Hacking Team : quand la cyberdéfense est sous-traitée par une société privée (1/2)

La firme italienne Hacking Team [1], dont la raison sociale résonne comme une insulte aux yeux de nombreux hackers, a été la victime d’une exfiltration de données qui n’a que peu d’équivalent dans le passé récent. En effet, il semble que tout ce qui concerne cette entreprise, et notamment ce qui constituait la valeur ajoutée des services qu’elle vendait, soit aujourd’hui dans la nature. 400 gigaoctets de données propres à l’entreprise ont ainsi été « dumpés » (ou publiés) fin juin, et plus d’un téraoctet aurait été dérobé.

everybody_needs_a_hacker

Au-delà du dommage qu’un tel événement peut représenter relativement à la santé économique d’un groupe privé, il convient de noter que l’affaire en question a, de nouveau, été l’occasion d’un déchaînement d’expressions, d’opinions, de prises de position indignées ; bref, de tout sauf de la réflexion. Car ce dump de données nous transmet de nombreux éléments qui nécessiteront une analyse s’inscrivant dans un temps plus long que ne le permet l’épidermie tendancielle des médias.

Cet article a pour objectif d’introduire quelques-unes de ces problématiques trop peu abordées :

  • Pourquoi certains Etats aux capacités d’action dans le cyberespace ont-ils fait le choix d’acquérir des produits développés par Hacking Team ? Y ont-ils trouvé une véritable valeur ajoutée ?

  • Assiste-t-on à une privatisation des problématiques de renseignement, en particulier le ROEM (Renseignement d’Origine Electromagnétique) ? Quelles implications pour l’intelligence économique ?

Ce qui va donc nous intéresser ici, ce sont les potentielles implications profondes que l’analyse des outils et pratiques d’Hacking Team peuvent révéler.

1.    Les produits d’Hacking Team et leur valeur ajoutée : une opportunité réelle pour les États ?

1.1 Hacking Team, une société privée active dans le commerce d’outils d’offensive monitoring

Une proposition commerciale (ou propale) d’Hacking Team, publiée par Wikileaks et datée de 2008, révèle la stratégie commerciale de la firme italienne. Elle s’articule autour de l’opposition entre surveillance passive (passive monitoring) et surveillance offensive (offensive monitoring).

La première est à rattacher directement aux interceptions de données classiques, bien souvent opérées dans le cadre de pratiques de ROEM par des dispositifs permettant de récupérer passivement des informations. Ce type d’interceptions, pratiquées par des États, suppose des moyens opérationnels qui lui sont bien souvent exclusifs : accès à certains lieux, mise en place d’équipement, de stations ou d’outils que d’autres entités n’ont pas le droit d’utiliser, etc. Le passive monitoring tel que décrit dans la propale d’Hacking Team s’apparente à une attaque de type « Man-in-the-middle » (MITM, ou homme du milieu).

Explication : A et B communiquent via un media lambda ; une attaque MITM consiste à se placer au cœur du media utilisé par A et B, et s’y intercaler ; A croit communiquer avec B, et B avec A, alors qu’en réalité A communique avec H (l’attaquant), qui relaie l’information à B, qui croit les recevoir directement de A. Dans ce cas précis, H est passif, et tous les éléments de communication entre A et B transitent par lui. Le passive monitoring tel que décrit par un visuel de la propale d’Hacking Team est une attaque MITM en ce qu’il semble être suggéré de s’intercaler entre les deux cibles. La principale faiblesse de ce genre d’attaque est qu’elle est inefficace si A et B communiquent de façon sécurisée, par exemple en utilisant un chiffrement que H ne sait pas casser.

 hackingteam_1

Surveillance passive, d’après Hacking Team[2]

Pour pallier cette faiblesse, Hacking Team propose une approche dite « offensive ». En effet, l’offensive monitoring consiste à obtenir un accès durable aux ordinateurs utilisés par A et B. En obtenant cet accès, la sécurité des protocoles de communication utilisés par A et B cesse de constituer un écueil, en ce que l’attaquant a directement piraté ses cibles et dispose des éléments de communication de chacune sans avoir besoin de les intercepter : tout ce qui est sur les machines lui est accessible.

hackingteam_2

Surveillance offensive, d’après Hacking Team[3]

Ce type d’attaque est hautement efficace dans tous les cas, comme le met en avant la propale d’Hacking Team. Ce que la firme italienne omet (volontairement) de mentionner, c’est que la mise en place de ces attaques « ciblées » est bien plus coûteuse : le passive monitoring permet d’intercepter tout ce qui transite par un protocole de communication vulnérable ciblé ; l’offensive monitoring sécurise un accès aux machines désignées comme cibles. En termes d’opérations au sein des espaces stratégiques classiques, c’est un petit peu la différence qui existe entre bombardement massif et frappe ciblée.

Les États pratiquent massivement l’approche passive qui est à la base de l’approche moderne du ROEM. Hacking Team, de son côté, suggère de pallier aux faiblesses de cette approche en offrant une solution offensive ; mais faut-il interpréter le positionnement commercial de la société italienne comme une indication des faiblesses des États en matière d’offensive monitoring ?

1.2 Les Etats, pionniers des cyber-armes

Disons-le clairement : les États se sont imposés, ces dernières années, comme les principales puissances du cyberespace. Très vite, bien qu’après quelques tâtonnements pour certains, le virage stratégique du cyberespace a été pris, et ces dernières années ont vu les cyber-attaques motivées par des buts géopolitiques classiques se multiplier.

La plus célèbre des cyber-armes est sans doute Stuxnet : découvert en Juin 2010, il s’agit d’un malware s’apparentant aux vers (quoique disposant de différents modules rendant sa classification complexe) et dont l’objectif a été de compromettre et saboter des systèmes iraniens gérant les centrifugeuses de son programme nucléaire ; sans rentrer dans de trop nombreux détails techniques, notons les caractéristiques suivantes :

Ø  Stuxnet exploite plusieurs failles 0day, c’est à dire non encore publiées et documentées. Ces failles sont d’une important cruciale en matière d’utilisation de cyber-armes, en ce qu’exploitées discrètement elles constituent des moyens privilégiés et éventuellement durables d’accéder à un système

Ø  Stuxnet inclue un module rootkit permettant de cacher son activité sur les machines infectées

Deux autres armes, Duqu et Flame, sont apparentés à Stuxnet mais se distinguent par leurs objectifs radicalement différents : elles sont tous deux des outils de cyber-espionnage (et non de sabotage), dont le but premier était la collecte d’information. Ces trois cyber-armes, en réalité bien plus nombreuses si l’on tient compte des centaines de variantes existantes, sont liées à l’opération Américano-israélienne Olympic Games, et illustrent bien les activités offensives dans le cyberespace[4] pouvant être développées par des États.

Comparons ces cyber-armes avec l’outil vendu par Hacking Team…

1.3 RCS, le trojan d’Hacking Team : un malware intéressant et puissant

La solution d’offensive monitoring d’Hacking Team prend la forme d’un logiciel, et s’apparente directement aux cyber-armes que l’on vient d’aborder.

L’analyse des répertoires et des sources qui ont été diffusés suite au piratage d’Hacking Team permet d’observer les options que propose le Remote Administration Tool (RAT, ou outil d’administration à distance), que la société italienne, dans un éclair de génie sémantique, a nommé Remote Control System (RCS, ou système de contrôle à distance), parfois appelé Galileo[5] ou DaVinci.

Première observation : RCS est un malware (malicious software, ou logiciel malveillant), un RAT (cf. Supra) de type trojan, aussi appelé cheval de Troie. Le fonctionnement d’un trojan est identique, sur le principe, au stratagème ayant permis aux Grecs de prendre la ville de Troie : l’attaquant créé un dispositif qu’il envoie à sa cible ; celle-ci, ne se doutant de rien, fait entrer le dispositif au sein de l’espace sécurisé ; une fois entré, le dispositif donne un accès à l’attaquant. Le trojan est ainsi un logiciel constitué d’une partie client et d’une partie serveur ; le serveur est envoyé à la cible, qui l’exécute et permet ainsi à la partie client de s’y connecter. Les conséquences sont l’accès total à la machine de la cible.

Il s’agit de ne pas confondre le trojan avec les virus (malwares infectant un autre logiciel) ou les vers (malwares indépendants), dont la fonction première est de se répliquer et d’infecter le plus de systèmes possibles. Le trojan est avant tout un outil d’espionnage et de contrôle. Notons toutefois que les outils les plus puissants rendent souvent caduque cette typologie de base des malwares, ceux-ci disposant souvent de fonctionnalités les rendant hybrides.

Seconde observation : RCS est un malware modulable, au sens littéral du terme. Il peut être adapté en fonction de la cible : RCS dispose de nombreux cores (coeurs), correspondant chacun à un système d’exploitation différent (Windows, OS X, Linux, iOS, Android, Symbian, Blackberry OS, etc.). Chaque cœur propose différents agents, ou fonctionnalités. Ainsi, le core win32 (relatif à un système d’exploitation Windows de type 32 bits) dispose des options suivantes :

* Collecte des mots de passe stockés dans les différents navigateurs Internet

* Stockage des sites Web visités

* Enregistrement des touches du clavier (keylogging)

* Vol des cookies de session de services comme Gmail/Twitter/Facebook

* Collecte des emails et des contacts Outlook

* Géolocalisation de la cible

* Enregistrement du son ambiant (si la cible dispose d’un microphone)

* Captures d’écran et de webcam

* Enregistrement des conversations de messagerie instantanées

Force est de constater que ces options sont assez basiques. En effet, de nombreux trojans librement accessibles sur Internet les proposent, et ce depuis des années (DarkComet, PoisonIvy, Nuclear RAT, Luminosity, etc.). La valeur ajoutée de RCS ne réside donc pas dans les fonctionnalités proposées, bien que le caractère multiplateforme du malware soit très développé et particulièrement intéressant.

hackingteam_3

Interface de DarkComet[6]

Troisième observation : de nombreux éléments indiquent que beaucoup d’efforts ont été déployés afin de s’assurer de la non-détection de RCS par les sociétés d’antivirus. Ainsi, le site Virus Total, proposant des services d’antivirus en ligne, faisait l’objet d’une surveillance accrue de la part d’Hacking Team, et même d’une procédure de crise[7]. Dès lors qu’une souche d’un malware d’Hacking Team était détectée, plusieurs personnes se chargeaient de l’identifier, de la relier au client concerné (car, en effet, il est possible de remonter jusqu’au client initial, en raison de l’existence de watermarks), et de prendre les mesures nécessaires au maintien de l’accès ménagé au sein du système cible (mise à jour du malware, transmission d’informations aux médias afin de prouver la coopération de la société). L’organisation de la société italienne apparaît comme intéressante, même si de nombreuses techniques sont librement disponibles sur Internet afin d’aider à rendre indétectable un trojan[8].

 hackingteam_4

Interface de Luminosity[9]

Quatrième observation : les méthodes d’infection utilisées par RCS exploitaient au moins trois failles 0day (cf. Supra). Il y a ainsi une valeur ajoutée certaine à l’utilisation du malware d’Hacking Team par les États, car qui dit exploitation de failles 0day dit méthodes d’infection sûres et bien souvent indétectables, donc efficaces. Bien que rares, ces failles peuvent être achetées, et même tout à fait légalement ; la société française Vupen, par exemple, est spécialisée dans la recherche et la vente de failles 0day pour le compte de différents États. Notons par ailleurs que Vupen fournirait Hacking Team en failles 0day[10]

Ainsi, tout comme les cyber-armes évoquées plus haut, RCS est un outil d’espionnage ; il utilise trois failles 0day, et dispose même d’une fonctionnalité de type rootkit.

RCS aurait été vendu entre 50 000 et 90 000 EUR[11]. Bien que nous ne disposions pas de détails sur ce qu’inclue un tel prix, il est vraisemblable qu’il soit ici question d’un montant annuel ; RCS étant un outil de cyber-espionnage, sa discrétion doit servir sa permanence. En outre, comme nous l’avons vu, l’offensive monitoring suppose de cibler ses victimes avec précision, ce qui implique des coûts (information gathering, définition de scénarios d’infection, tests, etc.). Ainsi, une fois la cible infectée, il y a fort à parier que l’accès obtenu soit pensé comme durable.

Adrien Gévaudan est géoconomiste et consultant en intelligence économique.

Share/Partage

EchoRadar Blog

One Comment

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

4 × quatre =