eux-mêmes, utilisent le canvas fingerprinting.
Pour vous protéger en général, je vous recommande
d’utiliser un bloqueur de pubs/scripts type Adblocks/Ghostery. Bien que
les techniques de tracking évoluent, ils sont toujours bien utiles.
Après une réinstallation de Windows 8.1, il est possible que le téléchargement des mises à jour de Windows se bloquent. En clair Windows Update mouline dans le vide et impossible de télécharger et installer de nouvelles mises à jour sur Windows 8.1
Voici comment opérer pour débloquer Windows Update.
Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.
Tentez les opérations suivantes.
Dans un premier temps, désactivez le téléchargement automatique des mises à jour de Windows Update. Pour cela, ouvrez le Panneau de configuration de Windows puis Windows Update.
A gauche, cliquez sur modifier les paramètres.
Positionnez les mises à jour sur « Ne jamais rechercher des mises à jour de Windows« . Décochez toutes les options. Cliquez sur OK.
Mettez à jour le client Windows Update, en installant les mises à jour suivantes manuellement selon l’architecture de Windows :
Comencez par le KB3138615
puis :
Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.
Une fois tous ces mises à jour installées. Activez les mises à jour automatiques sur Windows et tentez une recherche. Windows Update ne devrait plus se bloquer.
WSUS Offline Update
Si
vraiment rien ne fonctionne, vous pouvez utiliser WSUS Offline Update.
Ce programme peut permettre de télécharger les mises à jour depuis un
autre ordinateur et de les jouer sur Windows Vista. Lancez le programme WSUS Offline Update puis télécharger toutes les mises à jour pour Windows Vista. Copier le dossier client de WSUS Offline Update sur une clé USB et jouer les mises à jour.
WSUS Offline Update n’arrive peut-être pas au bout mais peut permettre
d’installer un maximum de mise à jour et débloquer au bout du compte
Windows Update.
=> Plus d’informations : Tutoriel WSUS Offline Update
La mise à jour de Windows 10 Fall Creators Update (version 1709) est mise à jour importante de Windows 10 prévu le 17 Octobre. Comme toutes ces mises à jour, un lot de nouveautés est proposé, vous pouvez obtenir une liste sur la page suivante : Windows 10 Fall Creators Update : les nouveautés
Cet article vous explique comment installer la mise à jour Windows 10 Fall Creators Update (version 1709) avec différentes méthodes.
Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.
Télécharger et installer Windows 10 Fall Creators Update (version 1709)
La mise à jour de Windows 10 vers la version Fall Creators Update sera disponible à partir du 17 octobre. Vous ne pourrez donc suivre les instructions de mise à jour qu’à partir de cette date.
Comme la version Creator Update (1703) et version anniversaire de Windows 10 (1604), celle-ci sera délivré par Windows Update au compte goûte. Vous pouvez, toutefois, forcer l’installation, par une mise à jour manuelle vers Fall Creators Update. Pour se faire, voici deux méthodes pour effectuer la mise à jour Fall Creators Update.
Pour
ce qui est des conseils avant l’installation de la Fall Creators
Update, vous pouvez lire la page suivante, vous y trouverez aussi
l’historique des versions de Windows 10 : Windows 10 : les conseils de mise à jour et mise à niveau. Il est fortement conseillé de créer une image système ou du moins une clé USB d’installation de Windows pour pouvoir revenir en arrière en cas de problème depuis les options de récupération système.
Deux
utilitaires permettent de mettre à jour Windows 10, soit l’assistant de
mise à jour de Windows 10, soit Media Creation Tool. Ces deux utilitaires peuvent être téléchargés depuis le lien suivant : https://www.microsoft.com/fr-fr/software-download/windows10
Par Media Creation Tool
Media Creation Tool
est un utilitaire qui permet à la fois de créer un support
d’installation de Windows mais aussi de mettre à jour votre installation
de Windows. Téléchargez et lancez l’utilitaire Media Creation Tool,
laissez-vous ensuite guider afin de procéder à la mise à jour de
Windows 10.
La mise à jour Fall Creators Update n’est pas très difficile à installer, il faut se laisser guider en choisissant « Mettre à niveau ce PC maintenant »
Le téléchargement de Windows 10 peut prendre du temps selon la vitesse de votre connexion internet.
Adblock - Publicité bloquée
Vous pénalisez le site WEB. Svp débloquez la publicité pour malekal.com
Lire A propros de pour plus d'informations.
Une fois la mise à jour Fall Creators Update prête, vous obtenez le message ci-desous
L’installation se lance alors avec plusieurs phases avec des redémarrages de l’ordinateur. Laissez l’opération s’effectuer.
Par l’Assistant de mise à jour de Windows
Un utilitaire de mise à jour de Windows 10 est aussi disponible : l’Assistant de mise à jour de Windows. Cet assistant télécharge la mise à jour Fall Creators Update en fond, vous pouvez alors continuer à utiliser l’ordinateur. Une fois que la mise à jour est prête, ce dernier vous prévient et vous pouvez lancer l’installation.
Rétrograder Windows 10 Fall Creators Update
Cette opération permet de revenir à la version précédente de Windows 10 notamment la version 1607. Se reporter à la page : Comment rétrograder Windows 10 Fall Creators Update Vous y trouverez toutes les explications, méthodes et démarches.
Ici, nous n'avons dans aucun ordre particulier les meilleures
applications Android pour le piratage en utilisant un smartphone
Android. Avertissement: Ces applications doivent être utilisées uniquement à des fins de recherche 1.
SpoofApp: - SpoofApp est une application mobile d'usurpation d'identité
d'appelant, de changement de voix et d'enregistrement d'appel pour
votre iPhone, votre téléphone BlackBerry et votre téléphone Android. C'est une application mobile décente pour aider à protéger votre vie privée sur le téléphone. Cependant, il a été banni du Play Store pour être prétendument en conflit avec The Truth in Caller ID Act de 2009. 2. Andosid: - L'outil DOS pour les téléphones Android permet aux
professionnels de la sécurité de simuler une attaque DOS (une attaque
http post inondation pour être exact) et bien sûr un dDOS sur un serveur
web, à partir de téléphones mobiles. 3.Faceniff: - Vous permet de renifler et d'intercepter les profils de session Web sur le WiFi auquel votre mobile est connecté. Il est possible de détourner des sessions uniquement lorsque le WiFi
n'utilise pas EAP, mais il devrait fonctionner sur tous les réseaux
privés. 4.Nmapper:
- (Network Mapper) est un scanner de sécurité écrit à l'origine par
Gordon Lyon pour découvrir les hôtes et les services sur un réseau
informatique, créant ainsi une «carte» du réseau. Pour atteindre son objectif, Nmapper envoie des paquets spécialement conçus à l'hôte cible, puis analyse les réponses. 5.
Boîte à outils réseau anti-Android: - zANTI est une boîte à outils
complète de diagnostic réseau qui permet des vérifications complexes et
des tests de pénétration à la simple pression d'un bouton. Il fournit des rapports basés sur le cloud qui vous guide à travers des directives simples pour assurer la sécurité du réseau. 6. SSHDroid: - SSHDroid est une implémentation de serveur SSH pour Android. Cette application vous permet de vous connecter à votre appareil
depuis un PC et d'exécuter des commandes (comme "terminal" et "shell
adb") ou d'éditer des fichiers (via SFTP, WinSCP, Cyberduck, etc.). 7. WiFi Analyzer: - Transforme votre téléphone Android en un analyseur Wi-Fi. Montre les canaux Wi-Fi autour de vous. Vous aide à trouver une chaîne moins encombrée pour votre routeur sans fil. 8. Découverte du réseau: - Découvrez les hôtes et scannez leurs ports dans votre réseau Wifi. Un excellent outil pour tester la sécurité de votre réseau. 9. ConnectBot: - ConnectBot est un puissant client SSH (Secure Shell) open-source. Il peut gérer des sessions SSH simultanées, créer des tunnels sécurisés et copier / coller entre d'autres applications. Ce client vous permet de vous connecter à des serveurs Secure Shell qui s'exécutent généralement sur des serveurs UNIX. 10. dSploit: - Suite d'analyse et de pénétration réseau Android
offrant la boîte à outils professionnelle la plus complète et la plus
avancée pour effectuer des évaluations de sécurité réseau sur un
appareil mobile. 11. Hackode: - La boîte à outils du hacker est une application pour
testeur de pénétration, hackers Ethical, administrateur informatique et
professionnel de la cybersécurité pour effectuer différentes tâches
telles que la reconnaissance, l'analyse des exploits, etc. 12.Androrat: - Outil d'administration à distance pour Android. Androrat est une application client / serveur développée en Java Android pour le client et en Java / Swing pour le serveur. 13.APKInspector: - APKinspector est un outil graphique puissant pour les analystes d'analyser les applications Android. Le but de ce projet est d'aider les analystes et les ingénieurs
inverses à visualiser les paquets Android compilés et leur code DEX
correspondant. 14.DroidBox: - DroidBox est développé pour offrir une analyse dynamique des applications Android. 15.Burp Suite: - Burp Suite est une plate-forme intégrée pour effectuer des tests de sécurité des applications Web. Ses différents outils fonctionnent parfaitement ensemble pour prendre
en charge l'intégralité du processus de test, depuis la cartographie
initiale et l'analyse de la surface d'attaque d'une application jusqu'à
la détection et l'exploitation des vulnérabilités de sécurité. 16.
Droid Sheep: - DroidSheep peut être facilement utilisé par toute
personne disposant d'un appareil Android et seul le fournisseur du
service Web peut protéger les utilisateurs. Donc, tout le monde peut tester la sécurité de son compte par lui-même et peut décider de continuer à utiliser le service Web. 17.
AppUse: - Plate-forme Android Pentest Unified Standalone Environment: -
AppSec Labs a récemment développé la machine virtuelle AppUse. Ce système est une plate-forme unique et gratuite pour les tests de
sécurité des applications mobiles dans l'environnement android. Il
comprend des outils personnalisés uniques créés par AppSec Labs. 18. Shark for Root: - Renifleur de trafic, fonctionne sur 3G et WiFi (fonctionne aussi sur le mode connecté FroYo). Pour
ouvrir le vidage, utilisez WireShark ou un logiciel similaire, pour un
vidage d'aperçu sur le téléphone, utilisez Shark Reader. Basé sur tcpdump. 19. Fing: - Découvrez quels appareils sont connectés à votre réseau Wi-Fi, en quelques secondes.Fast et précis, Fing est une application professionnelle pour l'analyse de réseau. Une interface simple et intuitive vous aide à évaluer les niveaux de
sécurité, à détecter les intrus et à résoudre les problèmes de réseau. 20.Drozer:
- drozer vous permet de rechercher des vulnérabilités de sécurité dans
les applications et les périphériques en assumant le rôle d'une
application et en interagissant avec la machine virtuelle Dalvik, les
points d'extrémité IPC des autres applications et le système
d'exploitation sous-jacent. drozer fournit des outils pour vous aider à utiliser et à partager les exploits Android officiels. Il vous aide à déployer un agent de drozer en utilisant belette - l'exploitation avancée de MWR charge utile.
21. WifiKill:
- Deuxième application, développée également par B.Ponury est une
application qui peut tuer les connexions et donner un coup de fouet aux
sites du site. Cette application définitivement kick puis utilisateur net du site afin qu'il ne peut plus l'utiliser. L'application offre également la liste des sites consultés par le hogger.
22. DroidSniff:
- Similaire à DroidSheep, mais avec une interface plus récente et plus
agréable est DroidSniff - renifler l'application non seulement pour
Facebook. Cette
application vous montre ce que cherche le hogger et vous pouvez
"prendre" son contrôle, voler les cookies et le rock'n'roll. Fonctionne parfaitement.
23. Network
Spoofer: - La dernière application, appelée NetWork Spoofer, est très
similaire à dSploit, mais elle est plus facile à utiliser. Seul l'attelage est que vous devez avoir au moins 500 Mo de données gratuites. Il
vous offre de nombreuses fonctionnalités troll - modifier les
recherches Google, retourner des images, rediriger des sites Web,
échanger des vidéos YouTube et autres.
24. Droid SQLI: - vous permet de tester votre application web basée sur MySQL contre les attaques par injection SQL. DroidSQLi
prend en charge les techniques d'injection suivantes: injection basée
sur le temps, injection aveugle, injection basée sur l'erreur, injection
normale.
25. sqlmapchik: - est une interface graphique sqlmap multi-plateforme pour l'outil sqlmap extrêmement populaire
26. WhatsApp Viewer: - est un outil médico-légal simple. Il
donne l'accès au chat WhatsApp directement à partir de bases de données
sqlite, même à partir de bases de données cryptées.
27. WhatsAPI: - Est une plate-forme qui vous permet d'envoyer des messages en masse via PHP. Le script lui-même est simple.
Vous voulez trouver le propriétaire d’un site web pour mille et une raisons différentes :
L’auteur d’un site vous insulte, vous provoque ou diffame ;
Pour savoir qui se cache derrière un site de e-commerce qui vous semble louche ;
Par pure curiosité ;
Si c’est un concurrent commercial, il peut être utile de savoir à qui vous avez affaire ;
Pour remonter à l’auteur d’une vidéo ou d’un contenu quelconque ;
Pour enquêter et vous amuser
Il n’existe pas d’outils magiques pour
trouver le propriétaire d’un site web, seulement quelques trucs plus ou
moins connus qui permettent d’arriver à vos fins. Voyons les plus
efficaces !
1. L’outil magique pour débroussailler : SpyOnWeb
Avant de détailler des techniques de recherche manuelles, je voulais vous parler de SpyOnWeb.com
qui permet, la plupart du temps, d’obtenir énormément d’informations et
de trouver le propriétaire d’un site web. SpyOnWeb est un petit
algorithme qui demande des info sur un site web et qui recrache, à sa
sortie, plein de données qu’il a pu extraire tout seul. Le plus puissant est, à mon sens, son analyse de l’identifiant analytique.
Lorsqu’un webmaster veut connaître le comportement des visiteurs sur
son site, le nombre de visites qu’il a chaque jour, etc… il va installer
un système de tracking sur son site. Les webmasters se tournent
généralement vers Google Analytics (un service gratuit de Google qui
fait très bien cela).
Pour installer ce système de tracking sur leurs sites, les webmasters
doivent insérer un petit bout de code dans leurs pages. Et dans ce
petit bout de code se trouve un identifiant unique qui les identifie. Si
un webmaster possède 3 sites, il pourra avoir le même identifiant
analytique sur ses 3 sites. Je dis “pourra” car ce n’est pas toujours le
cas malheureusement.
Pour trouver ce petit identifiant, rendez-vous sur le site à stalker, faites un clic doit n’importe où puis cliquez sur “voir la source de la page” (vous pouvez aussi passer par le menu “fichier => voir la source” s’il n’y a rien en faisant un clic droit).
S’ouvrira alors une page pleine de code HTML.
Faites une recherche (le raccourci clavier CTRL+F) sur le mot-clef : “UA-“. Si un code Google Analytics est présent sur le site web, le curseur se placera sur un truc du genre :
Dans mon exemple, l’identifiant à récupérer est UA-48884625-1. L’identifiant parent est UA-48884625,
le “-1” à la fin veut dire que ce site est le premier d’un groupe de
site. Sur un autre site du même webmaster, vous pourrez trouver “UA-48884625-2″ par exemple.
Donnez l’identifiant parent à SpyOnWeb.com et
celui-ci essaiera de trouver tous les autres sites qu’il connaît qui
utilisent le même identifiant analytique. Parfois il trouve, parfois
non. Ne lui confiez pas tous vos espoirs mais quand ça marche, c’est de
la bombe ! SpyOnWeb est un annuaire comme un autre : s’il n’a jamais référencé le site que vous cherchez à analyser, il ne vous donnera aucune information. Voila sa grande faiblesse.
Si vous pensez que deux sites appartiennent peut-être à la même personne, vous pouvez faire le travail de SpyOnWeb vous même : ouvrez le code source des deux sites et cherchez les codes UA-…… de chacun d’eux et comparez-les manuellement.
2. Le Reverse IP Lookup : obtenir les autres sites d’un webmaster
Le reverse IP est un outil incroyablement puissant,
mais il demande de comprendre les bases de l’hébergement de sites web.
Ne vous inquiétez pas, c’est assez simple. N’hésitez pas à poser vos
questions en commentaire si besoin.
Lorsque vous créez votre propre site
Internet, vous avez grosso modo 2 manières de le mettre en ligne pour
qu’il soit accessible sur toute la planète :
Soit vous utilisez un “hébergement mutualisé”.
C’est l’équivalent d’une collocation entre sites web : l’entreprise qui
va mettre votre site en ligne sur Internet mettra votre site en
“collocation” avec d’autres sites sur le même serveur web. C’est une
manière de faire qui ne coûte pas grand chose. Problème : si l’un de vos
colocataires fait des bêtises de son côté du serveur, votre site peut
être piraté ou très ralenti.
Soit vous utilisez un “hébergement dédié”. Cela
équivaut à avoir votre propre maison : votre site web est hébergé sur
un serveur qui vous appartient entièrement, sans devoir vous taper des
colocataires parfois pénibles. Cette solution est plus chère et plus
complexe pour le webmaster.
Quelque soit votre manière de faire,
votre site web sera toujours hébergé sur un serveur web, c’est comme ça
que ça marche. Comme je l’ai expliqué juste avant, ce serveur web
sera soit entièrement dédié à vos sites à vous, soit il sera partagé avec d’autres webmasters comme une colloc.
Un serveur web est un ordinateur comme un autre, il possède donc une adresse IP
qui l’identifie sur Internet. Grâce à cette adresse IP et au protocole
DNS (je ne rentre pas dans les détails, vous pouvez faire abstraction),
il est possible d’obtenir la liste de tous les sites qu’héberge un
serveur web donné.
Prenons un exemple concret.
Vous cherchez à espionner un site en particulier, pour trouver le
propriétaire d’un site web. Disons que ce site est hébergé sur un
serveur dédié, c’est à dire un serveur qui appartient entièrement au
propriétaire du site en question. Peut-être que ce webmaster possède d’autres sites que celui que vous cherchez à espionner,
et peut-être que ces autres sites sont installés sur le même serveur
web que votre site cible ! Sans utiliser un outil de reverse IP, vous
n’avez aucun moyen de savoir si d’autres sites partagent le serveur de
ce webmaster. Voyons comment cela fonctionne avec le serveur web de mon
éditeur.
L’outil a trouvé 3 autres sites hébergés sur le même serveur que jesaisquivousetes.com :
apprendre-a-manipuler.com, bonjourinternet.org et institut-pandore.com.
Cela donne énormément d’informations sur les activités qui entourent un
site web.
Ce service de domaintools.com demande
de payer pour obtenir la fin de la liste. La plupart des outils de
reverse IP demandent de payer pour obtenir une liste complète.
Toute à l’heure, je vous expliquais la différence entre un
hébergement dédié et un hébergement mutualisé : si votre site cible est
hébergé dans une énorme “collocation” de sites web, alors la liste du
reverse IP sera très longue et incohérente. Tous les sites
n’appartiendront pas à la même personne, puisqu’il s’agit d’une
collocation.
Au contraire, si le site web est hébergé sur un serveur dédié (c’est le cas pour jesaisquivousetes.com), tous les sites de la liste appartiennent à la même personne, de près ou de loin. A vous de faire le tri.
3. Le Tracking Link Creator : géolocaliser et pister le propriétaire
Toujours fidèle au poste, le TLC vous permettra de récupérer beaucoup d’informations sur le webmaster d’un site à condition de pouvoir lui envoyer votre lien piégé par e-mail.
Il est par exemple possible d’utiliser la fonction whois 1and1 pour
obtenir des informations sur le propriétaire d’un site web et d’un
domaine. L’ICANN, l’organisme qui chapeaute la gestion des noms de
domaine sur Internet, souhaite que les propriétaires de sites e-commerce
soient obligés d’indiquer leurs coordonnées lorsqu’ils enregistrent
leur nom de domaine. Pratique pour savoir à qui appartient tel ou tel
site, même si ça ne marche pas à tous les coups.
Découvrez les 3 autres méthodes pour trouver le propriétaire d’un site web
Le geek et les hackers sont à la mode depuis + de 5 ans, tellement à la mode qu’on trouve de plus en plus de séries TV consacrées aux geeks depuis quelques années.
Voici ma sélection de séries TV qui
parlent de trucs geeks et qu’il faut regarder… ou qu’il ne faut
absolument pas regarder. Par geek, j’entends INFORMATIQUE, rien d’autre. Les séries type “Doctor Who”, The Big Bang Theory, etc, ne passeront pas le filtre
Si vous en avez d’autres que j’ai raté, n’hésitez pas à les signaler en commentaire !
1. Silicon Valley
Tout se déroule à notre époque en 2015.
C’est l’histoire d’un geek très maladroit d’une vingtaine d’années qui
crée une startup totalement nulle de recommandation musicale. Malgré
lui, des investisseurs s’intéressent à sa boite pour une raison à laquelle il n’avait pas du tout pensé. C’est à ce moment que tout s’accélère !
Mon avis
Cette série est sûrement ma préférée, toutes séries confondues (après Malcolm quand même ;)). C’est une série drôle à mourir !
D’un point de vue informatique, je suis
assez mitigé. La série commençait mal, avec des dialogues geeks
incohérents ou juste avec des mots compliqués “pour faire geek”. A
partir de l’épisode 3, le niveau est vraiment remonté avec des
références geeks beaucoup plus pertinentes ! Je pense qu’un
informaticien a été engagé pour rectifier le tir
Note : 5/5. Je recommande à fond.
2. Halt and Catch Fire
La série se déroule en 1983, à une
époque où l’informatique domestique n’existait pas encore. On suit
l’histoire d’une petite entreprise américaine qui construit un
compatible-PC dédié aux professionnels. Rien de très excitant. Un jour,
le boss engage un ancien d’IBM, un certain Joe MacMillan. Ce gars est un grand commercial et un grand leader... une sorte de Steve Jobs à n’en pas douter.
MacMillan, en grand visionnaire, fait
basculer toute l’entreprise dans le marché du domestique. Il est
convaincu que tout le monde devrait avoir un ordi chez soi, pas
seulement les pro. Tout cela va causer bien des problèmes à cette PME et
ses employés !
Mon avis
Cette série est très esthétique, prenante, belle et
intéressante. Parfois comique, mais ce n’est pas son but principal. Il y
a un côté historique sympa puisque les personnages sont confrontés à la
naissance d’Apple, à la dominance de Microsoft et d’IBM, etc…
D’un point de vue informatique, c’est bluffant. La
série est très corsée, très technique, très pertinente. Même un gros
geek y apprendra beaucoup de choses… à tel point que les non-geeks vont
sûrement se désintéresser de la série tellement l’aspect technique prend
parfois le dessus sur le scénario.
Note : 5/5. Si vous avez envie d’apprendre des choses et de (re)vivre la naissance de l’informatique domestique, foncez !
3.
https://www.youtube.com/watch?v=j9-6DRiLsYE
C’est l’histoire d’une bande de surdoués qui vivent dans un garage et qui ont beaucoup de mal à s’intégrer à la vie en société. L’un est mentaliste, l’autre est un hacker, l’autre un dieu des maths… bref, chacun son petit “pouvoir” intellectuel.
Dans le premier épisode, un agent du
FBI vient frapper à la porte de ce hangar insalubre parce qu’il a besoin
de l’aide du hacker surdoué : la tour de contrôle de l’aéroport de la ville n’a plus de contact avec une cinquantaine d’avions qui volent dans le ciel et qui vont s’écraser dans 40 minutes si rien ne s’arrange.
Purée… je n’ai jamais rien vu d’aussi
nul de ma vie. Je pourrais critiquer chaque minute de ce premier épisode
tellement tout est ignoble.
Des personnages clichés et insupportables ;
Techniquement c’est nul, nul, nul…. il n’y à qu’à
voir le titre de la série : pourquoi une balise HTML ?! Parce que ça
fait “geek”, ça représente bien la série. Des terminaux bash qui
affichent plein de trucs compliqués, des dialogues à chier. On se croirait dans Plus Belle La Vie.
Le scénario (attention spoiler du premier épisode) :
pour récupérer le logiciel corrompu et le filer à un mec dans la tour
de contrôle, le héros va devoir le downloader depuis un avion qui est
dans le ciel. Pour cela, il demande à un pilote d’avion de frôler le sol
et de faire sortir un câble Ethernet par la soute. Lui il est sous
l’avion avec une voiture à 300km/h et branche le câble à son PC pour
récupérer le logiciel. Voila le genre du scénario.
Ma note : 0/5. Ne perdez pas votre temps, sauf si vous avez envie de regarder au second degré.
4. Video Game High School (VGHS)
Dans un monde où les jeux-vidéos et les gamers sont de véritables rockstars qui font craquer les filles
et que tout le monde idolâtre, un jeune gamer anonyme qui joue avec ses
potes à des FPS devient malgré lui une star mondiale parce qu’il
frag le joueur le plus célèbre de la planète.
Il est alors admis dans la célèbre VGHS
(video game high school), qui entraîne et les forme les plus grands
joueurs de la planète.
Mon avis
L’idée est énorme, mais la réalisation est un peu cheap. Je n’ai pas creusé le truc, mais je pense que c’est un petit studio qui est derrière cette série.
D’un point de vue technique c’est orienté autour du gaming, rien à dire là dessus…… si vous aimez les FPS et les jeux en général, vous allez adorer l’univers !
Note : 3/5. La série est un peu cheap, mais l’univers est sympa.
Par contre, je pense que le scénario va être rapidement lacunaire si
les réalisateurs ne se reposent que sur le concept. Malgré ça, il y a de
bonnes blagues !
5. The I.T. Crowd
De gros nerds travaillent dans le
service informatique d’une grande entreprise londonienne. Cette
entreprise est très luxueuse (building de fou, personnel bien fringué,
etc…) mais le service informatique est une cave pourrie pratiquement insalubre.
Une jeune femme d’une 30aine d’années, qui n’a jamais touché à un ordinateur de sa vie,
est engagée malgré elle à la tête de ce “service informatique” composé
de 2 nerds caractériels. S’en suivent des gags complètement dingues.
C’est une série anglaise. Je pense que ça suffit à
vous faire comprendre le genre d’humour… soit on aime, soit on déteste !
Si on aime ce genre d’humour, c’est un vrai bijoux.
D’un point de vue informatique, la série tient la route
! Les personnages font vraiment bien geeks, et pas “geeks
surjoués”. Les références sont assez fines, mais le niveau technique ne
vole pas haut.
Note : 4/5. L’humour est parfois un peu lourd, mais c’est ce qui fait le charme de la série !
6. Mr Robot
C’est l’histoire de mecs qui veulent détruire le monde en piratant
une grande entreprise. Franchement, le synopsis ne m’a pas fait rêver.
Je m’attendais à une n-ième série avec plein de faux écrans à la matrix et des gars qui font exploser des camions citernes depuis leur ordi de hackers à MacDo, en mode </Scorpion> quoi.
En fait, je me suis trompé. Mr Robot est une perle. L’intrigue est un
peu cliché (détruire la méchante grosse entreprise qui domine le monde
en mode evil-Google), mais les personnages, l’ambiance et surtout la qualité informatique de la série sont vraiment génialissimes.
Une ambiance très noire, tout au long des épisodes. Il y a un petit côté Matrix dans l’esthétique.
D’un point de vue informatique, c’est vraiment extra. De bons ingénieurs ont donné leurs avis sur chaque détail technique, c’est clair et net.
Note : 4/5. Le côté “fuck society”/altermondialiste de la série est un peu lourdingue par moment.
Virus, malware, trojan, ver… plein de noms pour plein de saloperies différentes.
Les différences entre tous ces trucs peuvent paraître un peu subtiles, mais si vous vous intéressez au hacking, vous devez les connaître. Pour faire simple :
Un virus vient généralement se greffer à un logiciel ou un fichier qui semble légitime
(du genre la suite Office que vous venez de pirater en torrent parce
que vous n’avez pas envie de la payer). Dans une bonne majorité de cas,
le virus va détruire ou ralentir votre système. Pour l’anecdote, les virus type “ransomwares” ont la cote
depuis quelques années. Ce sont des saloperies qui vous obligent
à payer une belle somme pour récupérer l’accès à toutes vos données !
Un ver, lui, n’infecte pas votre ordinateur
en utilisant un fichier, comme le virus. Il squatte votre ordinateur en
toute furtivité après avoir trouvé une faille pour s’infiltrer, et cherche à se diffuser à tous vos contacts (en envoyant des e-mails, des messages Skype ou des messages Facebook frauduleux à votre place par exemple).
Et le cheval de Troie, qu’on appelle trojan
en anglais. En soi, un trojan ne fait rien de mal. C’est un logiciel
qui ne sert qu’à faire rentrer le vrai danger sur votre ordi. Vous
ouvrez souvent la porte à des trojans quand vous piratez des logiciels
(par exemple Photoshop, Office, …). Une fois le trojan bien au chaud sur
votre ordi, il va pouvoir télécharger ce qu’on appelle “la charge utile”. C’est la partie du malware qui va réellement espionner et pourrir votre machine.
Dans cet article, nous allons analyser le plus célèbre des trojans de ces dernières années : Zeus. Ses maîtres ont infecté plus de 3 millions d’ordinateurs entre 2011 et 2014. Soit environ 3000 nouveaux ordinateurs par jour, chaque jour, pendant 3 ans. C’est juste monstrueux.
Nous allons découvrir ensemble :
À quoi sert Zeus, et comment il a pu rapporter plus de 100 millions de dollars à sa mafia ?
Comment Zeus se propageait d’un ordi à l’autre, en utilisant des méthodes révolutionnaires ?
Comment la mafia derrière Zeus blanchissait l’argent volé par le malware en Russie ?
Comment le FBI a fait tomber cet immense réseau, et quelques potins suite à toute cette affaire ?
Let’s go.
À quoi sert Zeus en pratique ?
Il ne sert en théorie qu’à une seule chose : piquer vos numéros de cartes bancaires ou retirer directement de l’argent depuis votre compte.
Mais en pratique, il était truffé de fonctionnalités additionnelles assez cool pour les pirates. Une fois infecté, votre ordinateur faisait partie ce qu’on appelle un botnet, c’est-à-dire une flotte d’ordinateurs infectés et complètement sous l’emprise d’un pirate.
Un pirate pouvait donc :
Recevoir tout ce qui était tapé au clavier de l’ordinateur de la victime ;
Prendre des captures d’écran à intervalle de temps régulier ;
Récupérer toutes les données présentes sur l’ordinateur ;
Utiliser l’ordinateur vérolé pour lancer des attaques ou envoyer du spam (on y reviendra), et propager un peu plus le virus.
Tout ça a été découvert après coup, mais ce sont surtout les numéros de cartes bancaires qui intéressaient les maîtres de Zeus. Le reste, c’est soit du gadget, soit un moyen détourné pour obtenir plus de cash.
Qui est derrière Zeus ?
On a le nom du gars : Evgueni Bogatchev. Et même des photos, diffusées par le FBI :
Evgueni est Russe. Il a aujourd’hui 34
ans, et il a commencé à développer Zeus alors qu’il avait 25 ans. Les
chercheurs en sécurité sont d’accord sur un point : ce type était très en avance sur les principaux antivirus. C’est ce qui a rendu Zeus si fou. Grâce à Zeus, Evgueni a généré 100 millions de fraude en 3 ans.
Le FBI a fait tomber tout le réseau mafieux qui opérait derrière Zeus en 2014.
C’est ce qui nous permet, aujourd’hui, d’avoir beaucoup d’infos sur
l’envers du décor ! Malheureusement, Evgueni lui, est toujours en
cavale. Si vous avez des infos, le FBI peut vous offrir 3 millions de
dollars… on ne sait jamais.
On part de zéro : comment se fabrique un virus comme Zeus ?
Juste avec 2 choses simples : un
ordinateur et un gars malin. Le reste, c’est du développement. On
développe un virus comme on développe n’importe quel logiciel honnête : il faut écrire du code informatique.
Si ça vous intéresse, le code de Zeus a fuité et il est disponible intégralement ici. Ça a permis aux chercheurs de mieux comprendre son fonctionnement. Et ça a aussi permis à d’autres pirates de prendre la relève malheureusement.
Le truc, c’est que les développeurs,
c’est comme les chasseurs : il y a le bon codeur, et le mauvais codeur.
Et le créateur de Zeus, bah c’était un très bon codeur. Il a su développer des ruses suffisamment révolutionnaires pour permettre à son virus de passer incognito devant tous les antivirus du marché.
Une fois que le virus est créé, comment il est diffusé ?
Là, ça devient marrant ! Les développeurs d’un malware comme Zeus vont le commercialiser et le vendre à d’autres criminels. Zeus coûtait entre 3000$ et 4000$ à l’achat sur le marché noir.
Pour acheter un malware au black, il n’est pas nécessaire d’aller dans un coin glauque de votre ville, et d’attendre qu’un gars vous vende un CD… tout se passe sur Internet, plus précisément sur un darknet (nous y reviendrons dans un autre article).
Une fois qu’un criminel ou qu’un groupe de criminel a acheté le code du malware et tout le bazar qui va avec, ils ont besoin d’installer un serveur de commande. C’est à dire un serveur qui permettra de contrôler leur futur flotte d’ordinateurs infectés.
Comment on fait pour louer un serveur ?!
Aujourd’hui, tout le monde peut louer un petit serveur pour à peine 3$ par mois. D’ailleurs, la page que vous lisez est hébergée sur un serveur que l’on paie et qui est situé au Pays-Bas. Nous payons chaque mois l’entreprise “Digital Ocean” pour prendre soin de notre serveur et nous permettre d’y héberger notre site.
Mais si je commence à utiliser mon serveur pour des activités criminelles, Digital Ocean va vite s’en rendre compte
et va au mieux me dégager, au pire me dénoncer à la police. Du
coup, comment trouver un serveur bien caché pour commettre un crime ?!
Toujours pareil : on va trouver ça sur le marché noir. Des mecs proposent de vous louer un serveur loin de toute juridiction, très souvent en Russie ou en Chine. Ces serveurs s’appellent des “bulletproof”
(“à l’épreuve des balles”).
Une fois que vous avez loué votre serveur bulletproof, vous y installez le centre de commande. Voilà à quoi ressemble l’interface de commande de Citadel, un célèbre spyware (logiciel espion) :
Rien de dingue, c’est une interface comme une autre. On peut y lister tous les ordinateurs que l’on a infectés, faire de la fouille de données, et lancer des opérations pour ceci ou cela.
Une fois le centre de commande installé, il ne reste plus qu’à infecter un max de victimes.
Next ! Comment infecter les millions de victimes ?
Un peu comme d’habitude : soit vous
faites le sale travail vous même, soit vous le confiez à d’autres.
Beaucoup de cyber-mafias mettent au point des systèmes d’affiliation
pour diffuser leurs saloperies. En gros : vous piratez des gens pour eux, et ils vous paient en retour.
Je n’ai pas réussi à savoir si les groupes criminels qui utilisaient Zeus fonctionnaient de cette manière. Mais peu importe ! Ils utilisaient le même vecteur de propagation : l’e-mail.
Dans l’immense majorité des cas, les victimes recevaient un e-mail frauduleux de leur banque,
de leur opérateur téléphonique ou d’un réseau social qui leur signalait
un avis de paiement, une facture impayée ou un problème quelconque.
Chacun de ces emails était orné d’une pièce jointe intitulée par exemple : “Avis_de_paiement.zip”.
Une fois le fichier téléchargé et exécuté, le trojan s’installait en
douce sans éveiller les soupçons des antivirus, et téléchargeait la
charge utile.
Mais comment envoyer des millions d’e-mail frauduleux sans être inquiété par la police ?!
Bonne question, Watson. Là encore, les pirates sont malins. Un groupe de hackers russes a créé en 2007 un botnet appelé “Cutwail”. Vous pouvez louer ce botnet par exemple pendant une journée, et vous en servir pour envoyer des spams.
Autrement dit : ces gars ont piraté environ 2 millions d’ordinateurs dans le monde, et ils vous proposent d’utiliser ces 2 millions d’ordinateurs pour expédier jusqu’à 70 milliards d’e-mails par jour. 70. Milliards.
Autant vous dire que si vous comptiez utiliser votre adresse gmail “ptitpoussin69@gmail.com” pour organiser le crime du siècle, c’est raté. Gmail limite d’ailleurs à 2000 le nombre d’envois quotidiens, et vous vire rapidos s’il détecte que vous envoyez des trucs illégaux.
Bref, les victimes recevaient un email, l’ouvraient, téléchargeaient la pièce-jointe et boum, hacked.
Mais pourquoi les antivirus ne détectaient pas Zeus ?!
Pour plusieurs raisons. D’abord, Zeus exploitait des failles de Windows pour s’installer en silence.
En développant Windows, les ingénieurs de Microsoft ont fait des
erreurs que les criminels exploitent. Microsoft a beau sortir des
correctifs presque chaque jour, et les éditeurs de logiciels ont beau
travailler dur, il y a toujours des trous dans leurs défenses.
Ensuite, la pièce jointe contenue dans l’email frauduleux n’était pas la charge active elle-même. Comme je le disais au début, un trojan fonctionne en deux temps :
Vous téléchargez le trojan, le cheval de Troie, qui se fait passer pour un fichier ou un logiciel sympa (ici un fichier “avis_de_paiement.zip” par exemple).
Une fois bien au chaud, le trojan va se connecter au serveur de contrôle des criminels et télécharger la charge active, c’est à dire le cœur du malware, celui qui fait les bêtises.
Pourquoi fonctionner comme ça, alors que le plus simple serait d’installer directement la charge active ?
Première raison : en téléchargeant Zeus de cette manière, les victimes étaient toujours infectées avec la dernière version du virus. Son créateur l’améliorait presque chaque jour pour le rendre plus efficace, alors c’était important.
La deuxième raison, c’est pour que chaque victime reçoive une version différente du malware. Tous
les fichiers présents sur votre ordinateur ont leur
propre signature. Une signature de fichier, c’est un peu l’empreinte
digitale d’un fichier. Les logiciels malveillants sont des fichiers
comme les autres, ils ont aussi une signature ! Le job des antivirus, c’est de connaître un maximum “d’empreintes digitales”de malwares pour mieux les détecter sur votre ordinateur.
En se téléchargeant comme le faisait Zeus, sa signature pouvait être différente à chaque fois. Résultat : les antivirus avaient beaucoup de mal à l’identifier sur l’ordinateur des victimes.
Une fois que la charge active est installée sur votre ordinateur, vous êtes un peu cuit-e.
Que se passe-t-il dans l’ordinateur des victimes ?
Une fois installé sur
un ordinateur, Zeus scanne le disque dur à la recherche d’infos
bancaires stockées quelque part. S’il ne trouve rien,
il attend patiemment que vous manipuliez des informations bancaires.
Paiement par carte, connexion à votre banque : il prend tout ce qu’il trouve.
Une fois les infos récupérées, Zeus se connecte à un serveur “maître” contrôlé par l’un des criminels du réseau, et lui transfère vos codes.
Parallèlement, Zeus va être capable
d’ouvrir une session bancaire depuis votre ordinateur sur le site de
votre banque – sans que vous ne vous en rendiez compte – et émettre des virements sur des comptes à l’étranger.
C’est à dire des comptes bancaires situés dans des pays comme
l’Ukraine, la Chine ou la Russie. L’argent pourra suivre différents
parcours, mais terminera toujours son voyage en Chine dans le cas précis
de Zeus.
Mais qui récupère l’argent volé ?!
Après son petit périple à travers différents comptes en banque pour brouiller les pistes, l’argent volé est récupéré par une mule bancaire. Les comptes bancaires étaient principalement situés en Chine, à la frontière Russe, dans la province de Heilongjiang.
Chaque groupe de criminels utilisant Zeus devait donc aussi mettre en place sa propre infrastructure de fraude. Pas une mince affaire.
Les mules allaient ensuite retirer l’argent en cash à la banque, puis retournaient en Russie
(souvent à Vladivostok) pour l’utiliser ou le blanchir dans l’économie
locale. Elles étaient souvent payées à la commission sur les sommes
qu’elles détournaient.
Mais si la police fait tomber le centre de commande, tout est réglé non ?
Théoriquement, oui. Si vous faites tomber le centre de commande des criminels, alors vous coupez la tête au monstre. Mais comme dans la légende de l’Hydre de Lerne, les meilleurs botnets ont des dizaines de centres de commande. Vous en détruisez un, les autres prennent le relais.
Et justement, c’est là que Zeus brillait. Sa structure réseau a révolutionné le genre.
Un malware lambda fonctionne comme sur l’image de gauche ci-dessous. Autrement dit, chaque ordinateur infecté est en relation avec un serveur de contrôle. Si
la police fait fermer ce serveur, beaucoup d’ordinateurs infectés sont
libérés instantanément. Bien sûr, ces serveurs de commande sont bien
cachés.
Zeus fonctionne différemment : chaque ordinateur infecté (donc le votre par exemple) devient un mini serveur de contrôle.
Ce n’est plus un serveur “maître” qui donne les ordres à chaque
victime, mais chaque victime qui distribue des ordres à d’autres
victimes.
Résultat : les ordres sont dispersés, il est plus difficile d’en connaître la provenance et de les freiner.
Comment l’histoire de Zeus s’est-elle terminée ?
En 2014, le FBI aidé exceptionnellement
par des policiers Russes (ainsi qu’une ribambelle d’autres pays et des
dizaines d’entreprises de sécurité informatique) a réussi à mettre la
main sur tout le réseau Zeus via l’opération Tovar.
Le botnet est aujourd’hui inactif,mais son créateur est toujours en cavale. Il est d’ailleurs considéré comme le hacker le plus recherché par les USA (la page Most Wanted du FBI est marrante).
Malheureusement, des versions modifiées
de Zeus sont toujours en circulation dans la nature. Autre souci : le
gouvernement russe refuse que d’autres états extradent des criminels russes aux USA. De là à imaginer un lien entre les cyber-criminels et le gouvernement… en tout cas pour le FBI, c’est évident.
Bref, l’opération Tovar était probablement un coup de pied nécessaire dans la fourmilière, mais ça ne suffira pas à rendre Internet tranquille bien longtemps. Voici quelques règles de bonne hygiène à suivre pour être tranquille :
Votre anti-virus doit toujours être à jour. Même si les logiciels malveillants passent parfois à travers, une bonne partie des menaces peuvent être évitées.
Ne téléchargez aucune pièce-jointe, surtout lorsque
vous n’attendiez pas expressément un e-mail du destinataire dont il est
question. Votre banque ne vous enverra jamais d’e-mails contenant des
pièces jointes.
Lorsque vous téléchargez un logiciel gratuit comme VLC par exemple,
faites l’effort de toujours chercher le site officiel du créateur.
Beaucoup de virus sont transmis via des faux sites de téléchargement.
Quant aux logiciels que vous piratez, ben c’est bien fait pour vous si
vous vous faites avoir
PS : j'ai écrit un livre sur l'art d'espionner et de pister les gens sur Internet. Il y a tout ce dont vous avez besoin dedans. Cliquez ici pour le voir et le télécharger.