Un billet sur le blog de McAfee révèle qu’un pirate a mené la plus grande attaque sur le web de tous les temps. Operation Shady RAT (Remote Access Tool ou outil d’accès à distance en français) a duré au minimum 6 ans et s’est infiltrée dans de très nombreux serveurs appartenant à des gouvernements ou des entreprises privées. Les intrusions ont parfois duré des mois, voire des années. Ainsi, les serveurs d’un conté de la Californie du Sud ont été piratés pendant 24 mois.
La nouvelle a jeté un pavé dans la marre. Le billet de McAfee ne désigne pas de coupable, mais les médias et les experts ont rapidement noté qu’aucune des attaques ne touchait des sites chinois et ont rapidement commencé à soupçonner l’Empire du Milieu qui dément fermement être responsable. Il convient néanmoins de ne pas tirer de conclusions trop hâtives et souligner que McAfee lui-même ne pointe personne du doigt.
Les pirates ont réussi à compromettre les serveurs à l’aide d’attaques phishing relativement classiques. Il leur a suffi d’envoyer un email aux bons responsables afin de gagner accès à une machine connectée au réseau, puis d’étendre leur présence.
ZoomMcAfee est tombé sur cette opération presque par accident lorsqu’il a saisi ce qui s’est avéré être un centre de commande et contrôle des chevaux de Troie Generic Downloader.x et Generic BackDoor.t qui furent utilisés pour prendre contrôle à distance des machines infectés. Les logs les plus anciens datent de 2006, mais il est possible que les attaques aient commencé avant. Il n’y a pour l’instant aucun moyen de le savoir.
Comme le montre le schéma ci-dessous, les attaques se sont principalement concentrées aux États-Unis. De nombreux serveurs appartenant à l'ONU ou au gouvernement fédéral ont été ouverts ainsi que ceux d’agences de divers états du pays. Le volume de documents volés dépasse le petaoctet et leur nature est ausssi très diverse, en passant de secrets technologiques, au fonctionnement interne d’entreprises ou gouvernement. Ces fichiers peuvent servir à gagner un avantage indu sur ses concurrents et bénéficier la croissance de pays au détriment d’autres nations. McAfee affirme aussi que la sécurité nationale des pays concernés s’en trouve fragilisée alors que les pirates ont volé des documents classés secret défense et pénétrer des satellites.
Il faut néanmoins prendre du recul par rapport au ton alarmiste qui domine une majorité de médias. Il est pour l’instant impossible de savoir qui est l’auteur de ces attaques et les dommages réellement causés par le vol d’information. En effet, les pirates aiment lancer des scripts pour prendre un maximum de fichiers sans faire de discrimination. Néanmoins, personne ne peut dire s’ils étaient conscients de ce qu’ils avaient entre les mains et ce qu’ils en ont fait. Il est possible qu’ils aient vendu ces secrets ou pas. Ce qui est certain est qu’une très grande partie de ces attaques auraient pu être déjouées avec des systèmes mis à jour et des utilisateurs plus vigilants. En effet, il ne s’agit pas ici d’attaques très élaborées comme on peut en voir dans les conférences Black Hat ou les concours PWN2OWN et le fait que certaines aient duré des années est avant tout un témoignage accablant des mauvaises pratiques de certains administrateurs.
Une question que les médias ne soulèvent pas et qui est pourtant très importante à nos yeux et la question de la responsabilité civile ou pénale des administrateurs négligents qui avaient le pouvoir de repousser ou limiter ces attaques, mais qui ont laissé la porte grande ouverte. Le coupable est peut-être plus proche qu’on ne le pense.
http://www.presence-pc.com/actualite/Operation-Shady-RAT-44560/
Aucun commentaire:
Enregistrer un commentaire