[ad_1]

En décembre 2017, le ministère américain de la Justice a annoncé des actes d’accusation et des plaidoyers de culpabilité par trois hommes aux États-Unis responsables de la création et de l’utilisation de Mirai, une souche de logiciels malveillants qui asservit un « Internet des objets » ou des appareils IoT mal sécurisés comme des caméras de sécurité et la vidéo numérique. enregistreurs à utiliser dans les cyberattaques à grande échelle.

Le FBI et le DOJ ont été aidés dans leur enquête par de nombreux experts en sécurité, mais cet article se concentre sur un expert dont les recherches sur le Dark Web et ses divers malfaiteurs ont été particulièrement utiles dans cette affaire. Allison Nixon est directrice de la recherche sur la sécurité chez Flashpoint, une société de cyber-intelligence basée à New York. Nixon a longuement parlé avec BreachTrace de ses perspectives sur la sécurité de l’IoT et du rôle vital des forces de l’ordre dans cette lutte.

Meguetaoui Amine « MA » : Où en sommes-nous aujourd’hui par rapport à la sécurité IoT ? Sommes-nous mieux lotis qu’il y a un an, ou le problème est-il seulement pire?

Allison Nixon (AN): Dans certains aspects, nous sommes mieux lotis. Les arrestations qui ont eu lieu l’année dernière dans l’espace DDoS, je dirais que c’est un bon début, mais nous ne sommes pas encore tirés d’affaire et nous sommes loin de la fin de quoi que ce soit.

MA : Pourquoi pas ?

AN : En fin de compte, ce qui se passe avec ces botnets IoT est un crime. Les gens parlent de ces problèmes de cybersécurité – problèmes avec les appareils, etc. – mais en fin de compte, c’est du crime et les citoyens privés n’ont pas le pouvoir de faire arrêter ces mauvais acteurs.

MA : Il est certain que les professionnels de la sécurité comme vous et d’autres peuvent faire preuve de diligence pour suivre les pires acteurs et les machines criminelles qu’ils utilisent, et signaler ces systèmes lorsqu’il est avantageux de le faire ?

AN : C’est un argument juste. Je peux envoyer des plaintes d’abus aux serveurs utilisés à des fins malveillantes. Et les gens peuvent écrire des articles qui nomment des individus. Cependant, il s’agit toujours d’un type d’impact limité. J’ai vu des gens être nommés en public et au lieu d’arrêter, ce qu’ils font, c’est d’améliorer leur opsec [mesures de sécurité opérationnelle] et de continuer à faire la même chose, mais en plus sournois. Dans le secteur privé, nous pouvons faire échouer les choses, mais nous ne pouvons pas les arrêter de la manière permanente et sanctionnée que peuvent faire les forces de l’ordre. Nous n’avons pas vraiment ce genre de contrôle.

MA : Comment ne sommes-nous pas mieux lotis ?

AN : Je dirais qu’au fil du temps, la communauté qui pratique le DDoS et le piratage malveillant et ces attaques destructrices inutiles devient plus compétente techniquement lorsqu’elle exécute des attaques, et elle devient simplement un adversaire plus difficile.

MA : Un adversaire plus difficile ?

AN : Eh bien, si vous regardez les individus qui ont fait l’objet de l’annonce ce mois-ci, et que vous regardez dans leur passé, vous pouvez voir qu’ils sont actifs dans la communauté des hackers depuis longtemps. Litespeed [le surnom utilisé par Josiah White, l’un des hommes qui a plaidé coupable d’avoir créé Mirai] a été crédité de beaucoup de code. Il a eu des années pour se développer et pour autant que je sache, il n’a pas cessé de faire des activités criminelles jusqu’à ce qu’il soit arrêté par les forces de l’ordre.

MA : Il me semble que les auteurs de Mirai n’auraient probablement pas été pris s’ils n’avaient jamais publié le code source de leur logiciel malveillant. Ils ont dit qu’ils le faisaient parce que plusieurs agences d’application de la loi et chercheurs en sécurité étaient sur leurs traces et qu’ils ne voulaient pas être les seuls à détenir le code source lorsque les flics se présenteraient à leur porte. Mais si c’était vraiment leur objectif en le publiant, cela semble avoir eu l’effet exactement opposé. Quelle est votre opinion là-dessus?

AN : Vous avez absolument raison à 100 millions de pour cent. S’ils fermaient tout et partaient, ils iraient bien maintenant. Le fait qu’ils aient vidé la source a été une sorte de point de basculement. Les dommages qu’ils ont causés à ce moment-là étaient énormes, mais lorsqu’ils ont vidé le code source, la quantité de dommages que leurs actions ont contribué à gonfler [en raison de la prolifération des botnets Mirai imitateurs]. Les accusations portées contre eux précisaient leurs actions en infectant les machines qu’ils contrôlaient, mais quand il s’agit de ce qui intéressait les chercheurs du secteur privé, le moment où ils ont vidé le code source – c’est l’acte le plus nuisible qu’ils aient fait de toute l’affaire.

MA : Croyez-vous leur prétendue raison de publier le code ?

AN : Je le crois. Ils ont affirmé l’avoir publié parce qu’ils voulaient entraver les efforts d’enquête pour les retrouver. Le problème est que non seulement c’est incorrect, mais cela ne prend pas non plus en compte les chercheurs à l’autre bout du spectre qui doivent choisir parmi de nombreuses cibles pour passer leur temps à les regarder. La publication du code source a radicalement changé cela. C’était comme de l’herbe à chat pour les chercheurs, et c’était juste une chose nouvelle pour les chercheurs à regarder et à jouer avec et à se demander qui l’a écrit.

S’ils voulaient vraiment rester à l’écart des radars des forces de l’ordre, ils seraient aussi discrets que possible et ne seraient pas intéressants. Mais ils ont tout fait de travers : ils ont vidé le code source et attaqué un chercheur en sécurité en utilisant des outils intéressants pour les chercheurs en sécurité. C’est comme attaquer un chien avec un steak. Je vais agiter ce gros steak juteux à un chien et ça lui apprendra. Ils ont fait toutes les erreurs dans le livre.

MA : Qu’est-ce que tu penses qu’il y a chez ces gars qui les amènent à ce genre de comportement ? Est-ce juste une sorte d’inertie qui les conduit inexorablement sur une pente glissante s’ils n’ont pas une sorte d’intervention ?

AN : Ces personnes suivent un chemin de vie qui ne les mène pas à un gagne-pain légitime. Ils continuent à faire cela et s’améliorent et ils commencent à faire ces choses qui peuvent vraiment menacer Internet dans son ensemble. Dans le cas de ces botnets DDoS, il est inquiétant que ces individus soient autorisés à aller aussi loin avant que les forces de l’ordre ne les attrapent.

MA : Il y a eu un récit qui a été beaucoup joué récemment, et il a été raconté par un justicier Internet autoproclamé qui se fait appeler « le concierge ». Il a affirmé avoir trouvé des exploits zero-day dans les appareils IoT afin de pouvoir arrêter les objets IoT non sécurisés qui ne peuvent pas vraiment être sécurisés avant ou peut-être même après avoir été compromis par des menaces IoT comme Mirai. Le concierge dit qu’il a publié un tas de son code parce qu’il est fatigué d’être le super-héros non reconnu qu’il est, et beaucoup dans les médias semblent avoir mangé cela et pris son manifeste comme évangile. Que pensez-vous du Janitor et de son soi-disant projet de « robot briqueteur » ?

AN : Je dois réfléchir à comment choisir mes mots, car je ne veux pas donner de mauvaises idées à qui que ce soit. Mais une chose à garder à l’esprit est que sa méthode de briquetage des appareils IoT ne fonctionne pas et qu’elle aggrave potentiellement le problème.

MA : Qu’est-ce que tu veux dire exactement ?

AN : La raison en est que parfois un malware IoT comme Mirai essaie de fermer la porte derrière lui, en plantant le processus telnet qui a été utilisé pour infecter l’appareil [après l’installation réussie du malware]. Cela peut empêcher d’autres logiciels malveillants basés sur telnet d’accéder à la machine. Et il y a beaucoup de choses de ce type dans l’écosystème IoT en ce moment.

Mais ce que fait [ce bot de briqueteur] malware, c’est souvent qu’il redémarre une machine, et lorsque l’appareil est dans cet état, le service telnet vulnérable remonte. Auparavant, de nombreux appareils étaient infectés par le tout premier Mirai, et lorsque le [centre de contrôle] de ce botnet est tombé en panne, ils sont devenus orphelins. Nous avons eu un tas d’infections Mirai qui nous téléphonaient de nulle part. Il y a donc un risque réel de prendre la machine qui était dans cet état bizarre et de la rendre à nouveau vulnérable.

MA : Hum. C’est une histoire très différente de celle racontée par l’auteur du bot Bricker. Selon lui, il a passé plusieurs années de sa vie à sauver le monde d’un certain destin aux mains des appareils IoT. Il s’est même attribué le mérite d’avoir déjoué les attaques de la Mirai contre Deutsche Telekom. Serait-ce simplement un cas de chercheur exagérant ses réalisations ? Pensez-vous que son code de bot Bricker s’est jamais vraiment répandu aussi loin ?

AN: Je n’ai aucune preuve qu’il y ait eu une exploitation massive par Bricker bot. Je sais que son code a été publié. Mais quand je parle à quiconque gère un pot de miel IoT [une collection d’appareils IoT virtuels ou vulnérables conçus pour attirer et enregistrer de nouvelles attaques contre les appareils], ils ne l’ont jamais vu. Le consensus est que, quelle que soit l’opinion des gens à ce sujet, nous ne l’avons pas vu dans nos pots de miel. Et compte tenu de la diversité des pots de miel IoT qui existent aujourd’hui, s’il existait dans la vraie vie, nous l’aurions déjà vu.

MA: Beaucoup de gens pensent que nous nous concentrons sur les mauvaises solutions à la sécurité de l’IoT – que le fait que les consommateurs verrouillent les appareils IoT en termes de sécurité ou s’attendent à ce que les forces de l’ordre résolvent ce problème pour nous sont pour moi des idées pollyannish qui, dans tous les cas ne vous attaquez pas à la cause première : à savoir qu’il existe de nombreuses entreprises produisant des produits IoT merdiques qui n’ont pratiquement aucune sécurité. Quelle est votre opinion?

AN : La façon dont j’aborde ce problème est que je considère l’application de la loi comme le but ultime de tous ces efforts. Lorsque je regarde l’activité DDoS IoT et les êtres humains qui le font, la grande majorité des attaques Mirai, des infrastructures d’attaque, des variantes de logiciels malveillants et des nouveaux exploits proviennent d’une grande minorité de personnes qui le font. Cela dit, la façon dont je perçois l’écosystème souterrain est probablement différente de la façon dont la plupart des gens le perçoivent.

MA : Quelle est la perception populaire, pensez-vous ?

AN: C’est ça, « Oh hé, un gars a été arrêté, super, mais un autre gars va juste prendre sa place. » Les gens le comparent à un trafiquant de drogue au coin de la rue, mais je ne pense pas que ce soit exact dans ce cas. La différence est que lorsque vous envisagez des campagnes de piratage criminel avancées, il n’y a généralement pas de remplaçant qui attend dans les coulisses. Ce sont des compétences incroyablement profondes développées au fil des ans. Les personnes qui innovent dans les attaques DDoS et celles qui font avancer le domaine sont en fait très peu nombreuses. Ainsi, lorsque vous pouvez les identifier et associer un comportement à l’agresseur, vous réalisez qu’il n’y a qu’une douzaine de personnes dont je dois me soucier et le monde devient soudainement beaucoup plus petit.

MA : Pensez-vous donc que les efforts pour obliger les fabricants à durcir leurs produits sont une perte de temps ?

AN : Je veux qu’il soit clair que toutes ces différentes façons d’aborder le problème… Je ne veux pas dire qu’une est plus importante que l’autre. Il se trouve que je travaillais sur un élément de celui-ci. Il y a certainement beaucoup de désaccord à ce sujet. Je reconnais totalement que c’est une approche légitime. Beaucoup de gens pensent que la voie à suivre consiste à s’assurer que les appareils sont sécurisés. Et des efforts sont en cours pour aider les fabricants d’appareils à créer des appareils plus sécurisés qui résistent mieux à ces efforts.

Et beaucoup de choses changent, bien que lentement. Vous souvenez-vous de l’époque où vous avez acheté un routeur Wi-Fi et qu’il était ouvert par défaut ? Parce que l’utilisateur final était obligé de changer le mot de passe par défaut, nous avions des réseaux Wi-Fi ouverts partout. Au fil des années, de nombreux fabricants ont commencé à les rendre plus sûrs. Par exemple, bon nombre de ces appareils ont maintenant des clients qui se réfèrent à un autocollant sur la machine qui a un mot de passe Wi-Fi unique. Ce type de changement peut être un exemple de ce que nous pouvons voir dans l’avenir de la sécurité IoT.

MA : À la suite des énormes attaques de Mirai en 2016 et 2017, plusieurs législateurs ont proposé des solutions. Que pensez-vous de l’idée que peu importe les lois que nous adoptons aux États-Unis qui pourraient exiger plus de sécurité de la part des fabricants d’IdO, que ces fabricants vont continuer à ignorer les meilleures pratiques en matière de sécurité ?

AN : Il est facile d’être cynique à ce sujet et beaucoup de gens ont vraiment l’impression que ces entreprises ne vendent pas directement aux États-Unis et ne se soucient donc pas de ces efforts. Peut-être qu’à court terme, cela pourrait être vrai, mais à long terme, je pense que cela finit par les mordre s’ils continuent de ne pas s’en soucier.

En fin de compte, ces choses vous rattrapent si vous avez la réputation de fabriquer un produit médiocre. Et si vous aviez la réputation de fabriquer un appareil qui, si vous le mettiez sur Internet, redémarrerait toutes les cinq minutes parce qu’il est attaqué ? Même si nous édictions des exigences de sécurité pour l’IdO que les fabricants non américains n’auraient pas à respecter, il serait toujours dans leur intérêt de s’en soucier, car ils s’en soucieront tôt ou tard.

MA : J’étais en conférence téléphonique avec d’autres journalistes du ministère de la Justice le jour où ils ont annoncé les arrestations et les plaidoyers de culpabilité de l’auteur de Mirai, et quelqu’un a demandé pourquoi cette affaire avait été poursuivie en Alaska. La réponse qui est revenue était qu’un grand nombre des machines infectées par Mirai se trouvaient en Alaska. Mais il semble plus probable que c’était parce qu’il y avait un agent du FBI là-bas qui a décidé qu’il s’agissait d’une affaire importante mais qui a en fait eu beaucoup de mal à trouver suffisamment de systèmes infectés pour atteindre le seuil nécessaire pour poursuivre l’affaire. Quelle est votre lecture là-dessus ?

AN : Je pense que cette affaire va probablement créer un précédent en termes de procédures et de processus utilisés pour lutter contre la cybercriminalité. Je suis sûr que vous avez fini de lire l’article de The Wired sur l’enquête de l’Alaska sur Mirai : il détaille certaines des choses difficiles que le bureau extérieur du FBI de l’Alaska a dû faire pour satisfaire aux exigences légales pour prendre l’affaire. Juste pour prouver qu’ils étaient compétents, ils devaient trouver un certain nombre de machines infectées en Alaska.

Ceux-ci n’étaient pas faciles à trouver, et en fait le FBI a voyagé très loin pour trouver ces machines en Alaska. Il existe toutes sortes d’obstacles, grands et petits, qui ralentissent le processus judiciaire pour poursuivre des affaires comme celle-ci, dont certaines sont légitimes et d’autres qui, je pense, finiront par être rationalisées après une affaire comme celle-ci. Et chaque fois qu’une affaire réussie comme celle-ci aboutit [à un plaidoyer de culpabilité], cela rend plus possible la réussite des affaires futures.

Ce groupe [qui a fait l’objet de l’enquête Mirai] était le pire des pires dans cette zone problématique. Et en ce moment, c’est une énorme victoire pour les forces de l’ordre d’éliminer un groupe qui est le pire des pires dans un domaine problématique. Espérons que cela conduira au démantèlement de nombreux groupes causant des dommages et faisant du mal aux gens.

Mais le concept selon lequel pour que les cybercriminels attirent l’attention des forces de l’ordre, ils doivent faire la une des journaux internationaux et causer des dommages massifs doit changer. La plupart des cybercriminels pensent probablement que ce qu’ils font, personne ne le remarquera, et dans un sens, ils ont raison car il y a tellement d’activités criminelles évidentes liées de manière flagrante à des individus spécifiques. Et cela doit changer.

MA : Y a-t-il quelque chose dont nous n’avons pas parlé concernant la sécurité de l’IdO, les enquêtes des forces de l’ordre sur Mirai ou toute autre chose que vous aimeriez ajouter ?

AN : Je tiens à exprimer ma gratitude aux personnes du secteur de la sécurité et à la communauté des opérateurs de réseau qui ont reconnu très tôt la gravité de cette menace. Il y a beaucoup de gens qui n’ont pas été nommés [dans les histoires et les communiqués de presse des forces de l’ordre sur les arrestations de Mirai], et qui veulent dire merci pour toute l’aide. Cela n’aurait pas pu arriver sans vous.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *