Botnets : Éric Freyssinet nous parle de la dernière Botconf et de la sécurité des objets connectés

L'année 2016 a été marquée au fer rouge par les réseaux zombies Dridex, Locky et Mirai, volant, rançonnant et rappelant à tous la piètre sécurité de l'Internet des objets. Autant de sujets de débats avec Éric Freyssinet, spécialiste des botnets et organisateur de la Botconf, à la dernière édition chargée.

Fin novembre à Lyon, avait lieu la quatrième édition de la Botconf, dédiée à la lutte contre les botnets. L'occasion de discuter avec Éric Freyssinet, son président, membre de la délégation chargée de la lutte contre les cybermenaces au ministère de l'Intérieur, depuis mars 2015. Pour mémoire, nous avions déjà longuement discuté en 2014 et en 2015.

Depuis quelques années, les réseaux d'appareils zombies deviennent la norme en matière de malwares, par exemple avec la multiplication des vols de données bancaires et des ransomwares (qui chiffrent vos fichiers puis demandent une rançon). La lutte contre ces logiciels gagne en notoriété, l'édition 2016 de la Botconf atteignant 300 participants internationaux, contre 150, 190 et plus de 220 pour les précédents événements.

Élargir le champ d'étude des botnets

Le format, lui, a peu bougé, sinon avec l'ajout d'une première journée d'ateliers. « On n'a pas assez de services de police ici » note Éric Freyssinet, qui remarque que les participants viennent désormais « officiellement ». « Ils n'ont pas eu à prendre de vacances, ce qui a pu arriver les années précédentes. » Le programme pourrait d'ailleurs être davantage tourné vers eux dans les années à venir.

Pour mémoire, la Botconf se veut être un événement ouvert, où se déroulent des discussions sur des études et enquêtes habituellement réservés à des cercles plus fermés... Tout en évitant une focalisation trop technique. Doivent donc se rencontrer policiers, universitaires et membres de l'industrie de la sécurité, pour discuter notamment des aspects opérationnels et juridiques de la lutte contre les botnets, dont certains y sont explorés dans les moindres détails, y compris sur le plan humain.

Cette année, les stars étaient incontestablement les malwares Locky et Dridex, qui ont occupé « l'équipe bleue » en 2016. Une part non-négligeable des conférences (émergeant de 48 propositions) y faisaient au moins référence. Cela alors que le botnet d'objets connectés Mirai commençait à montrer son nez, posant à la fois la question de la sécurité de l'Internet des objets (IoT) et de la coopération internationale, une épine dans le pied des forces de l'ordre.

Multiplier les points de vue, dont l'anti-criminel

Pour Freyssinet, qui a bouclé un doctorat en 2015 sur les botnets, l'important est de multiplier les angles d'approche de ces réseaux, derrière lesquels se cachent régulièrement des organisations criminelles. Les ransomwares sont « de l'escroquerie, au sens français du terme. Il n'y a pas que des ressorts techniques, mais aussi des ressorts humains : on fait cliquer les gens sur des liens, des pièces-jointes, on leur fait remplir des formulaires... » explique le spécialiste.

Selon lui, il faut donc approcher le domaine sous l'angle criminel. Il regrette d'ailleurs amèrement que la « cybercriminologie » soit peu développée en France, contrairement à d'autres pays comme le Canada. À la Botconf une équipe montréalaise a d'ailleurs étudié le « marché de l'ego » sur Instagram, fondé sur le discret botnet Linux/Moose (voir notre analyse).

Analyser les échanges, les réseaux, la structuration et l'utilisation des bases de données, ainsi que le comportement des botnets, doivent devenir des pratiques habituelles des forces de l'ordre, pense Freyssinet.

Des questions (et réponses) concrètes

Multiplier les points de vue amène aussi à questionner les différences d'approches par pays. Quang Tran, de l'opérateur vietnamien Viettel Group, détaillait sa méthode pour lutter contre un botnet. Elle était radicalement simple : siphonner tout le trafic du serveur de contrôle d'un réseau zombie, en aidant les internautes à désinfecter leurs appareils.

L'efficacité de la méthode est redoutable mais, comme l'ont remarqué certains spectateurs, celle-ci est très sûrement illégale dans nombre de pays. Faire mentir un résolveur DNS (qui associe noms de domaine et serveurs) sans contrôle judiciaire peut être « limite ».

Éric Freyssinet, lui, y voit la solution d'un acteur sans grande équipe de sécurité face à un problème concret. « Il se pose des questions que les opérateurs se posent dans le monde entier. Bloquer des ports, ça s'est fait. Bloquer des botnets, désinstaller des botnets... Aux Pays-Bas, Dorifel ciblait particulièrement les Hollandais, avec tous les serveurs de commande et de contrôle là-bas. Le procureur néerlandais a donc décidé de rediriger les victimes vers une page qui les informe de quoi ils étaient victimes, comment désinfecter, qui contacter, alors que la loi était vide à ce sujet » nous détaille-t-il.

Une lutte internationale toujours compliquée

Si les botnets se développent autant, c'est en partie à cause des difficultés de la lutte des forces de l'ordre. Le théorème est simple : s'il suffit de quelques clics (voire d'une carte bancaire volée) pour expatrier un nom de domaine ou un serveur de contrôle, la coopération des services de police et de la justice peut prendre des semaines, voire des mois.

Comme nous l'expliquions il y a deux ans, des pratiques comme la génération aléatoire de noms de domaine (DGA) sont devenues communes chez les réseaux zombies, représentant un casse-tête pour les victimes et le law enforcement, peu formé à cela. Il faut donc que ces derniers apprennent à « innover » et renforcer leurs liens.

« On n'est plus à quelques semaines ou mois près. On est à la journée ou à l'heure, appuie notre interlocuteur. Aujourd'hui, il n'est plus possible d'attendre des mois pour une réponse, en se disant que six mois est rapide... Les données disparaissent. C'est ce qu'on essaie d'améliorer au niveau européen. » Des opérations d'envergure réussissent tout de même, comme le démantèlement du réseau Avalanche, intervenu lors de la Botconf (voir notre actualité).

Le président de la conférence note une meilleure prise en compte du problème par les autorités européennes, le sujet étant sorti des sphères « geek ». « Que les délinquants essaient d'échapper à toute détection, à se camoufler dans différents pays, ça existait avant, mais c'était beaucoup moins simple » note Freyssinet. « Il y a les textes de loi qu'il faut dans quelques pays pour suivre et réprimer ce type d'infraction. Pour investiguer et coopérer, pas toujours » regrette-t-il.

Locky et Dridex, deux faces d'une même pièce ?

Pourtant, ce qui a occupé les conférenciers s'appellent Locky (un ransomware) et Dridex (cheval de Troie bancaire), dont les victimes ne se comptent plus depuis l'an dernier. Ils représentent le « top » de deux tendances de fond, qui se croisent. Les équipes derrière les principales campagnes liées à ces logiciels pourraient être liées.

Un vrai cas de criminologie. Pour Freyssinet, il faut par exemple chercher des liens privilégiés entre les concepteurs de l'outil de distribution et de celui d'infection (payload), des liens entre personnes, une langue commune, des heures d'activité proches ou un même public cible. « Pour moi, il y a peut-être un lien de confiance [entre les équipes], voire un lien direct entre les personnes » estime-t-il, même s'il « faut toujours imaginer qu'on est manipulés ».

« Il est rare qu'un virus arrive seul aujourd'hui. Quand tu es infecté par un malware, tu l'es sûrement par un autre. Soit parce que le premier installe le second, soit parce qui ce qui a installé le premier a installé les deux, et revendent aux autres l'accès » note d'ailleurs le spécialiste. Une conférence était même consacrée aux astuces de Dridex pour masquer ses amis :

Pour lui, l'utilisation des ransomwares (qui chiffrent les fichiers en échange d'une rançon) est amené à s'éroder dès ce milieu d'année. « Les victimes connaissent et ont pris des mesures préventives. Cela prouve que la communauté est globalement efficace, même si ce n'est pas encore suffisant » explique-t-il. « Au contraire, il y aura toujours des malwares bancaires, parce que l'argent est dans les comptes bancaires » ajoute le conseiller de la place Beauvau.

Mirai, invité tardif de la Botconf

En décembre, la Botconf évoquait de ci de là Mirai, le réseau derrière la mise hors ligne du fournisseur de services DNS Dyn (voir notre analyse) et l'infection de centaines de milliers de routeurs en Europe (mais pas encore en France). Il est devenu le symbole des difficultés des objets connectés, en exploitant des protocoles et problèmes de sécurité simples, comme des mots de passe écrits en dur dans des firmwares.

En clair, il s'agissait de l'éléphant dans la pièce, qui n'était pourtant pas au centre des préoccupations des conférenciers. « La Botconf n'est pas centrée sur l'actualité au sens journalistique, mais sur ce à quoi sont confrontés les entreprises, les réseaux et les services de police » appuie Freyssinet, pour qui la star « Dridex est un phénomène essentiellement de 2016 ».

« Les caméras connectées, les routeurs, ce qu'a touché Mirai, ce sont les vieux problèmes. Il y avait des botnets de routeurs, de caméras et d'enregistreurs en 2002, poursuit-il. Ce qui n'est pas normal, c'est que les fabricants n'aient pas pris en compte ces problèmes de sécurité, d'autant qu'il y a désormais plus de délinquants susceptibles de s'en prendre à ces objets. »

Globalement, 2016 n'a pas été une année de grande nouveauté. « C'est rassurant en un sens » juge Freyssinet. Il remarque tout de même que délinquants et forces de l'ordre connaissent bien mieux les botnets et les outils, comme le DGA. « Toute la communauté de la sécurité n'a pas encore compris que le botnet, la méthode de choix des cyberdélinquants, est la façon la plus pratique de mettre en œuvre une attaque sur un réseau, y compris quand tu cibles une personne » pondère le responsable.

L'insécurité de l'Internet des objets

En discutant, il note que l'Internet des objets est sûrement l'une des prochaines frontières réglementaires. Si les fabricants ne prennent pas à bras le corps le problème de la sécurité, les États ont de nombreux moyens d'agir, dont les normes. Sur place, l'ANSSI nous affirmait discuter avec le secteur, sans encore envisager d'obligation. « L'avantage du cadre réglementaire est qu'il met tout le monde sur un pied d'égalité » rappelle tout de même Freyssinet.

Que ce soit les anciens objets (ordinateurs, caméras, routeurs...) ou nouveaux (comme ceux fondés sur des réseaux bas débit), « ce dont tu peux être certain, c'est que des botnets apparaitront dessus ». Deux motivations principales resteraient : les données personnelles (surtout celles avec une valeur financière) et l'usage massif des objets en question dans des opérations d'envergure.

Il est donc important que les fabricants prennent conscience des enjeux, ainsi que les clients, pourquoi pas en se concertant avec l'État. L'idée est d'éviter qu'une société puisse gagner 10 % sur son prix de vente (donc des marchés) en négligeant la sécurité. Wayne Crowder, de Shamrock Trading Corp, nous expliquait par exemple que les polices d'assurance des grandes entreprises pourraient grimper exponentiellement à l'avenir si leurs réseaux contiennent des objets peu sécurisés.

« Il doit y avoir des normes, des standards minimum » comme il en existe dans l'automobile et le milieu médical, reprend Freyssinet. En matière de santé, il rappelle par exemple le besoin d'intégrité des données, parmi les plus sensibles qui soient. « Dans l'automobile, du moment où on a mis l'obligation de porter la ceinture de sécurité, ça a sauvé des vies, appuie-t-il. Il faut parler de security by design, de privacy by design. »

Vers de prochaines éditions plus diverses

Pour le spécialiste français, l'événement qu'il organise est précieux, d'autant qu'il a lui-même sorti les mains du cambouis, en quittant les cybergendarmes. Occupant désormais une fonction plus stratégique, il a tout de même quelques regrets. Au-delà du manque de policiers, il aimerait voir plus de Français à cet événement english-only.

Il compte surtout « essayer de faire connaître la conférence à plus de femmes, pour qu'elles proposent des articles, parce qu'elles sont moins poussées, voire moins visibles dans leurs organisations ». « En revanche, nous avons une vraie diversité dans la conférence, d'âge, de parcours personnels et de nationalités. Il n'y a pas de tensions, on est entre professionnels » se félicite-t-il.

Une fois encore, les organisateurs nous disent ne pas avoir dû refuser de participant. « Le fait que ce soit organisé un peu par les autorités doit repousser les personnes borderline. Des chercheurs en sécurité un peu black hat existent, avec des pratiques très limites, trop proches des délinquants » rappelle le président de l'événement. Les sponsors ont par contre eu un peu de retard cette année, certains se pensant inscrits d'office.

Après Nantes, Nancy, Paris et Lyon, la prochaine Botconf aura lieu à Montpellier, du 6 au 8 décembre. Il est possible de proposer des présentations jusqu'au 15 juillet. Tous les détails sont disponibles par ici.