Les méchantes boites noires

La verrue du backbone

La plupart des réseaux d’entreprises sont agencés de la manière suivante:

reseau-operateur

Bien entendu, il s’agit là d’une représentation très triviale; en réalité, il y a souvent beaucoup plus d’éléments actifs, et aussi d’intelligence surtout dans les datacenters et chez les opérateurs. Il faut aussi bien comprendre que chez un opérateur, il y a toujours plusieurs chemins vers le reste du monde: on ne va certainement pas prendre le risque de mettre tous ses œufs dans le même panier: en cas de rupture de lien avec l’un des fournisseurs, il faut systématiquement basculer vers un autre afin d’avoir une continuité de service.

Suite aux dramatiques événements qui ont frappé notre pays cette année, le gouvernement a exprimé son souhait d’installer des boites noires chez les opérateurs afin d’y détecter des “comportements suspects”. Si tel est le cas, voici comment il devrait logiquement procéder:

boite-noire-operateur

L’appareil est placé en coupure entre un firewall et un routeur, de sorte qu’il puisse intercepter tout le trafic entrant et sortant du réseau. Mais en réalité, il devrait rencontrer beaucoup de difficultés à arriver à mettre en place cet équipement à cet endroit.

La raison n’a pas l’air évidente à première vue pour un profane mais l’inconvénient majeur est qu’elle remet totalement en question toute l’architecture du réseau. Comme je l’ai décris, j’ai fait une représentation simplifiée du réseau à travers mes schémas mais dans les faits, un réseau peut vite être très complexe, et demande beaucoup de compétences, de maintenance, de supervision, de tuning, de support et de réflexion.

Sur ce genre de réseau de type backbone, tel quel l’on rencontre dans les datacenters et chez les opérateurs, on y trouve des mécanismes de routage (BGP, EIGRP, OSPF), de gestion de collision (Spanning-tree), de réseau virtuel (VLAN, trunk, VTP), d’agrégation (Etherchannel, LACP), de redondance de liens (HSRP, VRRP), etc. En bref, toute une série de mécanismes intelligents qui ont demandé beaucoup de temps, en réflexion, en analyse et bien sûr en argent.

Le simple fait d’ajouter un équipement sur un simple switch peut parfois engendrer des problèmes considérables sur tout le réseau. (Authentique !) Alors ajouter une verrue à un tel endroit peut être très délicat. Il faut nécessairement faire une étude architecturale avant sa mise en place, tout en espérant que l’état aura bien entendu prévu cette étude.

Parce qu’il faut quand même rappeler de quoi l’on parle: mettre en place un équipement sur lequel il n’y a aucune visibilité et aucun contrôle à un endroit stratégique du réseau, avec un risque potentiel de panne ou de détérioration des performances, le tout piloté par un tiers, peut être même un concurrent tout en donnant un accès à la totalité des données des clients !

J’ai mis volontairement le mot “concurrent” car il est vraisemblable que l’état fasse appel à un prestataire de services pour mettre en place ce genre d’architecture; en conséquence, les risques de rencontrer un concurrent ne sont donc pas à exclure.

Maintenant, j’ai beaucoup de mal à croire qu’une direction accepte la mise en place de ce genre d’architecture: la première erreur pourrait être fatale. Il ne faut tout de même pas oublier que le cœur de métier d’un datacenter ou d’un opérateur est le réseau. Si celui-ci ne fonctionne pas correctement alors les affaires en prendront forcément un coup. La direction peut toujours invoquer le risque business, beaucoup trop fort. Et en plus, il ne s’agit pas ici d’un cas de force majeur, mais bien de prévention; le jeu n’en vaut certainement pas la chandelle.

L’état devra alors se tourner vers un autre moyen.

SPAN, RSPAN et ERSPAN

Ces mots barbares dévoilent en fait la technologie à utiliser pour surveiller massivement un réseau. Comme je l’ai expliqué dans le précédent chapitre, il me semble très difficile d’installer un équipement en coupure pour surveiller le réseau. A la place, il faut plutôt utiliser ce type de topologie:

boite-noire-span

Maintenant, pour activer une surveillance, on utilise ce que l’on appelle le “port-mirroring”; c’est à dire que tout ce qui va arriver sur les ports de mon switch va être dupliqué vers un port particulier sur lequel on aura branché une de ces fameuses boites noires. Ça, c’est ce que l’on appelle un SPAN, du moins chez Cisco, l’un des principaux équipementiers réseau. Le RSPAN fait la même chose, mais il ne copie pas les données sur un port physique mais dans un VLAN, un réseau virtuel. Le but est donc d’acheminer en Ethernet les informations dans un endroit à proximité, sans doute dans une autre baie ou une autre pièce. Finalement, le ERSPAN transporte les données en IP, c’est à dire que le réceptacle pourra être n’importe quel système sur Internet, comme par exemple, la DSGSI, la NSA, vous même sur votre petite ADSL 20 mégas.

Cette technologie a l’avantage de ne pas être en coupure et agit passivement, elle est donc sans risque pour l’opérateur. Mais elle a tout de même ses propres limites: elle fonctionne à capacité réduite.

Un switch dispose généralement de 24 ou 48 ports, chacun de ces ports a une vitesse déterminée: 100 mégabits, 1 gigabits, 10 gigabits, etc. Si maintenant, je veux être capable d’accueillir toutes les données d’un port, je dois disposer de la même bande passante, voir même plus. Sinon, je risque la congestion, c’est à dire que je vais perdre des informations. Je détaille un peu plus: un switch n’est rien d’autre qu’une grosse prise multiple intelligente et qui a une spécialité: la commutation. C’est à dire que lorsqu’il reçoit un paquet sur un port, il s’empresse de le commuter sur tous les autres, du moins tous ceux qui sont dans le même VLAN. Pour ce faire, on utilise souvent un processeur spécialisé, un ASIC. En interne, le switch dispose d’un tampon où il va stocker les données juste avant la commutation. Ce tampon se vide à la vitesse de la commutation (1 giga, 10 giga, etc.). Si maintenant, le switch ne dispose pas suffisamment de temps pour vider son tampon, l’information est “droppée”, et donc peut être potentiellement perdue.

Le problème de la bande passante

On voit donc bien ici toute la difficulté pour surveiller massivement un réseau: si l’on ne calibre pas suffisamment la capacité d’absorption du trafic d’un équipement tel qu’une de ces fameuses boites noires,  on s’expose à une perte d’information. Maintenant, soyons honnête, il faut quand même relativiser mes affirmations ici. En réalité, dans une infrastructure telle que celle que je vous ai présenté dans le chapitre précédent, un port réseau utilise rarement toute sa bande passante. Cette dernière peut beaucoup fluctuer en fonction de la nature du trafic analysé. Par exemple, des requêtes de type Web ne sont pas très gourmandes en matière de bande passante, contrairement à d’autres: flux, vidéo, FTP, etc.  On peut donc considérer qu’il n’est pas forcément nécessaire d’avoir une boite noire pour surveiller un serveur: on peut facilement en utiliser une seule pour surveiller plusieurs équipements. Néanmoins, il est clair que ce nombre est quand même limité et qu’en conséquence, il faut prévoir un nombre tout de même conséquent de boite noires pour surveiller tout un réseau, surtout si celui-ci comporte des centaines, voir des milliers de serveurs.

Mais attention, dans mon premier exemple, celle où la boite noire intervient en coupure, il est absolument nécessaire d’éviter la congestion sous peine de dégrader significativement les performances du réseau. La boite noire agissant comme un goulet d’étranglement, celle-ci doit donc disposer de la même bande passante que les équipements sur laquelle la boite noire est connectée. Par exemple, si je travaille avec des switch 10 gigabits, la boite noire doit pouvoir supporter du 10 gigabits.

Pour que vous comprenez bien la principale problématique de la surveillance, il faut imaginer que la boite noire est un entonnoir dans lequel on verse de l’eau en continu, mais avec un gros risque que cette eau déborde de l’entonnoir.

L’exemple OVH en guise de conclusion

Je termine ici en vous montrant l’exemple d’OVH qui héberge Pagasa. Le plan du réseau d’OVH est particulièrement intéressant. On y découvre tout son maillage et ses interconnexions avec les autres continents: Etats-Unis et Asie. Mais la chose encore plus intéressante, de mon point de vue est la volumétrie qui y apparaît: les ordres de grandeur sont assez éloquents; par exemple, la bande passante allouée au trafic qui va de France au Royaume-Unis monte à 480 gigabits; celle qui va vers la Belgique, 600 gigabits ! Si je pars sur l’hypothèse qu’une boite noire est capable de gérer du 10 gigabit, rien que pour gérer ces deux monstrueuses connexions, il faudra pas moins de 108 boites noires ! Et je rappelle qu’il ne s’agit là que d’un seul opérateur et qui n’est pas le plus gros. A la question que vous allez certainement me poser sur les moyens à mettre en oeuvre pour surveiller tout cela, je vous répondrais tout bonnement: “C’est très simple, il suffit de construire un autre OVH à côté”.

 

Mots-clés: weather forecast.net

Une surveillance massivement maigre

Les milieux informés me font savoir que nous sommes massivement surveillés par la NSA, le GCHQ, le fisc de Bercy, ma femme qui n’aime pas que j’aille sur Tukif, etc.

En clair, tout ce que l’on dit, fait, écrit sur Internet serait connu par ces mystérieuses organisations, tout cela dans le noble but de nous protéger, cela va de soit. Moi, j’aime beaucoup raconter des histoires, et j’aime aussi que l’on me raconte des histoires. Seulement, moi j’aime beaucoup aller loin, très loin dans ce que l’on me raconte et aussi prendre beaucoup de recul sur les choses.

Alors j’imagine que tout ceci est un un projet, un gros projet dont il faut prendre la mesure de ce que cela représente. Lorsque l’on s’atèle à la réalisation d’un tel projet, il est nécessaire de savoir de quoi l’on parle en matière de chiffres.

Dans mon cas, si je veux mettre en place une surveillance généralisée de tout l’Internet, je n’ai à priori que très peu d’informations qui m’aident à quantifier de quoi l’on parle. Néanmoins, j’ai à ma disposition des données sur un acteur bien connu du monde de l’Internet et qui a une démarche qui se rapproche de la mienne, j’ai nommé Google.

Bien évidemment Google ne travaille pas véritablement à vous espionner, quoique l’on dise mais son but est de tenter d’indexer la plupart des sites Web qui peuplent l’Internet. Même si nos deux buts diffèrent, on peut tout de même établir une corrélation entre nos deux entreprises, en matière de données d’infrastructure. Google va gérer un contenu et nous, nous allons gérer les connexions à ce contenu. Voici ce que l’on apprend:


Il y a donc 5 ans, Google disposait de 900000 serveurs. On peut vraisemblablement estimer que ce nombre a depuis lors beaucoup évolué. Mais nous allons rester une fourchette plutôt basse. Admettons donc qu’aujourd’hui Google a besoin de 1 million de serveurs pour indexer l’Internet. Nous avons là une donnée importante: c’est la puissance nécessaire pour faire fonctionner ses opérations.

Si je veux faire la même chose, à la même échelle, je dois donc partir sur un nombre assez similaire en matière d’équipement. Cela me donne une idée sur la masse de matériel qu’il me faudrait pour arriver à mes fins. Néanmoins, le chiffre de 1 million de machines est certainement sous-évaluée; outre mon choix pour une estimation assez basse, il faut rajouter beaucoup de choses pour faire fonctionner toutes ces machines.

Il faut tout d’abord relier ses équipements les uns avec les autres; ceci se fait au moyen d’un switch. Les modèles les plus courants sont les 24 ports et les 48 ports. Par souci d’économie, je partirai plutôt sur des modèles à 48 ports. J’ai donc besoin de 1 million divisé par 48, soit 20833 switches. Ensuite, il me faut des routeurs pour connecter mes différents réseaux, répartis sur toute la planète. Il est assez difficile d’estimer leur quantité, mais je vais considérer qu’il me faut un routeur pour 100 machines; prévoyons donc 10200 routeurs. A ceci, il faut ajouter divers équipements, comme quelques firewalls, répartiteurs de charge, équipements de stockage (SAN), etc. Au final, je peux prévoir jusqu’à 50000 machines supplémentaires pour faire fonctionner mon million de serveurs.

Une telle infrastructure risque néanmoins de ne pas passer inaperçu: il faut des datacenters pour héberger toutes les machines, un réseau considérable, plusieurs dizaines de milliers de personnes pour administrer toute cette infrastructure et surtout des centaines de millions d’euros de coût d’exploitation.

Je suis toutefois persuadé que les chiffres avancés ici sont en réalité sous-estimés: rappelez-vous que seule une partie de l’Internet est réellement visible et qu’il y a beaucoup de choses qui sont cachées aux yeux des bots de Google. Mais pour débuter, je pense que l’ordre de grandeur de plus de 1 million de machines est assez bon pour surveiller massivement l’Internet.

Le seul petit problème pour l’heure, c’est qu’il est absolument certain qu’une telle infrastructure n’existe pas, elle laisserait beaucoup trop de traces, que ce soit en empreinte matérielle, réseau, humaine et bien entendu financière. En réalité, seule une partie infime de l’Internet serait surveillée et même là encore, les informations obtenues sont à manier avec prudence. Donc, en conclusion, il est faux de dire que l’Internet est massivement surveillé.

 

Le mouchard enrhumé

Lorsque l’on regarde une série américaine, type 24 ou NCIS, on est toujours beaucoup amusé sur les possibilités complètement extravagantes dont disposent les acteurs en matières d’informatique. Ainsi, on y voit des agents prendre le contrôle de tout un réseau de caméras routières, afin d’y suivre une voiture en fuite, d’autres agents pénétrer carrément sur le réseau d’une entreprise tierce, traversant au passage un firewall, lire des mails à distance en outrepassant les mots de passe, récupérer des fichiers après avoir contourné toutes les procédures de sécurité, etc.

La réalité est bien entendu bien différente: ce genre d’opération ne se fait pas de la sorte aussi facilement, elles sont même la plupart du temps parfaitement impossibles, ou du moins très difficilement réalisables.

Pour notre plus grand malheur, ceux qui sont censés nous diriger vivent dans le même univers de science-fiction; ils pensent qu’en matière d’Internet, on devrait toujours arriver à le contrôler, et qu’il suffit d’une nième loi pour lutter contre le terrorisme, cet argument générique tellement facile à sortir pour asseoir leur désastreuse emprise sur nos vies.

Dura lex sed lex, seule compte la loi; la technique, on s’en moque, ce n’est pas notre tasse de thé, on laissera cela à des gens dont c’est le métier. Le problème, c’est qu’entre l’intention et ce qu’il est réellement possible de faire, il y a un fossé parfois abyssale et qui fera qu’une loi ne restera qu’une bête coquille vide. Seulement, il y a derrière cela deux conséquences particulièrement toxiques: dans un premier temps, cela complexifie beaucoup la loi qui n’a certainement pas besoin de cela, et deuzio, cela nuit grandement à la crédibilité du législateur. Un ministre n’a pas besoin d’être ingénieur réseau, mais il se doit tout de même de s’entourer de gens qui savent de quoi on parle. Or il est navrant de voir à quel point nos excessivement “chers élus” ne comprennent pas ce dont ils parlent, ou du moins ne prennent sans doute pas en compte ce qui leur a été réellement conseillé.

Si je reprend les différentes lois afférant au contrôle de l’Internet qui ont été récemment promulguées, j’y apprend par exemple qu’il est désormais possible d’installer des mouchards sur n’importe quel PC, afin d’y enregistrer tout ce qui y est fait, et ce à distance, mon brave monsieur. Et bien moi, je demande sérieusement à voir cela, d’un point de vue technique.

Parce que voyez-vous, on ne rentre pas comme cela si facilement sur une machine: déjà votre routeur, généralement une Box ADSL ou fibre, filtre de base déjà un certain nombre de menaces, comme par exemple les vers qui communiquent par vos ports réseaux TCP/UDP. Ensuite votre système d’exploitation comprend souvent un firewall (le fameux centre de sécurité de Windows) qui reprend les fonctionnalités de ce qui se fait déjà primitivement sur votre box mais en plus évolué. Il vous prévient par exemple si un programme tente de squatter un de vos ports TCP/UDP pour y communiquer vers l’extérieur. Finalement, la plupart d’entre nous dispose d’un antivirus qui fait aussi souvent office d’anti-spyware et qui est capable de détecter la plupart des “programmes suspects”, y compris ceux qui sont des développements “maison”. En bref, initier une attaque comme cela à distance, c’est particulièrement difficile, il faut mieux procéder en utilisant d’autres manières.

La première chose qui me vient à l’esprit est de s’introduire chez la personne et d’y déposer un mouchard directement sur sa machine; mais là encore, ce n’est pas simple: il faudra peut-être casser les mots de passe Windows, parfois même BIOS, sans doute outrepasser l’antivirus, etc. Et le tout sans laisser de trace de son passage. On doit pouvoir aussi compter sur la non-technicité de la personne, mais contrairement à ce que l’on croit, tout le monde n’est pas toujours le crétin que l’on espère croiser. Chance de réussite: 30%

L’autre façon de faire est l’hameçonnage: on envoie un faux courrier à la personne lui demandant de cliquer sur un lien qui va aller discrètement installer sa cargaison sur le PC. Mais là encore, l’antivirus peut faire barrage.  Tiens, d’ailleurs à ce sujet, vous ne trouvez pas que l’on a tendance à beaucoup recevoir de fausses factures par mail en ce moment ? Chance de réussite: 50%

Finalement, la dernière possibilité est de surveiller ce qui sort de votre machine vers l’Internet; mais avec tout de même quelques limites car vous n’aurez pas forcément toutes les informations: tout ce que vous faites sur votre PC ne part pas forcément sur Internet. Si j’écris une lettre avec un traitement de texte ou je fais un dessin, ces données ne vont pas sur Internet. Je détaillerai dans un article les moyens pour surveiller l’Internet mais aussi toutes leurs limites.

Bug Bounty: il serait temps que la France s’y mette

Le 2 janvier 2015, le site TF1.fr a été victime d’une attaque informatique. Selon Zataz, des hackers auraient réussi à pénétrer dans le système informatique de la célèbre chaîne de télévision via une faille présente sur la partie “abonnement presse” du site; des données bancaires des clients auraient même été dérobées.

Cette affaire quoique d’une banalité malheureusement à toute épreuve m’interpelle et m’amène à quelques réflexions. D’abord, je me dis qu’encore une fois, il est très difficile de sécuriser une architecture Internet et que malheureusement, il n’existe pas beaucoup de systèmes sûrs et sans faille. Après coup, on a toujours tendance à dire “onauraitdu, yaka, fondraitkon, etc.” et, bien entendu on trouvera toujours un responsable, de préférence un malheureux subalterne qui n’est qu’une partie infime de l’échelle de responsabilités.

Mais dans un deuxième temps, j’essaye d’aller plus loin en m’appuyant sur le recul que j’ai pu prendre en vingt années passées en tant que professionnel de l’informatique. Je lis beaucoup les blogs étrangers principalement américains et je suis toujours autant fasciné par les différences de comportement qui peuvent exister entre mes confrères concitoyens et le reste du monde. Bon, je ne vous parlerai pas encore une fois de l’argent et du problème de conscience qui se pose à certains lorsqu’ils réalisent que malheureusement, l’argent gratuit des autres ne suffit pas et qu’en conséquence, il faudra immanquablement mettre un bout d’Adsense sur notre beau site, histoire de payer les quelques factures qui s’accumulent. Je sais que la Ré-éducation Nationale nous dit tous les jours que c’est mal mais comme l’a très bien dit James Carville, “it’s the economy stupid !

La différence culturelle est essentiellement pragmatique: je sais que si je développe un gros site web avec beaucoup d’interactions avec mes clients, indubitablement, je ne suis pas à l’abri de grosses problématiques de sécurité et bien entendu de bugs, à base d’injections, de buffer overflow, etc. Alors, en bon anglo-saxon (eux, pas moi, je suis Chti expatrié à Lyon), je m’efforce d’être pragmatique et de préparer le terrain: j’offre une récompense à toute personne qui me signalera un problème de sécurité sur mon site.  En anglais, on appelle cela un “Bug Bounty“. Voici par exemple les programmes pour des sites connus:

Au vue de cette liste, le moins que l’on puisse dire, c’est que l’on n’y trouve pas beaucoup de sites Francais ! Par exemple, j’ai cherché des programmes pour des poids lourds du Web Français tels que Orange, Free ou encore Leboncoin, je n’ai jamais pu y déceler la moindre trace de ce genre d’initiative. Ces sites sont pourtant directement exposés à de sérieuses attaques et au vue des interactions qui existent avec leurs clients, ils auraient tout intérêt à mettre en place un programme de Bug Bounty. La seule initiative qui va dans ce sens est celle du protocole d’alerte proposé par Zataz, mais l’idée diffère un peu.

Si maintenant, j’essaye de comprendre un peu le pourquoi du comment, voici quelques idées:

Tout d’abord, j’ai toujours l’impression qu’en France, les choses sont très difficiles en matière de facturation, surtout dans les grosses sociétés qui n’ont pas prévu la chose. Où Diable allons-nous pouvoir imputer ce genre de dépense ? Et puis, rémunérer une société qui n’est même pas référencée par les Achats, ou pire un particulier pour “service rendu”, ce n’est pas quelque chose que l’on rencontre souvent et que l’on a l’habitude de gérer.

Dans un second temps, on pourrait aussi mettre en avant l’éco-système Français qui n’est pas très ouvert sur les initiatives de ce genre. Il y a dix ans déjà, l’affaire Guillermito est une preuve que la recherche individuelle n’est pas quelque chose qui a les faveurs des professionnels, qui y voient clairement une menace pour leurs intérêts. Enfin, moi, j’aurais plutôt dit leur image, un véritable désastre dans cette histoire ! Pour rappel, Guillermito avait apporté des preuves que l’anti-virus Viguard comportait un certain nombre de failles qu’il présentait en ligne. Par la suite, il a été condamné pour “contre-façon” et même accusé de “terrorisme” par la société qui l’a traîné devant les tribunaux. Dans un même registre, on pourrait aussi évoquer les affaires Tati-Kitetoa et Humpich. Même votre propre serviteur a déjà eu à “s’expliquer” à cause de son testeur de serveur SMTP.

Pour terminer, quelques conseils, dans un premier temps si vous êtes impliqué dans la gestion d’un gros site:

Si votre site fonctionne au moyen d’un CMS connu comme WordPress, Drupal, Joomla ou autre, vous n’êtes pas directement concernés. Ce genre de programme existe déjà et en général, ils fonctionnent très bien. Si par contre, votre site est un développement maison alors faites-le. Vous devez écrire une procédure avec éventuellement un workflow. Le mieux est sans doute de demander à votre RSSI, si vous en avez un, de s’en occuper. Prévoyez une page web particulière avec vos consignes, ce que vous acceptez (XSS, exécution à distance, buffer-overflow, etc.), ce que vous n’acceptez pas (DDOS). Mettez-y une adresse mail particulière ou mieux un formulaire adapté. Détaillez aussi les rétributions que vous êtes prêts à offrir.

Vous ne souhaitez pas rétribuer ceux qui vont vous signaler des gros problèmes sur votre site ? C’est là une grave erreur. Dans un premier temps, pensez au coût que peut représenter une attaque informatique: restauration des données en cas de destruction, mobilisation des équipes techniques pour colmater au plus vite les failles, audit éventuel, perte de chiffre d’affaire, etc. Je ne peux que vous engager à faire tout de suite un devis chez votre prestataire de services informatiques afin de lui demander ce que coûte un consultant en sécurité informatique par jour. A côté de cela, vous allez pouvoir bénéficier de l’expertise de certains pontes et sans même à vous en être soucié. Et je suis même convaincu que vous y gagnerez au change. Le jeu n’en vaut-il pas la peine ? Et n’oubliez pas non plus le déficit d’image que peut provoquer ce genre de sinistre. Vos futurs clients seront-ils toujours rassurés le jour où ils apprendront que vous vous êtes fait malencontreusement dérober toutes leurs données personnelles ? C’est le désastre assuré. Autre chose: ne soyez pas trop radin tout de même avec vos collaborateurs; évitez de leur donner des tshirts en guise de remerciement.

Enfin, si vous êtes vous-même un chasseur de bug:

Ne publiez jamais le résultat de vos travaux, ou alors supprimer toute référence envers le site sur lequel vous avez travaillé. Faites attention aux captures d’écran qui laissent beaucoup de traces. Si vous utilisez un outil développé par vous-même, faites en sorte qu’il soit facilement identifiable. Évitez par exemple que dans les logs du site Web que vous testez n’apparaisse ce genre d’information:

192.168.2.2 - - [28/Dec/2014:03:39:24 +0100] "GET /TestXSS0x11110x2222 HTTP/1.1" 200 2616 "-" "Mozilla/5.0 (compatible; R0x0rSam3m3an by HaxDevil-XSSBot/2.1; +http://www.thb3st.ua)"

A la place, modifier votre User-Agent comme ceci:

192.168.2.2 - - [28/Dec/2014:03:39:24 +0100] "GET /TestXSS0x11110x2222 HTTP/1.1" 200 2616 "-" "Mozilla/5.0 (compatible; Test Intrusion Detection/2.1; +http://www.pagasa.net/testintrusion.html)"

De sorte que si vos activités “suspectes” soient repérées par un IDS ou par un administrateur web, elles soient clairement identifiées. N’oubliez pas de bien documenter la page Web qui fait référence à ces mêmes activités.

Ne soyez pas trop “geek” lorsque vous entrez en contact avec la société. Évitez ce genre de prise de contact:

“Salu, moi sest Kevin le rox et j’ai chopé une XSS sur vote page web trucmuch.php; jvous donne tou le détaye contre 1 Bitcoin que tu envoi à l’adresse 64Trak2tKkE8vNoW1am5re8K6wUSQxqo1q”

Rappelez-vous qu’en face, vous aurez généralement un ou plusieurs décideurs informatiques avec qui vous allez avoir à discuter, voir négocier.

La Corée du Nord n’est sans doute pas une cyber-puissance

Depuis plusieurs semaines, la presse fait écho de cyberattaques en provenance de Corée du Nord et se borne à relayer toute une série d’écrits et de spéculations sur les possibilités de frappes techniques de ce qui reste l’une des dernières dictatures communistes au monde.

Je ne lis pas trop la presse mainstream Française, je la trouve beaucoup trop orientée et aussi, elle se borne bien souvent à ne faire que des copier/coller de l’AFP en tentant de développer un peu, souvent assez maladroitement, je trouve.  Mais lorsqu’elle parle d’un sujet qui m’intéresse et qui quelque part me concerne professionnellement tout de même alors j’essaye de décortiquer tout ce fatras, histoire de me faire une idée.

Dans cette affaire, beaucoup d’aspects techniques ont déjà été évoqués sur les “preuves”, inutile donc que je m’y attarde, je laisse cela à d’autres qui ont déjà planché sur le sujet. Mais dans ce genre de situation, il est toujours difficile d’établir précisément les responsabilités: la provenance d’une adresse IP n’est pas en soit un gage d’identité, l’utilisation de tel ou tel autre malware non plus, la manière d’écrire un defacement d’une page non plus, etc. Je vous propose d’autre d’explorer une autre facette de cette histoire.

Vous avez dit 6000 hackers nord-coréens ?

Quand on me dit que la Corée du Nord compte environ 6000 hackers informatiques, je suis quand même en droit de me poser quelques questions. D’abord, je me dit que tout de même, c’est fort précis. Si je vous pose la même question sur le nombre de hackers sévissant en France ou ailleurs, je vous met au défi de me sortir un chiffre aussi précis, les hackers n’ayant pas trop l’habitude de se faire recenser.

Ce qui nous porte à croire qu’il s’agit de hacker “déclarés” et qui travaillent pour le gouvernement, en bref, des fonctionnaires. Mais là encore, j’ai quelques réserves: je vois mal 6000 hackers travaillant au jour le jour sur les possibilités de pirater le reste du monde. Dans ce chiffre, on doit certainement incorporer des programmeurs, des ingénieurs systèmes, des techniciens et toute la panoplie des informaticiens qui gravitent autour.

Et puis, une armée de 6000 personnes comme cela, ça finit par faire du bruit, ça communique, ça fait des actions d’éclat, ça frime sur les réseaux sociaux et sur les forums surtout quand c’est jeune, ça cause beaucoup si ça a fait un hack-de-la-mort-qui-tue, ça peut même faire défection à l’ouest. Et puis aussi ça finit tout ou tard par se faire piquer ou se faire repérer d’une manière ou d’une autre.

Or, à ce jour, je n’ai pas eu beaucoup l’impression que ces hackers jouissaient d’une quelconque notoriété. A côté de cela, on entend beaucoup plus parler des exploits des hackers russes, ukrainiens et surtout chinois.

Un écosystème informatique beaucoup trop replié sur lui-même.

Et je vais même encore plus loin dans mon analyse: 6000 hackers sur un réseau qui comporte un petit millier d’adresses IP publiques, c’est l’embouteillage assuré. Et lorsque je parle d’embouteillage, je n’évoque pas seulement un problème d’infrastructure ou de bande passante, mais aussi l’isolement et le repli. Bien entendu, on arrivera toujours à caser tout ce beau monde derrière des proxy ou leur Kwangmyong, mais cela ne suffit pas.

Pour devenir un bon hacker, il faut obligatoirement bercer dans la mondialisation. On ne peut se contenter de rester dans une administration la journée à passer son temps à faire des tableaux Excel ou à s’essayer à lancer quelques scripts-kiddy.

Il faut fréquenter des forums spécialisés, échanger avec des experts, aller faire des études ou des stages à l’étranger, de préférence dans des écoles reconnues, se cultiver, apprendre des autres des techniques, passer de longues soirées à lire, à réfléchir chez soi le soir. D’ailleurs, le taux de pénétration de l’internet domestique nord-coréen ne représente pas véritablement un bon terreau pour faire des extras le soir, en bref s’auto-former, étape indispensable pour persévérer et aussi s’élever. En définitif, devenir un bon hacker demande un travail de longue haleine et qui passe obligatoirement par une grande ouverture sur les autres.

Or, le système nord-coréen semble fonctionner à l’opposé de tout cela. Vous voyez souvent des étudiants nord-coréens, des études, des thèses ou même des blogs sur la sécurité informatique en provenance de Corée du Nord ?

Mais on pourrait encore me dire que ces gens font tout cela depuis l’étranger; là encore, c’est très discutable: les espions laissent des traces et finissent par se faire repérer. L’actualité ne va pas dans ce sens. La presse a aussi tendance à beaucoup extrapoler sur la “complaisance” de l’allié historique, la Chine, qui laisserait ce genre d’activité proliférer sur son territoire. Cela semble quand même difficilement acceptable pour un pays comme la Chine, qui n’a absolument rien à y gagner, et qui n’hésite pas à fusiller les espions.

Désinformation et sources douteuses.

En fouillant dans les tréfonds du web, on finit par trouver l’origine du nombre de hackers nord-coréens: l’agence de presse sud-coréen Yonhap qui affirme que la Corée du Nord a doublé les effectifs de ses hackers en deux ans, ceux-ci passant de 3000 à quasiment 6000. On note que l’information provient d’une source militaire non identifiée. (“Military sources said Sunday”).

En cherchant beaucoup sur le Web, à aucun moment il n’a été possible d’identifier clairement cette source. On est donc en droit de se poser la question sur l’authenticité et la véracité d’une telle information.

Par la suite, on observe d’autres histoires similaires, aux sources douteuses et on finit par comprendre que le gouvernement sud-coréen lui-même semble créer de toute pièce des informations fausses, le tout dans des buts politiques ou de désinformation.

On apprend ainsi que l’ex petite amie du président Kim Jong-un, la chanteuse Hyon Song-wol aurait été passée par les armes, suite à un trafic de vidéos pornographiques. Le journal sud-coréen Chosun Ilbo qui est à l’origine de l’information parle de “sources chinoises” qui n’ont jamais pu être identifiées. Bizarrement, Hyon Song-wol ressuscite miraculeusement quelques mois plus tard.

Quelques mois auparavant, on apprend qu’un ministre nord-coréen aurait été exécuté “au mortier”. Là encore il y est question d’une très vague source, le terme exact est “intelligence data“, un “renseignement” donné à Yoon Sang-hyun, un membre du ministre des affaires étrangères sud-coréen qui l’a transmis au quotidien anglais, The Telegraph. Bien entendu, ce “renseignement” n’a jamais pu être clairement identifié.

Et puis finalement la presse sud-coréenne semble assez prolifique pour faire circuler des histoires complètement abracadabrante en provenance de Corée du Nord:

L’enlevement d’un couple sud-coréen pour produire un Godzilla nord-coréen.
Les licornes existeraient réellement en Corée du Nord.
L’entraineur de l’équipe nationale de football utiliserait une téléphone invisible durant les matchs de coupe du monde.

Etc, etc.

En définitive, la Corée du Nord fascine beaucoup, peut-être sans doute trop, et bon nombre des informations écrites à son sujet font plus penser à des fantasmes qu’à des faits. La vérité est sans doute à mi-chemin mais il ne faut pas oublier que les deux Corées sont en état de quasi-guerre latente depuis plus de soixante ans. Il est sans doute nécessaire de prendre beaucoup de précautions sur tous les informations circulant à ce sujet.