Les
combattants de la sécurité

Une véritable guerre se déroule actuellement sur nos réseaux. Et les experts en sécurité du monde entier sont en première ligne. Découvrez comment notre équipe de spécialistes a réussi à enrayer l'une des plus importantes menaces de ces dernières années.

Par Eric Adams
Photographie par Kenny Braun

Pour Matt Olney (photo ci-dessus), expert en sécurité, ce samedi après-midi de 2015 se présentait comme à l'ordinaire. Mais la suite des événements allait prouver le contraire. Dans sa maison du Maryland, assis sur son canapé, ordinateur sur les genoux, il s'adonnait à sa passion : la lutte sans fin contre les cybercriminels.

« Matt Olney fait partie de l’équipe Cisco Talos composée de plus de 250 personnes, notre équipe d’experts en sécurité qui lutte chaque jour contre les hackers afin de défendre les réseaux du monde entier contre des cyberattaques en constante évolution. »

Ce samedi, donc, Olney mit en place un « honeypot », un serveur en apparence inoffensif destiné à attirer les éventuels hackers grâce à des mots de passe peu sécurisés et des correctifs de sécurité obsolètes. Pour masquer davantage ses intentions, il fit comme si le serveur était situé à Singapour.

Vous serez peut-être surpris d'apprendre qu'Olney, comme la plupart de ses collègues de Talos, aime travailler le week-end. « Je ne m'y sens pas contraint », déclare-t-il. «Les cybercriminels ne se reposent jamais. Pourquoi le ferions-nous ? »

Talos analyse environ 1,5 million de programmes malveillants par jour et aide à stopper près de 7 200 milliards d'attaques par an. Pour y parvenir, l'équipe gère le réseau de détection le plus important au monde. Ce réseau s'appuie sur des techniques de détection et de prévention de pointe, conçues pour repérer et évaluer les dernières tendances en matière de hacking, d'intrusions, de malwares et d'exploitation des vulnérabilités.

Des équipes spécialisées collaborent étroitement au sein de Talos. L'équipe de surveillance se consacre au repérage des nouveaux types d'attaques. D'autres équipes recréent les nouveaux malwares et les vulnérabilités, et conçoivent des solutions de protection destinées à nos clients. D'autres encore sont chargées de la communication : elles publient des rapports de sécurité et entrent directement en contact avec les clients, les fournisseurs informatiques et les opérateurs télécoms (y compris les concurrents).

Parfois, certains experts comme Matt Olney jouent au chat et à la souris avec les hackers pour s'amuser. Il activa son honeypot et n'eut pas le temps de boire un verre d'eau qu'il obtint immédiatement un résultat.

« Je n'avais même pas terminé d'installer le honeypot que je constatais déjà une tentative de connexion échouée », s'étonne-t-il.

En d'autres termes, les cybercriminels étaient déjà en train de jouer avec les défenses du honeypot pour s'infiltrer rapidement sur le serveur. La tactique employée par les hackers était une attaque par force brute, technique qui consiste à essayer rapidement un grand nombre de mots de passe connus ou communs dans l'espoir d'accéder au réseau. « Leur rapidité m'a surpris », indique Olney.

Ayant ferré le poisson, il plaça rapidement d'autres honeypots sur une douzaine de réseaux de divers continents, au cas où il pourrait attirer d'autres attaques et resserrer son étau sur les cybercriminels impliqués. La relation entre ces honeypots était impossible à repérer. « Régulièrement, nous mettons en place des honeypots se présentant comme des systèmes de commande industriels, des serveurs web, des serveurs Elasticsearch, des serveurs de téléphonie IP, voire même des pompes à essence », explique Olney.

« Il n'y a pas de trafic légitime vers ces honeypots. Le seul trafic vient donc des hackers. C'est l'incident le plus flagrant que nous n'ayons jamais vu. »

Craig Williams
Responsable des informations de veille de l'équipe de surveillance de Talos

Des enquêtes numériques

C'est maintenant qu'un véritable travail de détective commence. En enregistrant subrepticement toutes les tentatives de connexion, les honeypots de Matt Olney ont permis aux analystes de Talos d'associer ces tentatives aux « dictionnaires » de mots de passe connus. Ces dictionnaires sont des bases de données de plus de 450 000 mots de passe qui sont généralement échangés en ligne par les hackers.

L'équipe en charge des informations de veille a analysé les flux de trafic. Quant à l'équipe de recherche en détection, elle a recréé le code du cheval de Troie de l'attaque DDoS. Une équipe d'analystes des données de Talos a également mis au jour d'autres indices pouvant aider à mieux cerner les hackers.

« Nos experts en analyse de données sont capables de faire ressortir le moindre détail. Ils disposent de la rigueur mathématique nécessaire pour comprendre la théorie sous-jacente et les algorithmes de mise en cluster pour déterminer avec fiabilité l'identité des hackers, la méthode employée et le lieu de l'attaque », indique Matt Watchinski, expert en sécurité et directeur de Talos à Columbia, dans le Maryland.

En travaillant main dans la main, les équipes de Talos ont localisé la source des attaques : deux réseaux de Hong Kong. Après avoir proposé quelques noms hauts en couleur pour désigner ce groupe de hackers, les membres de Talos ont finalement opté pour « SSHPsychos ».

L'équipe a cependant compris rapidement que les SSHPsychos allaient lui donner du fil à retordre. Talos et d'autres experts en sécurité estiment que l'infrastructure des SSHPsychos a coûté à elle seule plus de 100 000 $, sans compter les frais d'exploitation. « Si vous voyiez la complexité de certains équipements que nous rencontrons aujourd'hui… », déclare Craig Williams.

« Nos experts en analyse de données sont capables de faire ressortir le moindre détail. Ils disposent de la rigueur mathématique nécessaire pour comprendre la théorie sous-jacente et les algorithmes de mise en cluster pour déterminer avec fiabilité l'identité des hackers, la méthode employée et le lieu de l'attaque. »

Matt Watchinski
Directeur de Cisco Talos

Le chat et la souris

Une fois le groupe SSHPsychos localisé, l'heure était venue de les pourchasser.

L'équipe de Talos était prête. Et elle n'était pas seule. Talos a développé des relations de confiance au sein de la communauté de spécialistes de la cybersécurité, et l'une d'entre elles a joué un rôle primordial dans la neutralisation des SSHPsychos.

Matt Olney et son équipe ont donc partagé leurs découvertes avec leurs collègues de la société Level 3 Communications, située à Broomfield, dans le Colorado. Cette société internationale de télécommunications a par le passé contribué à construire l'infrastructure du réseau fédérateur mondial d'Internet.

« Nous collaborons avec Cisco Talos afin de réduire les risques que courent notre réseau et ceux de nos clients. Grâce à cette coopération, nous comprenons mieux comment fonctionnent les hackers pour mieux enrayer leurs actions », explique Mike Benjamin de Level 3 Threat Research Labs.

Les professionnels de Level 3 ont rapidement compris l'étendue du risque et sont immédiatement passés à l'action. Conformément à son protocole client, Level 3 ne peut pas mettre un site directement sur liste noire, quel que soit le trafic qu'il génère. La société a donc alerté China Telecom des activités illicites qui se déroulaient sur son réseau.

L'enquête prit rapidement de l'ampleur et les hackers en eurent vent. Presque immédiatement, les SSHPsychos se tapirent dans l'ombre. Pour la première fois, impossible pour Talos de suivre leur piste.

Un jour, ces hackers sont à l'origine du tiers des activités SSH dans le monde. Le lendemain, ils disparaissent. Tout comme, probablement, la chance de les arrêter.

« Il est du devoir de Talos de servir de lien entre les différents intervenants et de veiller à ce qu'ils disposent de toutes les informations nécessaires au fur et à mesure que les malwares évoluent. Nous sommes tous concernés. »

Joel Esler
Responsable des informations de veille
chez Cisco Talos

Esler porte différentes casquettes chez Talos. En marge des relations avec les autorités, il dirige une équipe qui gère plusieurs communautés de sécurité Open Source, dont Snort, système de détection d'intrusion internationalement reconnu, créé par Martin Roesch, le fondateur de Sourcefire. Lorsque Cisco a acquis Sourcefire en 2013, Snort faisait partie du lot. L'équipe d'Esler gère également TalosIntel.com, le site sur lequel Talos partage ses informations avec le public.

« Il est du devoir de Talos de servir de lien entre les différents intervenants et de veiller à ce qu'ils disposent de toutes les informations nécessaires au fur et à mesure que les malwares évoluent », déclare Esler. « Nous sommes tous concernés. »

Une nouvelle fois, Talos et Level 3 étaient prêts à contrer les hackers. Mais cette fois-ci, finies les demi-mesures.

Le 7 avril 2015, Level 3 a pris une mesure sans précédent en mettant sur liste noire, et donc en bloquant, l'ensemble du trafic des SSHPsychos sur ses réseaux mondiaux. Il a également enjoint aux autres fournisseurs Internet de suivre son exemple.