Spécial sécurité : le hacking du téléphone, un filon indémodable
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères mettent en exergue de nouvelles affaires de hacking téléphonique. Un "business" vieux comme les télécoms - et dans lequel avaient trempé en leur temps des stars de l'IT comme Steve Jobs - mais toujours juteux.
Sommaire :
- Hacker du téléphone, c’est toujours à la mode
- Bejtlich : le contre-espionnage informatique et ses techniques
1) Hacker du téléphone, c’est toujours à la mode
Après une très nette baisse vers la fin des années 80, le phreacking et activités téléphoniques plus ou moins douteuses paraissent repartir de plus belle. Brian Krebs, du Washington Post, raconte l’histoire de ces trois pirates philippins qui ont, pendant plus de trois ans, détourné à leur profit plus de 2500 PBX situés aux USA, au Canada, en Australie et en Europe. Trop souvent, ces équipements téléphoniques d’entreprise sont mal configurés, et il n’est pas très compliqué de découvrir que bon nombre d’entre eux utilisent encore les « mots de passe par défaut » figurant sur les documentations de maintenance. Chaque PBX piraté était revendu à des opérateurs de centre d’appels peu scrupuleux, pour la modique somme de 100 dollars pièce. Les premières estimations situent aux environs de 12 millions de minutes le temps de téléphone « volé » aux victimes, soit une somme proche de 56 millions de dollars. Une partie de cet argent, précise une dépêche Reuter, aurait servi à alimenter les caisses de mouvements fondamentalistes islamistes opérant dans le sud-est asiatique.
Autre mésaventure, que vient de subir Armelle Vincent, consœur journaliste correspondante aux Etats-Unis pour le compte de plusieurs magazines et journaux Français. A plusieurs reprises, raconte-t-elle dans les colonnes de Rue 89, ses appels téléphoniques passés depuis les USA à destination d’un téléphone cellulaire en Europe ont été détournés. De mystérieux correspondants font patienter la victime, dans le but probable de tirer un avantage financier lié à un appel effectué sur une ligne surfacturée. Comment, techniquement, un tel acte est possible ? Les faits sont difficiles à expliquer, d’autant plus que les indices sont minces, voire inexistants. Armelle Vincent n’a pas vérifié le montant de ses factures et ne peut assurer avec certitude qu’il s’agit d’une escroquerie. Le nom de son opérateur local est inconnu, ainsi que celui de ses correspondants – ce qui permettrait de donner quelques indices sur les « points communs » à tous ces détournements.
2) Bejtlich : le contre-espionnage informatique et ses techniques
Richard Bejtlich sert, cette semaine, un rapide article sur quelques méthodes praticables en matière de contre-espionnage numérique. Ce sont, insiste cet expert, des mesures extrêmes, qui relèvent, pour la plupart, des prérogatives des services de police, car leur mise en œuvre peut attirer sur celui qui les pratique des retours de flamme dévastateurs. Ces avertissements et conseils de prudence étant précisés, voici les X lois de la contre-intelligence selon le Tao de la Sécurité :
Chercher à savoir qui vend, propose de vendre ou accède à vos informations. Une première recherche purement passive qui permet souvent d’établir le périmètre des dangers réels et des risques potentiels.
Solliciter les conseils des milieux underground à propos de la sécurité de votre organisation ou de la disponibilité de vos données sur les marchés parallèles. Cette approche est, précise l’auteur, relativement dangereuse et peut attirer « un peu trop » l’attention de ladite communauté underground sur la valeur des données en question. C’est la première approche « active » de la liste.
Pénétrer l’infrastructure de l’ennemi, une technique résolument agressive qui consiste, par exemple, à prendre le contrôle des C&C d’un botnet ou d’une salle de marché. Certains ont essayé et se sont retrouvés totalement muselés par les réactions des cybertruands. A ne pratiquer que lorsque l’on possède la puissance de feu d'un croiseur et des flingues de concours (« Les Tontons », Lautner/Audiard, prélude à la « scène de la cuisine »).
Infiltrer le groupe adversaire afin de savoir ce qu’il connaît de l’organisation de la victime.
Se faire passer pour un éminent membre de la communauté underground pour attirer à soi les « cyber-criminels » que l’on soupçonne de piratage. L’auteur précise que ce genre d’initiative est très dangereuse et ne peut se faire que sous le contrôle et la protection de la police.
Techniquement et intellectuellement parlant, cette façon de voir est proche d’une stratégie à la Sun Tzu, qui favorise l’action discrète, le rôle de l’espion sur l’échiquier des conflits, l’exploitation taoïste du « vide » qui attire l’ennemi et place le combattant en position de force. Mais il ne faut pas perdre de vue que Bejtlich est un expert dans le domaine de la protection des SI des forces de l’ordre, des infrastructures Scada… et autres organismes d’Etat peu comparables à une PME. Les techniques de contre-intelligence, surtout lorsqu’elles visent des organisations mafieuses, sont affaires de professionnels. Pour le « RSSI Français Moyen », cette même liste doit être lue précédée de la mention « A ne pratiquer sous aucun prétexte ».