O1 Réseaux : Le groupe de personnes arrêté était-il considéré comme dangereux ?Dario Forte : Les quatorze personnes que nous avons inculpées sont très dangereuses pour trois raisons principales. Primo, la cible ultime de leurs attaques concerne des agences gouvernementales américaines telles que la Nasa, l’US Navy et l’US Army. L’évaluation des dommages est en cours, et pourra donc être encore revue à la hausse. Secundo, les techniques de piratage sont très évoluées. Au total, si plus de mille machines ont été compromises, seules quelques-unes ont été réellement défaites. Les autres ont été utilisées comme tremplins. Nous avons relevé des machines compromises pendant deux cents jours, ainsi qu’une chaîne de plus de dix machines servant de relais avant la cible finale. Il faut noter que les pirates* avaient réalisé eux-mêmes leurs propres rootkits avec des scripts propriétaires pour éviter la détection. Tertio, ces personnes étaient des consultants en sécurité, certains travaillant pour des grandes sociétés. Ils installaient des produits dans les entreprises le jour pour se transformer en pirates la nuit.01 R. : Comment êtes-vous remonté jusqu’aux pirates ?D. F. : L’une des difficultés majeures a été que les outils employés n’étaient pas connus. Nous ne nous frottions pas à des adolescents munis d’outils et de scripts tout faits. Remonter jusqu’aux pirates a nécessité de travailler sur une base de près de 300 Go de logs. Nous avons analysé les fichiers de journalisation manuellement pendant près d’un an !01 R. : Leur niveau technique était-il très élevé ?D. F. : Après plus de dix ans consacrés à la sécurité, je n’ai jamais vu quelque chose d’aussi évolué. Les pirates ont fait une large utilisation de la cryptographie et de scripts d’autoeffacement pour gommer leurs traces.01 R. : Sur quels outils vous êtes-vous appuyé ?D. F. : Notre analyse de l’intrusion était uniquement fondée sur des outils Open Source (Shadow modifié ou The Coroner’s Toolkit sans modification, par exemple).01 R. : Quelles recommandations feriez-vous pour se prémunir contre les pirates ?D. F. : Les entreprises doivent réfléchir avant d’embaucher d’anciens pirates. Le monde est rempli de bons professionnels même si cette affaire a démontré qu’il peut y avoir des exceptions. J’ajouterai que les prestataires externes de sécurité ont réellement intérêt à étudier les candidatures de leurs collaborateurs.01 R. : Et d’un point de vue technologique ?D. F. : Il faut que les entreprises fassent plus attention à la mise à jour de leurs systèmes, en leur appliquant les correctifs et en les renforçant. J’estime aussi que la divulgation complète du code et le hacking* réel sont la seule manière d’améliorer la sécurité, avec toutefois un peu plus de responsabilité… L’affaire sur laquelle nous venons de travailler relève du domaine de la criminalité.* Dario Forte distingue le hacking, qui traduit la capacité d’une personne à connaître les méandres d’un système en le pénétrant, du piratage, qui vise d’autres motifs (financiers le plus souvent).
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
