Étiquettes des archives : malwares

Le darwinisme dans la sécurité informatique, Partie 3 : l’heure de s’occuper des parasites

Salut tout le monde !

Encore un article sur la théorie du plus apte appliquée au monde de la sécurité informatique. Je n’avais pas prévu une trilogie… Ça m’est venu comme ça. Comme une sorte de…

…Une sorte de.., eh bien, le problème des parasites dans le domaine de la sécurité informatique, dont je vais parler aujourd’hui, est un thème auquel je pense depuis plusieurs années. Ce discours sur le darwinisme semblait être la parfaite opportunité pour finalement m’exprimer en toute liberté. Vous allez comprendre ce que je veux dire …

Aujourd’hui mes amis : il s’agit des parasites. Pas ceux contre lesquels nous luttons (les « vrais » méchants) ; mais ceux qui clament aussi lutter contre les hackers (une question philosophique : qu’est ce qui est pire ? :).

De nos jours l’industrie informatique se développe à vitesse grand V. Il y seulement 10-15 ans, les thèmes majeurs se cantonnaient aux antivirus d’ordinateurs de bureaux, aux pare-feux et aux sauvegardes, aujourd’hui il existe des nouvelles solutions de sécurité en masse, ainsi que des nouvelles approches et idées. Parfois, on arrive à prendre une longueur d’avance ; parfois on a du rattrapage à faire. Et il arrive d’autres fois où on tombe des nues. Pas à cause de nouvelles technologies, d’innovations ou de nouvelles idées, mais de l’effronterie assumée et de l’attitude sans scrupules de nos collègues dans l’industrie de la sécurité.

Mais premièrement, laissez-moi vous expliquer comment les évènements se sont déroulés.

Il existe un service très utile, un analyseur de fichiers appelé VirusTotal. Il rassemble près de 60 moteurs antivirus, qu’il utilise pour analyser des fichiers et des URL que les utilisateurs lui envoient pour détecter des malwares et ensuite rendre son verdict.

Exemple : Joe Bloggs découvre une application ou un document suspects sur un disque dur/une clé USB/Internet. Le propre logiciel antivirus de Joe ne signale pas la présence d’un virus. Seulement Joe est le genre de type paranoïaque, il souhaite réellement s’en assurer. Par conséquent, il se rend sur le site de VirusTotal, qui ne dispose pas d’une seule solution antivirus mais d’environ 60. C’est aussi gratuit, ça va de soi. Joe télécharge donc le fichier sur VirusTotal et obtient des informations instantanées sur ce que les différents antivirus en déduisent.

Premièrement, pour clarifier : les gens de VirusTotal et ceux de Google (qui a racheté VirusTotal) sont tous les deux fermement du côté des « mecs bien ». Ils n’ont aucun lien avec les parasites. VirusTotal est dirigé par une équipe très professionnelle, qui depuis des années a accompli son travail de manière extrêmement efficace. (Pas encore convaincus ? Et si je vous dis que VirusTotal a remporté le prix MVP l’année dernière au Security Analyst Summit (SAS) ?) Aujourd’hui, VirusTotal s’est imposé comme un des plus importantes détecteurs d’échantillons de malwares et d’URL malveillantes, et c’est aussi un merveilleux outil archéologique pour détecter des attaques ciblées.

Le problème se trouve avec une poignée d’utilisateurs louches de l’analyseur de fichiers, qui, hélas, deviennent avec audace de plus en plus effrontés dans leur comportement. En lire plus :Le darwinisme dans la sécurité informatique, Partie 3 : l’heure de s’occuper des parasites

Par-delà le bien et le mal ?

Il y a quelques jours, Microsoft a lancé une offensive d’ampleur contre le dynamic DNS du fournisseur No-IP. Bilan : vingt-deux de ses domaines ont été saisis.  Les gars de Redmond ont affirmé qu’ils avaient de bonnes raisons de le faire. D’abord, No-IP héberge une multitude de différents malwares, ainsi que de nombreux hackers. Ensuite, il est constamment la cible de cyberattaques, et refuse malgré cela de s’allier à d’autres quand il s’agit d’éradiquer tous ces méchants.

Comme dans la plupart des conflits, chaque camp se renvoie la balle et excelle dans la tactique du  » ce n’est pas de ma faute  » et de  » c’est lui qui a commencé ! ».

C’est surtout le cas pour No-IP, qui  affirme suivre une ligne de conduite irréprochable et toujours être disposé à coopérer quand il s’agit de lutter contre  les cybercriminels. Quant aux clients, ils sont très contrariés par le raid, qu’ils considèrent comme injustifié, surtout contre une compagnie comme No-IP, qui exerce dans la légalité. Ils trouvent aussi insensé que le fournisseur soit face à la justice alors qu’on trouve des malware pratiquement partout.

Est-ce légal de fermer une entreprise parce qu’on y a trouvé un  #virus… ? On en trouve pourtant partout, non ?Tweet

Entre temps, les objectifs fixés pour le raid ont largement été atteints : plus de 4 millions de sites ont été désactivés (certains nuisibles, d’autres non) ce qui a affecté 1.8 millions d’internautes. Microsoft essaie de séparer le bon grain de l’ivraie et s’applique à réactiver les sites inoffensifs. Malgré cela, de nombreux utilisateurs continuent à se plaindre de la perturbation qui concerne encore plusieurs sites.

Chercher à savoir qui est le vrai coupable serait une mission ingrate et désespérée. Je vais laisser les journalistes faire leur travail, et vais plutôt vous donner matière à réfléchir. En se basant uniquement sur des faits et des données chiffrées, on pourra peut-être tirer nos propres conclusions quant à la légalité et l’éthique des actions menées par Microsoft.

1) La saisie de 22 domaines de No-IP a affecté l’activité d’environ 25% des attaques répertoriées chez nous à KL. Et cela représente des centaines d’opérations d’espionnage et de cyberattaques qui ont eu lieu au cours des trois dernières années. Environ un quart d’entre eux possède un centre de contrôle et de commande chez cet hébergeur. Par exemple, des groupes de hackers comme les Syrian Electronic Army et les Gaza Team n’utilisent que No-IP alors que Turla utilise 90% de ses hébergeurs.

2) Il est vrai que, des principaux fournisseurs, No-IP dynamic DNS était le moins disposé à coopérer. Par exemple, ils ont ignoré tous nos mails au sujet des botnets.

3) Nos recherches indiquent que les pirates passent souvent par No-IP pour le pirater les centres de contrôle  et de commande. Une simple recherche via le scanner de Virustotal suffit à le confirmer : 4.5 millions échantillons de malware inédits viennent de No-IP.

4) Pourtant les derniers données enregistrées par notre sécurité de cloud (KSN) révèlent que les choses ne sont pas si simples. Voici un récapitulatif des différentes  cyberattaques enregistrées sur les principaux fournisseurs de  dynamic DNS :

Services % d’hébergeurs malveillants Nombre de detections (en une semaine)
000webhost.com 89.47% 18,163
changeip.com 39.47% 89,742
dnsdynamic.org 37.04% 756
sitelutions.com 36.84% 199
no-ip.com 27.50% 29,382
dtdns.com 17.65% 14
dyn.com 11.51% 2321
smartdots.com 0.00% 0
oray.com 0.00% 0
dnserver.com 0.00% 0

Comme vous pouvez le constater, No-IP n’est pas en tête de liste, ce n’est donc pas lui qui comptabilise le plus grand nombre d’attaques, même si les pourcentages enregistrés restent élevés.

Autre point de comparaison : le % d’hébergeurs dont les noms de domaines terminent par .com représente 0.03%, ceux terminant par.ru 0.39% alors que ceux de No-IP représentent 27.5% !

Et voici d’autres données pour nuancer les choses : en une semaine,  on a comptabilisé environ 30 000 domaines de malware sur No-IP, alors que cette même semaine on a enregistré 429 000 détections chez l’un des domaines les plus malicieux parmi les .com, ce qui représente 14 fois plus que chez No-IP. Ensuite, le 10ème domaine le plus infecté des .ru a généré 146 000 détections, c’est-à-dire presque autant que les dix premiers fournisseurs de DNS dynamics  réunis.

Pour résumer:

D’un côté, le blocage de sites populaires consultés par des centaines, si ce n’est des milliers d’internautes, ce n’est pas bien. D’un autre côté, fermer des endroits propices au développement de malwares c’est juste, et noble.

Attaquer les domaines de No-IP. Est-ce bien ou mal ? Ambiguïté avec un grand A.Tweet

Puis les mathématiciens ont fait l’avocat du diable en avançant que :

Quantitativement, la fermeture de tous les domaines de No-IP n’est pas plus efficace pour lutter contre la distribution de malware que la fermeture d’un des plus puissants domaines de malware dans une zone populaire comme i.e., .com, .net ou même .ru. Pour faire simple, même si vous étiez sur le point de fermer tous les fournisseurs de dynamic DNS, Internet ne serait pas encore assez propre pour qu’on puisse faire la différence.

Donc la voilà l’ambiguïté avec un grand A.

Cela permet à chacun de se sentir juste et honnête, par rapport à des choses qui sont loin d’être neutres dans cette affaire. Et quand il s’agit de différencier le bien du mal, ce qui est juste de ce qui ne l’est pas, même Nietzsche s’y perd.

Pourtant, certaines pensées resurgissent …

C’est évident que tant que la quantité de pirates ou le degré de criminalité dépassera un certain seuil, les ‘autorités’ commenceront subitement à fermer des services, et à ignorer les lois concernant les libertés sur Internet et la liberté d’entreprendre. Les choses sont comme ça, une règle de vie dans nos sociétés : Si ça colle, il faudra tôt ou tard le nettoyer.

La liste des sites bloqués est déjà relativement longue : Napster, KaZaA, eMule, Pirate Bay et bien d’autres. Depuis No-IP a été ajouté à la liste.

À qui le tour?

// Bitcoin? Cela a déjà commencé.

Flickr photostream

  • KLHQ
  • KLHQ
  • KLHQ
  • KLHQ

Instagram photostream

Cybernouvelles du côté obscur – 26 mai 2014

Bonjour tout le monde!

Il me semble que ça fait un moment que je n’ai pas abordé de thématique liée à la cybercriminalité sur ce blog – ce qui est branché, ce qui l’est moins et ainsi de suite. Vous pensez même peut-être que je suis là à me tourner les pouces, et que je traite des sujets, disons un peu plus…existentiels.

D’abord, soyez assuré que nous sommes au courant de TOUT ce qui se passe dans la cyberjungle ; mais c’est que nous publions déjà une tonne d’information détaillée et technique sur d’autres plateformes d’informations.

Le seul problème, c’est que peu de gens finissent par lire ces fameux articles. C’est compréhensible : les détails peuvent être un peu ennuyants, spécialement pour les non-initiés. Mais ce n’est pas une raison pour ne rien publier à ce sujet, loin de là. Ici, sur ce blog, je ne veux pas importuner les lecteurs avec trop d’infos technologiques. J’aborde les anecdotes bizarres, amusantes, les cybernouvelles les plus croustillantes, de partout dans le monde.

Donc, que s’est-il passé de bizarre, de divertissant et d’amusant la semaine dernière ?

 » Il m’a frappé !  »  » Non, c’est lui qui a commencé ! »

Les péripéties entourant le cyberespionnage entre la Chine et les États-Unis ont pris un nouveau virage.

Cette fois-ci, les États-Unis s’en sont pris directement à la Chine. Le nom et la photo de cinq spécialistes militaires chinois ont fait la une d’une affiche du FBI digne des westerns d’antan. Les individus sont accusés d’avoir pénétré dans les réseaux de compagnies Étasuniennes pour y voler des informations secrètes.

En lire plus :Cybernouvelles du côté obscur – 26 mai 2014