Spécial sécurité / LulzSec : argument guère épais

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur les LulzSec, et décortiquent minutieusement les faits et gestes de le fameux groupe de hacktivists. Ils réfléchissent ensuite ouvertement sur les déviances sémantiques autour de la cyber-guerre, puis s’arrêtent sur le cas Pavel Vrublevsky. Un hacker mafieux russe récemment arrêté par la Police de son pays. Enfin, ils pointent du doigt un cheval de Troie dont la particularité est de faire réinstaller …Windows.

Sommaire
1 - LulzSec : argument guère épais
2 - STUXNET : Cyber-guerre épelée
3 - Troubles pour le roublard du rouble
4 - Le Troyen qui fait réinstaller Windows

1 - LulzSec : argument guère épais
LulzSec pille les fichiers de la police d’Arizona tandis que celle de Grande Bretagne procède à l’arrestation de l’un de ses membre présumés, LulzSec publie « pour le fun » 62 000, puis 750 000 identités numériques qui sont aussitôt exploitées par le ban et l’arrière ban des cyber-délinquants, LulzSec nie toute responsabilité à propos de ces exploitations (une vision très particulière de la causalité), LulzSec enterre la hache de guerre et s’occulte pour le siècle à venir un peu comme l’a fait le Collège de Pataphysique, LulzSec enfin lance un « engagez-vous, rengagez-vous dans la légion des Anonymes », après avoir fait clairement entendre que les nouvelles recrues devront attendre, le doigt sur la couture du pantalon, les ordres du Comité Directeur avant de hacker quoi que ce soit. Cette « paix des dupes », qui consiste à disparaître pour continuer un combat sous une autre identité diffuse, est-elle (comme le suggèrent quelques experts) la conséquence des menaces d’autres groupes de hack ou des forces de police ? Ou est-ce plus simplement une stratégie du mouvement destinée à réduire la surface de vulnérabilité du groupe ?

A cette question relativement secondaire s’ajoutent celles ayant trait à l’identité du groupe de pirates. Ce qui déconcerte le plus, c’est cette forme de retour au hack égotiste « pour la gloire et pour des prunes » comme semble le penser l’un des responsables de Mandiant, spécialiste forensique d’Outre Atlantique, dans les colonnes de Network World. Mais est-ce si simple ? L’association LulsSec/Anonymous n’est –elle qu’un mouvement d’individus indépendants visant une minute de gloire Warholienne ? Hors de question, bien entendu, de soupçonner des visées totalitaristes, une forme d’auto-justice expéditive ou un vecteur d’attaque à des fins plus ou moins louches : personne n’a envie de finir comme PBS. La liberté de parole chez LulzSec ou Anonymous ressemble beaucoup à ce que dénonce Hannah Arendt dans « Qu'est-ce que la liberté ? ». Tant sur le plan de la responsabilité dans la causalité des actes que dans cette forme d’intimidation auprès des médias qui n’approuvent pas les actions des crackers.

Pourtant, l’hypothèse du hack égotiste ne suffit pas à tout expliquer. Il y a, indiscutablement chez les Anonymous (un peu moins autour de LulzSec) une fascination admirative liée aux motifs parés d’intentions nobles : le combat pour la liberté d’expression de Wikileaks, la lutte contre les régimes répressifs d’Afrique du Nord ou Centrale, la protestation contre quelques lois liberticides… Une forme non pas de conscience, mais de bonne conscience politique qui consiste à lutter durant quelques heures contre le tyran d’une république bananière, puis un jour plus tard contre quelques Ministres ou partis politiques Espagnols en train de concocter une simili-Hadopi, puis peu de temps après contre une église intégriste Américaine, une entreprise commerciale Nippone taxée d’intolérance … LulzSec ou Anonymous, c’est le cyber-Che Guevara des temps modernes, une cristallisation de l’exaltation sans analyse. Car l’on ne fait aucune différence de traitement entre un état démocratique et une dictature, un organisme gouvernemental et une entreprise privée. C’est la loi du « tous pourris », une simplification populiste qui contient les gènes de ce qu’elle prétend combattre. Autrefois l’on chantait « And it's one, two, three, what are we fighting for », aujourd’hui, la guerre du Vietnam moderne arbore le logo Sony ou l’uniforme Tunisien, Woodstock se déroule sur les IRC et les protest song se téléchargent sous forme de fichiers Loic.zip. D’ailleurs, on ne dénonce pas la guerre, bien au contraire, on clame haut et fort que l’on veut y participer. Forcément, le nombre des protestataires inquiète. Mais plus que leur nombre ou la violence de leurs attaques, c’est l’absence apparente de ligne directrice qui panique le monde informatique connecté, les CSO de banquiers, les RSSI d’administrations. Il y a là une totale incompréhension entre deux mondes qui s’affrontent : l’un souhaitant absolument accoler à ces « sauvageons du net » un mobile répondant à des schémas connus pour pouvoir imaginer une parade, l’autre voyant le monde politico-affairiste comme le fruit d’une collusion mondiale, d’une vaste conspiration oligarchique néolibérale. Tentation manichéenne d’un côté et de l’autre.

Pour l’heure, la principale force des Anon ou du défunt Lulz, c’est l’absence de coordination de l’industrie, des administrations, des gouvernements, des Etats face à un plan d’attaque concerté. Des attaques qui ont fait comprendre à la profession que personne, plus personne n’était à l’abri. Ni la police, ni les prêcheurs intégristes, ni les multinationales : prenez garde, v’la la jeune garde, vous les bourgeois, les sabreurs, les curés. Or, lorsqu’une société ou un organisme est agressé, il sécrète très rapidement un anticorps lui permettant de se défendre. Le premier anticorps des Etats, c’est son arsenal législatif et la mise en œuvre de ripostes ponctuelles ne visant non pas la multitude, l’entité, mais des individus soupçonnés d’appartenir à cette multitude. Une forme de « bataille d’Alger » à la sauce cyber. Certes, comme le dit si bien Topiary de LulzSec, “ Worrying is for fools!”. Lui-même ne risque rien, ou presque, caché dans et par la multitude. Mais petit à petit l’alibi de la lutte contre les Lulz et les Anon fait se multiplier les textes de loi qui tentent de régenter le cyberespace, avec pour première victime non pas les Anon eux-mêmes, mais chaque usager d’Internet. Les anticorps politiques s’avèrent de plus en plus toxiques pour le tissus humain qui n’appartient ni aux rouages des Etats, ni à ceux des logiques commerciales. Et çà, les Anon ne peuvent l’avoir remarqué. Peuvent-ils reconnaître la causalité de leurs actes et modifier leurs actions en conséquence ? Ou persisteront-ils dans leur voie du hack, ce qui ferait d’eux les acteurs objectifs de cette aliénation du Web ?

2 - STUXNET : Cyber-guerre épelée *
Richard Bejtlich signale un article de Rick Aldrich publié dans la Newsletter for Information Assurance Technology Professionals et intitulé « Stuxnet Poses Interesting International Cyber Law Issues ». L’article décortique les conséquences juridiques de Stuxnet et constate une évolution sémantique importante des termes « guerre », « agression », « attaque ». Depuis la préhistoire, explique l’auteur, la définition d’une arme était très simple, limitée à la notion cinétique de l’engin. Massue ou missile, le « machin » se déplaçait pour frapper. Avec l’arrivée des cyber-armes, et même si l’on est conscient de l’abus de langage, l’on constate un double glissement sémantique. D’une part l’association du mot « arme » à quelque chose qui ne se déplace pas au sens physique du terme, et qui donc ne peut ni blesser, ni tuer. Mais qui peut en revanche détruire physiquement, que ce soient des centrifugeuses ou des usines pétrochimiques. Ce qui casse est une arme, Stuxnet est donc une « attaque à main armée ». D’autre part, la tentative d’extension juridique de la notion de « bien » ou de « richesse » au domaine immatériel à partir du moment où la destruction de ce bien par une cyberarme peut avoir des conséquences économiques parfois aussi importantes que s’il s’agissait d’un objet concret. Et les avocats d’en parler entre eux, et les lois ayant tendance à suivre (ou envisager de suivre) ce raisonnement. Ce qui conditionne l’état de guerre n’est plus l’action de l’arme, mais les conséquences, les effets de l’attaque. Surtout à partir du moment où les effets seraient semblables ou comparables à ceux qu’auraient provoqué un projectile balistique. Une réflexion qui converge avec celle des compagnies d’assurance, pour qui la notion de risque est liée aux conséquences statistiquement probables, et qui ont inventé l’idée de « vol ou d’attaque caractérisé » qui n’existe pas (encore ?) dans les textes de lois.

* NdlC Note de la correctrice : l’à-peu-près est limite … mais comme j’avais déjà censuré « cyber-guerre et pets », je me suis sentie obligée de laisser passer celui-là


3 - Troubles pour le roublard du rouble
Pavel Vrublevsky était banquier. Cyber-banquier même, co-fondateur de ChronoPay, le tiers de payement le plus important de Russie, l’un des successeurs de eGold et autres « trésoriers-payeurs » mafieux. Etait, car les autorités Russes ont arrêté Vrublevsky, les motifs d’inculpation ne manquant pas. Car outre son métier d’intermédiaire financier peu regardant, il dirigeait également une « pharmacie » spécialisée dans le spam et la vente de fortifiants divers (Rx-Promotion) et s’adonnait régulièrement à la pratique du scareware, sport consistant à vendre du faux-antivirus russe en effrayant le chaland à grand coups de popup alarmistes prétendant détecter une infection. Et pour parachever cette édifiante carrière, ce Spam King et cyber-escroc venait d’être balancé par l’un de ses seconds couteaux récemment embauché pour lancer des attaques en déni de service contre les ordinateurs d’un concurrent, intermédiaire financier travaillant notamment pour le compte de la compagnie aérienne Aeroflot. Les révélations de ce factotum ont forcé Vrublevsky à quitter le pays, nous apprenait Brian Krebs en début de semaine passée. L’article de l’ex journaliste du Washington Post nous apprend que l’usage du DdoS était une quasi-habitude de l’individu. Une forme de violence qui se manifestait particulièrement à l’égard des sites antispam ou dénonçant les activités douteuses du personnage. L’attaque contre l’intermédiaire d’Aeroflot a probablement été la bravade de trop. Tant que les exactions du personnage ne frappaient que des entreprises ou organisations nord-américaines, le FSB se montrait relativement tolérant. Mais en touchant aux deniers de la compagnie de transport nationale, Vrublevsky a réduit en cendres l’immunité « par inertie » dont il semblait bénéficier.

4 - Le Troyen qui fait réinstaller Windows
Il est des infections qui méritent un peu plus qu’un entrefilet dans une base de signatures. C’est le cas de l’équidé Win32/Popureb.E qu’a analysé avec attention Monsieur Chun Feng du Microsoft Security Research Center, et qui vaut à cette infection tout un billet avec dump à l’appui. Un cheval dont les méthodes d’attaques semblent relativement « bourrines », puisque son imbrication dans le noyau semble résister à toute tentative d’élimination par des moyens conventionnels.

La méthode de désinfection recommandée par le Vénérable Chun Feng se résume en un mot : restaurer le système avec une version antérieure à l’attaque, après avoir réparé le secteur de démarrage par un énergique Fixmbr. Un Cheval de Troie qui s’attaque au Bootstrap (littéralement « monter par les étrivières », on reste dans l’amélioration de la race chevaline), voilà qui est logique… mais pas si courant que çà.

Il ne reste plus, pour les victimes, qu’à retrouver l’endroit où a été rangé ce satané « recovery CD » et espérer que les points de restaurations sont intacts et les backups encore frais. Les quelques victimes de Pureb.E qui auraient eu la malencontreuse idée de s’être faits infecter après une récente application du SP1 de Windows 7 et qui auraient « égarés » leurs sauvegardes auront le plaisir de repartir sur une installation fraîche, dites FSAC, « from scratch after crash ».

Pour approfondir sur Menaces, Ransomwares, DDoS