Spécial sécurité : backup maudit, Google Rank empoisonné

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères se penchent sur les "mauvais coups" de cybercriminels toujours plus inventifs. Via deux exemples : le piratage d'un serveur de sauvegarde et la saturation des mécanismes d'indexation de Google.

cnis logo

Sommaire

- 1 - Le coup du Backup Maudit 

- 2 - Le coup du googleranking empoisonné 

1) Le coup du Backup Maudit

Ces derniers jours furent prolifiques en matière d’idées particulièrement retorses. Cacher un virus devient, tant du côté des chercheurs « blancs » que des truands du code, une activité à plein temps parfois très rémunératrice, toujours source d’inspiration ou d’émerveillement intellectuel.

Les administrateurs du forum Web Hosting Talk ont eu la désagréable surprise de voir leur système piraté par le biais de leur propre serveur de backup. Les sauvegardes ont, au passage, été détruites par les intrus, avant qu’ils ne s’attaquent à la base de données du site lui-même et dérobent au passage quelques mégaoctets de données contenant notamment les adresses de messagerie des abonnés. Un « vieux backup » a permis de restaurer une version ancienne du site au grand dam des usagers. S’immiscer sur un réseau par le biais d’une architecture de sauvegarde n’est pas courant. La technique, cependant, risque fort de le devenir au fur et à mesure que se répand la mode des machines virtuelles. Les notions de backup, d’instantané, de déplacement de VM sont de plus en plus liées, voir confondues. Il est rare également que les disques de ces VM soient chiffrés, ou même que leur contenu soit vérifié –en fonction de quelle référence d’ailleurs ? La mésaventure subie par Web Hosting Talk fut désagréable pour les animateurs et les membres de ce forum mais immédiatement détectée en raison des pratiques hussardes des attaquants. Une effraction semblable mais plus discrète aurait permis aux intrus d’installer des programmes d’espionnage, de prélever discrètement des informations, voir d’infecter indirectement les stations de travail de chaque visiteur. On oublie trop souvent qu’un fichier vhd ou vmdk peut être édité avec une simplicité déconcertante.

2) Le coup du googleranking empoisonné

Finjan se penche, au fil de son dernier Cybercrime Intelligence Report , sur une pratique dénoncée depuis déjà fort longtemps par Dancho Danchev : les truandages au « classement Google » opérés par certains escrocs du Net, dans le but de diffuser des « scarewares » (faux antivirus). La technique, explique le rapport (inscription préalable obligatoire), consiste à saturer les mécanismes d’indexation de Google avec des mots clefs très populaires ou avec de proches équivalents orthographiques. C’est donc là une variation sur le thème du typosquatting, que l’on pourrait baptiser typogoogling. De cette manière, les index Google parasités par des noms de sites prétendant contenir les informations recherchées classent en tête de liste des sites compromis qui, à leur tour, réorientent les internautes-victimes vers les sites marchands vendant de faux antivirus. Bien que moins de 2 % des visiteurs soient dupes et dépensent innocemment 50 $ de pseudo désinfectant logiciel, les fortunes collectées deviennent vite colossales. La caisse de résonnance créée par Google provoque près d’un demi-million de requêtes par semaine sur les sites compromis. En 16 jours d’observation, les chercheurs de Finjan ont estimé que près de 1,8 million de visiteurs uniques ont visité ces sites. Chaque « participant » ayant contribué à cette pollution des index de Google reçoit en moyenne 9,6 cents par aiguillage de visiteur réussi, soit un total de 176 000 $ de « prime au détournement » (ce qui représente 58 à 90 % du chiffre d’affaires réalisé par les ventes des faux antivirus effectivement facturés et payés). Un jour d’activité criminelle, concluent les spécialistes israéliens de la sécurité, rapporte donc aux rabatteurs près de 10 800 dollars, ou 2 millions de dollars par an. Brian Krebs, du Washington Post, a publié sur cette même affaire, le résultat d’une enquête encore plus détaillée que celle de Finjan. Ces mécanismes de facturation et de rétribution sont intégralement calqués – bien que plus rémunérateurs - sur ceux dictant le paiement des espaces publicitaires en ligne du monde « normal ». Ce qui explique peut-être les dérives et les pratiques parfois très discutables de certains stakhanovistes du marketing direct.

Pour approfondir sur Backup