[Interview] Éric Freyssinet nous parle de botnets et de sa Botconf

Boting dead 9
Accès libre
image dediée
Sécurité
Guénaël Pépin

Chef de la division de lutte contre la cybercriminalité au sein du pôle judiciaire de la gendarmerie nationale, Éric Freyssinet est un spécialiste des botnets, ces réseaux que l'on retrouve derrière la plupart des attaques informatiques du moment. À l'occasion de la seconde édition de la Botconf, dont il est à l'origine, nous avons décidé de l'interroger sur ce phénomène et les moyens mis en œuvre pour le combattre.

La lutte contre les réseaux d'ordinateurs zombies, aussi connus sous le petit nom de botnets, est sans nul doute un métier d'avenir. Et ce n'est pas la gendarmerie qui dira le contraire. Du 3 au 5 décembre, Nancy accueillait la deuxième édition d'une conférence internationale dédiée à la lutte contre ces réseaux de morts-vivants électroniques, la Botconf. Celle-ci comptait un beau panel d'invités : enquêteurs spécialisés dans les questions de cybercriminalité, géants d'Internet (Google, Yandex, etc.), intermédiaires techniques (OpenDNS) et chercheurs spécialistes du domaine.

C'est au Loria, un centre de recherche en informatique qui étudie notamment les virus et botnets sous la direction de Jean-Yves Marion, qu'étaient organisées les différentes présentations qui couvraient des domaines très divers : comment classer les botnets, comment les faire tomber, quelles sont les contraintes légales de la lutte, etc. Il était également question de récits de poursuites de groupes ou encore des aspects les plus techniques de ces virus.

Mais la Botconf est aussi intéressante pour ses organisateurs. Dont le premier d'entre eux, Éric Freyssinet, entre autres responsable de la lutte contre la cybercriminalité au pôle judiciaire de la gendarmerie nationale, doctorant sur le sujet des botnets et auteur du wiki Botnets.fr. Cette édition 2014 Botconf, était donc pour nous l'occasion de l'interroger afin de mieux comprendre la lutte contre les botnets en France ou de la collaboration internationale sur le sujet qui existe notamment à travers cette conférence. Voici la première partie de notre série d'entretiens.

Pourquoi avoir créé la Botconf ? Quel est le lien avec vos autres initiatives comme le site Botnets.fr et quel manque comble-t-elle ?

Il y a un côté assez personnel. Je fais une thèse de doctorat à l’université Paris 6 sur la lutte contre les botnets en ce moment. Le wiki Botnets.fr, c’est une partie de la réflexion sur cette thèse. Dans le cadre de ces travaux, j’ai rencontré plein de gens. C’est tout l’intérêt d’une thèse, de contacter des gens, d’échanger avec eux, de poser des questions…

Parmi tous ces gens-là, il y a plein de Français qui sont touchés d’une façon ou d’une autre par les botnets. Parce qu’ils travaillent dans des entreprises où ils y sont confrontés, comme les équipes de sécurité par exemple, ou bien parce qu’ils font de la recherche dans les entreprises sur ces sujets-là (elles sont nombreuses en France à travailler là-dessus). D’autres travaillent sur le sujet dans un cadre académique et quelques-uns à titre personnel. Au cours de discussions avec les gens que j’ai rencontrés, on s’est dit « pourquoi on ne ferait pas une conférence ? ».

J’avais mon expérience des conférences sur ce sujet, en tant que participant. Tu en as où ces sujets sont évoqués, notamment parce que c’est important en matière de sécurité maintenant, mais ce sont des conférences fermées. Ça a l’intérêt d’éventuellement évoquer des cas judiciaires avec des partenaires de confiance, dans un certain cadre confidentiel. Mais ce sont souvent les mêmes personnes. Tu ne diversifies pas les sources d’information, les contacts… Et surtout, il y a un manque de lien avec le monde académique, où les équipes qui travaillent sur les « virus connectés » ne sont pas suffisamment visibles sur le sujet.

Typiquement en France, les chercheurs qui travaillent sur les botnets doivent se compter sur les doigts des deux mains. C’est déjà difficile de mettre en avant la recherche en sécurité informatique. On a de très bons chercheurs, sur des sujets intéressants dans la lutte contre les botnets en particulier, ou en matière de sécurité informatique, mais à chaque fois sur un pan très technique, spécifique. C’est très difficile d’étudier un sujet comme le botnet, qui doit être considéré comme un système, avec aussi bien des aspects techniques, que des aspects d’organisation (comment les gens qui sont derrière s’organisent-ils, comment le mettent-ils en œuvre et qui est derrière ?). C’est un sujet à la fois technique, avec des sciences humaines… C’est transverse.

Il y a plein de gens qui travaillent sur des aspects techniques qui pourraient être très intéressants. Soit appliqué directement, soit on n’ose pas mettre le nom « botnet » et on préfère parler de choses plus complexes en apparence. Par exemple on peut faire de l’intelligence artificielle [du machine learning], pour classifier les botnets par les virus utilisés ou par certaines traces qu’ils laissent sur Internet (on l’a vu cette semaine) ; comme les noms de domaine utilisés et générés automatiquement par un algorithme. Le but étant de les reconnaitre et de faire automatiquement ce que l’œil humain fait déjà. Ceux qui travaillent là-dessus savent reconnaitre d’un clin d’œil à quel botnet correspond une URL.

Donc il y a tous ces sujets, il faut faire se rencontrer ces gens. Quand tu regardes le paysage des conférences en général dans le monde, les botnets en tant que tels sont souvent abordés de façon isolée, au travers d’une ou deux présentations au milieu d’une grosse conférence sur la sécurité. Il y a des trucs intéressants qui sont faits, mais pas avec un public qui va forcément comprendre dans le détail ce qui se passe, notamment ce qu’est un botnet dans son ensemble. Le sujet est aussi abordé dans des conférences plus discrètes sur les virus, [évoquées tout à l’heure] qui existent depuis longtemps et regroupent une quarantaine de personnes.

Voilà, il y avait un espace. Ça me semblait intéressant de faire ça, et ça prouve que ça l'est, parce que là on démontre que des gens bossent sur les botnets et qu’ils arrivent à apprendre d’autres personnes qui travaillent sur d’autres aspects. Ils se rencontrent, ils vont pouvoir monter des projets ensemble, échanger vraiment autour du sujet qui les intéresse… Pas uniquement sur des aspects techniques, mais sur le fonctionnement.

Pourquoi c’est important ? C’est l’outil qui est utilisé majoritairement par les délinquants sur Internet.

Majoritairement, dans quel sens ?

Par exemple, aujourd’hui, si tu veux envoyer une campagne de spam, l’outil le plus efficace est un botnet de spam, sauf si tu as des gros serveurs… Le spam criminel est beaucoup envoyé par des botnets. Si tu parles de vol de données (de gros marchés se sont développés autour de ça), le botnet est un outil très efficace. Si tu contamines des gens, tu récupères des données chez eux, tu mets à jour le virus et tu récupères d’autres données.

Ça peut piocher des données dans la durée. Ce qu’on appelle traditionnellement « APT » (les attaques en profondeur dans les organisations, les outils d’espionnage), ce sont des formes de botnet. C’est parfois rudimentaire dans la structure, avec une victime et un serveur et peut-être juste une équipe derrière, mais ça reste des botnets intéressants à étudier sous cet angle. Parce que tu étudies aussi bien le vecteur d’infection (la manière dont les gens sont contaminés), la manière dont le virus se propage éventuellement, comment il est mis à jour, comment il reçoit des commandes, le serveur de commande et les gens derrière. Quand tu étudies les attaques en profondeur, cette démarche est très utile.

Tu peux faire de l’hébergement sur un botnet. Tu peux héberger ou diffuser des contenus illégaux, de nouveaux virus… Des sites web complets sont hébergés sur des botnets. C’est l’outil classique rencontré aujourd’hui. Un autre outil qu’on rencontre, c’est le kit de phishing que tu installes sur un site web piraté pour réaliser le hameçonnage ; qui n’est pas trop lié à des botnets.

Par contre, d'autres outils liés aux botnets sont les plateformes d’exploit, qui servent à installer des virus qui vont constituer des botnets. Il n’y a quasiment aucun virus aujourd’hui qui ne se connecte pas à un système de commande, donc participe à un botnet. Donc comprendre les botnets, c’est comprendre une bonne partie de la cybercriminalité sur Internet et sur les futurs réseaux, comme les téléphones mobiles où les modes de communication sont variés : Internet, Wi-Fi en local, Bluetooth, peut-être le NFC dans le futur.

Pourquoi organiser la Botconf à Nancy cette année, pour le Loria ?

Oui, il n’y a pas beaucoup de labos qui travaillent sur les virus en France. L’équipe d’Éric Filiol qui travaille sur le projet d’antivirus français à Laval. Des gens du Loria à Nancy travaillent sur les virus depuis pas mal d’années, notamment sur la classification automatisée des virus ; on a beaucoup d’échanges avec eux depuis des années.

Place Stanislas
Crédits : bbsferrari/iStock/Thinkstock

Outre cette initiative, vous êtes impliqué dans de nombreuses autres associations. Quelles sont-elles ?

Il y a d'abord le CECyF (Centre Expert contre la Cybercriminalité Française). Le CECyF a été créé début 2014 suite à un projet européen qui visait justement la création de ce genre d’associations. Ce sont des centres d’excellence en formation, en recherche et développement, en prévention contre la cybercriminalité dans les différents pays européens (Irlande, Espagne, Belgique, Allemagne, République tchèque, Roumanie…). Les structures qui forment ces centres ont différentes formes. Nous avons choisi l'associative, pas parce que c’est la panacée au niveau européen, mais parce que dans un pays aussi grand en taille, ça permet d’associer un ensemble d’acteurs, et pas juste deux ou trois sur un endroit.

Qui sont les membres impliqués dans le CECyF ?

On a 25 membres : des services de l’État qui travaillent sur ces sujets (la gendarmerie, les douanes, les enquêtes fiscales, la répression des fraudes…), du monde académique et de la recherche (le Loria, le laboratoire d’informatique de Paris 6, l’IRT SystemX avec des compétences de recherche en sécurité de l’information) et puis des établissements d’enseignement comme l’Epita, l’université de Troyes (un partenaire historique de la gendarmerie) ou celle de Montpellier 1. Et des entreprises qui travaillent soit dans l’Internet, soit dans la sécurité de l’information, soit des petites briques technologiques utiles ; on a des partenaires historiques comme Thalès, Microsoft France ou Orange France. Et nous a rejoint ArxSys, qui est une de ces petites pépites françaises, car il n’y a pas beaucoup d’entreprises qui développent des outils comme ça dans le domaine de l’investigation numérique, des produits qui pourraient être utiles à des services d’enquête, à des investigations suite à des incidents. Bertin Technologies, qui fait de l’ingénierie dans différents sujets, dont de la sécurité informatique, nous a rejoint… Et tout un tas d’autres partenaires.

On monte des actions de formation, de recherche et de prévention. Par exemple, la conférence de cette semaine est organisée par un des membres associatifs, l’Alliance internationale de lutte contre les botnets. C’est elle qui monte la Botconf depuis deux ans. C’est son objectif principal, on a créé une structure associative pour le faire.

Parmi les membres de CECyF, il y a Signal Spam, qui est engagé dans un projet européen, qui s’appelle l’Advanced Cyber Defense Center (ACDC). Un projet pilote financé par la Commission qui vise à explorer différentes pistes opérationnelles de lutte contre les botnets. Parmi ces pistes, il y a l’échange d’informations entre ceux qui font de la formation sur les botnets, qui ont de l’information qui peut être utile aux opérateurs. Par exemple, si telle adresse IP d’un opérateur est un relai de botnet et sert à diffuser des virus, envoyer du spam… D’où l’intérêt de Signal Spam, car il y a beaucoup de botnets liés au spam. Un autre des travaux que mène Signal Spam est une application sur mobile pour signaler du spam en rapport avec les botnets.

Dans le cadre du projet de chacun de ces pays et dans le cadre du projet ACDC, il y a la création de plateformes d’information vers le public sur les botnets. Le 20 octobre dernier, entre le CECyF, Signal Spam et le projet ACDC, on a lancé cette plateforme antibot.fr d’information sur les botnets. L’objectif c’est de sensibiliser les publics qui ne connaissent pas les botnets, leur apprendre comment se protéger… Comme des mesures simples : avoir un ordinateur à jour, avoir des logiciels à jour sur son système d’exploitation quel qu’il soit (même si sur Windows, il y a des problèmes spécifiques pour des parties du parc précises et beaucoup de virus qui ciblent ces environnements-là) et avoir un antivirus.

Antibot.fr

Ou avoir d’autres solutions de sécurité : il y a des logiciels pour se protéger spécifiquement des virus, qui essaient d’intercepter l’information dans les navigateurs web, ce qui est particulièrement utile pour se protéger des virus bancaires qui arrivent parfois à passer sous le radar des antivirus. Ces virus vont réaliser certaines opérations au sein du navigateur, en se mettant dans la mémoire et en voyant que l’utilisateur est en train de charger le morceau de page qui sert à entrer le mot de passe. À ce moment-là, le virus est capable d’intercepter l’information ou de se faire passer pour l’utilisateur… Des choses qui supposent une interaction forte entre le virus et le navigateur.

Il y a donc antibot.fr, pour se sensibiliser sur les moyens de se prévenir, comprendre les botnets, et aussi réparer, nettoyer et ne rien oublier, y compris jusqu’à changer les mots de passe quand il y a un risque particulier.

La Botconf est censée être un espace de rencontre, avec certaines présentations qui sont suivies d'une année sur l'autre. Quels sont les retours concernant la première édition ?

C’est une bonne question. C’est un retour qu’on n’a pas vraiment fait. Je ne pourrai pas te donner de preuve, là, noir sur blanc. Il y a une communauté, très souvent citée, dont tu as peut-être entendu parler, qui est MalwareMustDie!. C’est une communauté de gens qui se connaissent sur Internet et qui sont souvent des chercheurs isolés, « chercheur » au sens une personne qui le soir – en plus de son travail – passe du temps à chercher des infos, à essayer de mieux comprendre les acteurs. Je sais qu’il y a ce type de communauté.

Un des intérêts que nous voyions à développer [cette conférence], c’est faire se rencontrer les chercheurs académiques et industriels, et je sais que certains ont discuté au moins durant les conférences de leur sujet de recherche et des approches vraiment complémentaires. Je suis sûr que certains d’entre eux ont échangé des mails après s'être rencontrés ici.

On fait un questionnaire destiné à ceux qui ont participé cette année. L’une des questions sera « Est-ce que vous avez participé à la Botconf en 2013 ? Est-ce que vous avez eu l’occasion d’échanger avec d’autres personnes ? Est-ce que vous avez l’intention d’échanger avec d’autres personnes suite à cette édition 2014 ? ». L’année prochaine, on reviendra avec plus d’éléments là-dessus.

Quel bilan pour 2014, au soir du deuxième jour [sur trois] ? Quels sont les plans pour l'édition 2015 ?

On peut déjà faire le bilan. On a maintenu le cap : faire se réunir ces publics variés, centrés sur les botnets, intéresser les gens, qu'ils échangent. [Il est 22h, au musée des Beaux Arts de Nancy] Tu vois, les gens restent tard à discuter, ça fait du bruit. Et c’est réussi parce que c’est continu par rapport à l’année dernière, on a réussi à avoir la même qualité d’échange, de dialogue. Il y a plus de monde, ce qui est normal pour une conférence qui débute. On était très contents l’année dernière d’avoir 168 personnes. [Cette année, l’évènement a réuni 200 personnes, dont 33 intervenants.]

Beaucoup de participants reviennent-ils ?

Je n’ai pas de statistiques. Tout à l’heure, quelqu’un a fait lever les mains [pour savoir s’ils avaient vu une conférence donnée en 2013], on doit être entre 35 % et 50 % de gens qui sont revenus. Les gens vont rarement tous les ans à la même. Ceux qui reviennent, ce sont des gens qui travaillent uniquement sur les botnets, quasiment toute l’année. Ils n’ont pas d’autres conférences, donc c’est vraiment important qu’ils reviennent. Ensuite, il y a des équipes qui ont envoyé d’autres personnes. Les équipes d’Arbor Networks [spécialistes de la protection contre les DDoS], ce ne sont pas les mêmes qui sont venus. Le Fraunhofer Institute, ce sont d’autres équipes aussi. Ce bilan quantitatif est une bonne évolution. La conférence est bien connue, ça s’est bien passé l’an dernier, donc on a plus de monde, c’est naturel.

Le programme est de qualité, grâce aux speakers. On a fait une sélection en amont, mais c’est quand même difficile de réunir un programme de qualité.

Y a-t-il eu beaucoup de propositions de présentations ?

Pas encore assez, donc là on espère avec cette deuxième édition avoir plus de buzz. Et surtout, si on a 200 participants, j’espère avoir 195 propositions pour l’année prochaine ! Il y a du potentiel. À la base, parce que ce n’est pas facile de monter une présentation, de proposer quelque chose d’original – ceux qui ont montré quelque chose ont tous montré quelque chose d’original - il faut être capable de le présenter en anglais, de l’écrire en anglais. On aimerait avoir plus de papiers, au sens scientifique du terme. Là on avait quatre propositions de papiers, on en aurait entre trois et cinq publiés, ça ne suffit pas ! Ceux qui font une thèse ou un master, comme Pedro [Pedro Miguel Bairrão de Seixas Camelo] qui parlait tout à l’heure, qui bosse avec Anubis [sur une méthode de détection de botnets], c’est un travail de master impressionnant. Il a fait un « short talk », exactement ce qu’on cherche.

Quand tu as plus de propositions, c’est plus qualitatif, tu fais des choix, tu es obligé d’en rejeter certains. Là on a rejeté deux papiers, parce que ça ne collait pas avec la conférence. Tout organisateur de conférence voudrait avoir beaucoup plus de papiers, de talks sélectionnés ! Ceux sélectionnés sont plutôt d’un très bon niveau. Après, sur la présentation, c’est une conférence internationale, tout le monde ne parle pas anglais comme un natif, parfois ils ont des difficultés, mais ça passe quand même très bien. Il y a des gens qui ont pour langue natale le russe, le tchèque, le polonais, des Français, des Portugais, des Espagnols, des Australiens, Américains, Anglais qui ont des accents bizarres… C’est ça, c’est l’échange, il faut faire un effort, ce n’est pas facile.

Donc un bilan très positif. Surtout sur l’organisation, tu as vu qu’on avait une super équipe [saluée par certains participants]. Rien que pour faire ça… On est contents d’avoir 200 personnes, ça récompense nos efforts. Même si avec seulement 100 personnes on serait très contents, pour ce travail en équipe, ça apporte beaucoup. Surtout sur l’évènement lui-même, on est tous bénévoles au sens où nos entreprises et organisations ne nous paient pas pour faire ça, mais nous ont laissé partir. Certains ont pris des congés…

Quels sont les objectifs pour l'année prochaine, plus de monde ?

Non, 200 c’est très bien. On va prendre des dispositions pour avoir une salle qui tient entre 200 et 300 personnes. C’est le bon format, il ne faut pas qu’on soit vraiment plus nombreux. Il y a plein de conférences… Le fait qu’il y ait un seul parcours [une conférence à la fois], ça plait à beaucoup de monde, car quand il y a plusieurs parcours, il faut faire des choix. Comme on a un sujet central, ce n’est pas une conférence de sécurité informatique, c’est une conférence sur les botnets, tout le monde est intéressé par tout ce qui se dit. Il n’y a pas encore les gens de la classification, les gens de…

Il n’y aura qu’un seul parcours, sur trois jours, plus facile à organiser que deux jours (plus dense). Même si ça coûte un tout petit peu plus cher à organiser, ça se voit et c’est beaucoup plus facile. On le fera dans une autre ville de France pour l’année prochaine, qu’on dévoilera demain. [Ce sera Paris, du 2 au 4 décembre.]

Le critère sera-t-il toujours d’avoir un pôle spécialisé dans la ville ?

Pas forcément. À Nantes [en 2013], c’est parce que l’un des organisateurs, le vice-président de l’association, travaille dans une équipe qui fait de la sécurité à Nantes et qui était motivée pour l’organiser. Cette année, c’était pour le travail avec le Loria, parce qu’on apprécie de travailler avec eux et qu’ils ont des équipements pour organiser des conférences et puis pour une ville de taille moyenne en France, c’est pas mal d’avoir un partenaire local pour le faire. C’est notre partenaire principal sur la conférence, au-delà de nos sponsors. Ensuite, on ira dans une autre ville où il y aura d’autres raisons je suppose. Mais l’idée c’est de changer de ville à chaque fois, pas forcément en France.

On a envie de rester attachés à la France, mais il y a aussi la francophonie, comme les pays voisins qui ont peut-être envie de nous soutenir. Pour des raisons pratiques, on n’ira pas trop loin de France, on ne va pas aller dans des régions trop coûteuses pour ceux qui veulent y assister. Il faut que tout le monde puisse y aller dans de bonnes conditions. Nantes et Nancy sont facilement accessibles par le TGV. Il n’y a pas de secret, on peut organiser ces évènements dans plein de villes en France, par exemple avec des aéroports internationaux, reliés à Paris, soit avec des liaisons par train. On a des amis dans d’autres villes de France, mais je suis sûr qu’un jour on ira à Toulouse, à Montpellier, à Lyon, à Bordeaux, peut-être à Strasbourg, Lille ou Rennes. Les gens sont contents de découvrir d’autres villes. Et voilà, on est vraiment contents de l’organiser en France, y compris l’année prochaine.

Merci Éric Freyssinet.


chargement
Chargement des commentaires...