Rançon-as-a-Service : quand la cyber-criminalité se plateformise

La figure du hacker isolé devant son ordinateur s'estompe pour laisser place à une véritable palette d'outils de piratage accessibles en ligne et payables à l'usage #152

Chaque semaine, le regard 15marches pour distinguer le signal du bruit et passer de l'idée à l'action.

👨‍🚀 Tous les mardis, Stéphane décrypte l’impact de la transformation numérique sur l'économie et la société. Vous y êtes, installez-vous confortablement. Abonnez-vous si vous souhaitez recevoir cette lettre chaque semaine dans votre boîte mail.

👩🏻‍🚀 *Tous les jeudis, Noémie raconte *les futurs possibles* en fiction.

💌 Vous et moi

Attention gros danger d’ultracrépidarianisme (c’est quoi ?) cette semaine car, autant vous le dire d’entrée, installer un antivirus représente l’essentiel de mes compétences en cyber-sécurité.

Et pourtant, une série d’articles m’ont tapé dans l’oeil récemment. Ils concernent le même évènement : le piratage d’un pipeline géant américain par des individus regroupés sous l’appellation Dark Side. Ce qui m’a intéressé n’est pas tant la multiplication de ces actes ou la sophistication des logiciels, mais l’organisation derrière ces attaques. J’en étais resté à la figure du hacker à capuche le visage dans la pénombre, et me voilà projeté dans une véritable “architecture orientée services” utilisée à la demande par de multiples acteurs. Une plateforme d’applications accessibles en ligne et permettant de construire brique par brique des services plus ou moins automatisés de piratage et d’extorsion. Vous découvrirez également l’approche “marketing” et les techniques de négociations “commerciales” utilisées qui sont tout aussi troublantes. Quand le monde “sombre” s’inspire des plateformes numériques, c’est le sujet de la semaine.

Côté sombre toujours, nous verrons comment se développent des applis “grises” pour aider les chauffeurs-livreurs à battre les algorithmes des plateformes, et nous ferons un tour en 3D dans les catacombes.

Si vous avez apprécié cette lettre, vous pouvez nous laisser un 💙

🎯 Cette semaine

Un sujet qui nous a marqué.

Dans le chapitre “Pourquoi les dealers vivent-ils encore chez leur maman ?”, les auteurs de l’excellent Freakonomics (2007) nous entraînaient dans l’analyse détaillée des comptes d’un caïd de la drogue, suite à une mésaventure bien réelle vécue par un chercheur en sociologie. Le système comparait les chefs de bandes à des responsables de franchise, dont le livre détaillait l’organisation, les responsabilités et les revenus jusqu’au moindre dollar. Derrière l’image du “méchant dealer”, une organisation finalement très classique où la valeur est distribuée de manière ultra organisée et rigoureuse.

C’est à peu près la même impression que m’a faite la description 14 ans plus tard de l’organisation mise en place par les pirates (je ne sais jamais quel mot utiliser) qui pratiquent l’extorsion de fonds en piratant les données et systèmes d’entreprises ou de services publics. Bien entendu je suis conscient que ces articles sont écrits par des sociétés de sécurité et qu’elles ont certainement romancé les faits pour ajouter de l’intérêt au récit. Mais tout de même : la ressemblance entre le monde “sombre” et ce qui se passe dans la “vraie vie” des affaires et du logiciel grand public est frappante. Les plateformes dévorent le monde, même le plus secret.

Quelle est donc cette organisation ?

Tout d’abord le groupe d’individus malveillants (je ne sais toujours pas comment les appeler) qui se nomme Darkside diffuse ce qui ressemble à des publicités sur des forums hébergés sur le Darkweb (ne les cherchez pas sur Google). Ces publicités incitent à rejoindre l’organisation pour créer un modèle de partenariat as-a-service. Concrètement il s’agit de produire des fonctionnalités accessibles en ligne pour attirer de nouveaux associés. Pas besoin de se connaître, ni même de communiquer. Il suffit de se connecter et payer à l’usage. Exemple de fonctionnalité accessibles : des nouvelles versions de malwares, des systèmes d’encryption, des tutoriaux pour mener des attaques DDOS, des accès déjà installés dans des systèmes stratégiques.

Photo : Markus Spiske pour Unsplash

Car, vous ne le savez peut-être pas, les attaques se passent très souvent en plusieurs étapes qui peuvent être déclenchées à des moments différents. Votre ordinateur est peut-être déjà “infecté” d’un logiciel qui permettra, le moment venu, de récupérer ses données ou, plus sûrement, de l’utiliser pour mener une action coordonnée contre un autre système. Cette action permettra qui de récupérer des données, qui de bloquer ou carrément détruire des fonctions de la cible. Sans que vous en soyez au courant bien entendu. Et le tout grâce aux produits accessibles en ligne et payés à l’usage. “Produits” qui font donc l’objet de publicité sur les sites des organisations, qui en perçoivent les recettes. L’extorsion est un business comme les autres…

Pour entrer dans les ordinateurs, de nombreuses techniques existent. Sachez simplement que celles qui consistent à “forcer brutalement” vos codes d’accès avec des robots ne sont pas les seules. Les techniques plus soft consistant à vous faire vous-même ouvrir la porte (en cliquant volontairement sur un le lien de téléchargement camouflé dans un autre lien) marchent aussi très bien. Là encore le “kit de développement” à la demande prévoit l’accès à des robots de spam, des robots qui forcent les mots de passe, ou plus prosaïquement la revente d’accès déjà ouverts par d’autres pirates. Pour votre complète information, les “antidotes” permettant de refermer les brèches ouvertes sont également en vente (car un train peut en cacher un autre). On se croirait chez Amazon Web Services.

Si vous êtes la victime choisie, les pirates peuvent aller plus loin et s’en prendre à vos données. Imaginez par exemple que vous êtes un cabinet d’avocat et que vos compte-rendus de réunions avec vos clients sont sur vos serveurs….Les données copiées sont hébergées dans des sites sécurisés (l’article parle de bullet proof hosting) en attendant leur destinée. Les données originales sont elles encryptées par les pirates, ce qui les rend inutilisables sans le remède qui, lui, est à vendre, par les pirates ce coup ci.

Éventuellement un ou plusieurs autres acteurs pourront lancer d’autres attaques simultanées histoire de faire diversion et monopoliser l’attention des responsables informatiques de la victime.

Reste ensuite à convaincre les victimes de payer.

Dans le cas du pipeline américain, l’équipe semble avoir utilisé une technique de négociation assez classique (voir les échanges publiés plus bas). Elle informe d’abord la victime de la situation : une copie des données a été mise en lieu sûr, les autres sont inutilisables, certains systèmes sont bloqués. Pour pouvoir les récupérer, la victime devra payer une somme conséquente qui permettra leur “désencryptage” (l’envoi d’une clé). À signaler que les montants demandés sont calculés précisément par rapport aux comptes de l’entreprise, qui ont évidemment été eux aussi piratés. L’approche marketing est très présente dans la négociation : la victime est invitée à profiter d’un “tarif exceptionnel” en se décidant au plus tôt, tarif qui augmentera ensuite très rapidement. Les négociations vont bon train entre le représentant de la victime et celui de l’équipe de pirates. À signaler que là aussi existent des services de “relances automatiques” qui fonctionnent comme des call centers à la demande. Ils sont aussi activés pour envoyer des emails aux clients de la victime, histoire de faire monter la pression…Les développeurs adorent automatiser, ne l’oublions pas.

Si la victime consent à payer, son tourment n’est pas terminé pour autant. Elle doit en effet payer une nouvelle somme pour que le pirate détruise la version des données qu’il possède. Il ne faudrait pas qu’un autre pirate puisse les lui voler et recommencer tout à zéro n’est-ce pas ? Parfois on a même vu le pirate donner des conseils de sécurité à sa victime afin qu’elle ne se refasse pas voler à nouveau. Certains pirates aiment d’ailleurs se présenter comme des consultants qui rendent service à leur victime en leur évitant des déconvenues plus graves. Ben voyons.

Mais si la victime refuse de payer, les pirates activent un “shame wall” (mur de la honte), qui expose au grand jour les données dérobées, ou du moins les plus sensibles. Rien ne paraît trop cruel pour des pirates qui rappelons-le ont aussi neutralisé les moyens de communication de la victime et prévenu ses clients. Rien ? Apparemment, certains pirates dans le cas de Dark Side semblent avoir des cas de conscience. Ils affirment sur leur blog faire don d’une partie de leur butin à des associations humanitaires (j’avais oublié qu’ils ont un blog “public”, et bien entendu un circuit de récupération et blanchiment de l’argent en crypto-monnaie).

Ces tentatives de faire des Public Relations n’ont apparemment pas suffi dans l’affaire du Pipeline Colonial. Sans doute agacées par la hausse des prix du carburant due à la mise hors service du pipeline, les autorités américaines ont sifflé la fin de la récré. Argent saisi, serveurs inactivés. 6 jours seulement et s’en est fini de ce piratage, du moins en apparence. Comme dans les négociations avec les terroristes, on ne saura sans doute jamais ce qu’il s’est réellement passé.

Soyons certains que les outils, services en ligne et autre kits de développement du crime seront remis en service ailleurs, et encore pour longtemps. Le piratage est passé à l’échelle.

🧐 Et aussi

Des ressources utiles en lien avec le sujet traité cette semaine.

L’analyse du système Dark Side A Closer Look at the DarkSide Ransomware Gang

Le récit détaillé de l’attaque et les tentatives de “compensations humanitaires” de l’organisation Here’s what we know about DarkSide ransomware

La fin de partie pour Darkside DarkSide Ransomware Gang Quits After Servers, Bitcoin Stash Seized

Pour comprendre la logique des rançonneurs Qui se cache derrière les ransomwares ?

Pour comprendre ce qu’est une architecture orientée services, par votre serviteur : l’exemple d’Amazon. Amazon, l’empire invisible.

Un bel article sur la “profession” de hacker, qui décrit bien le parcours qu’empruntent certains entre piratage et sociétés de protection. Entre le Mal et le Bien. The Confessions of Marcus Hutchins, the Hacker Who Saved the Internet

Comment quelques lignes de code (l’équivalent d’un gif) peuvent détruire un générateur d’énergie How 30 Lines of Code Blew Up a 27-Ton Generator

Et enfin : Pourquoi les dealers vivent-ils chez leur maman ? Une émission de France Culture sur le livre Freakonomics

🤩 On a aimé

Notre veille de la semaine, en vrac et commentée.

On parle souvent ici des astuces mises en place par les chauffeurs de VTC ou les livreurs pour “jouer avec l’algorithme”. Maintenant ils ont droit eux aussi à leurs applications pour y arriver. Elles peuvent aider à tromper l’app officielle, simplement corriger des bugs ou améliorer l’usage par des personnes en difficulté avec l’app traditionnelle. Delivery Drivers Are Using Grey Market Apps to Make Their Jobs Suck Less

Saviez-vous que le dernier téléphone avec une pomme dessus est équipé d’un lidar ? Il permet de faire d’étonnantes “cartes” en 3 dimensions. Ici les catacombes de Paris. Perdez-vous dans cette époustouflante modélisation 3D des catacombes de Paris

Les prises de vue du périple souterrain sont ici. Scanning the catacombes

Ils sont fous ces anglais : dans l’équivalent de l’IGN britannique existe un poste de Responsable des Jeux. Car l’organisation collabore avec des fabricants de jeux vidéos. J’en connais beaucoup qui se damneraient pour avoir ce job ! Ordnance Survey : meet Mike Hawkyar

C’est fini pour aujourd’hui.
On se retrouve dès jeudi pour la newsletter des Récits du Futur de Noémie. Je m’abonne

Stéphane

Si vous avez apprécié cette lettre, vous pouvez nous laisser un 💙