Botconf 2015 : les nouveaux défis de la lutte contre les botnets

Des Cryptolockers aux objets connectés 5
image dediée
Securité ANALYSE

Jusqu’à vendredi se tient à Paris la troisième édition de la Botconf, dédiée aux réseaux de machines zombies. L’occasion d’en discuter avec Éric Freyssinet, son principal organisateur qui a récemment passé son doctorat sur le sujet, tout en les combattant au quotidien.

Depuis 2013, chaque début du mois de décembre accueille la Botconf, un évènement dédié à la lutte contre les réseaux de terminaux zombies, les botnets, qui sont aujourd’hui l’outil le plus utilisé par les criminels en ligne. Lors de l’édition 2014 à Nancy, nous avions longuement discuté avec son président, Éric Freyssinet, sur ces réseaux, la conférence et sur la lutte en France. Cette année, les conférences se tiennent à Paris, en passant d'environ 200 participants l’an dernier à plus de 250, pour un programme qui reste fondamentalement le même, malgré des changements dans le paysage.

La Botconf accueille des participants de toutes nationalités et des conférences diverses, des plus larges aux plus techniques, tenues par des acteurs publics, privés et des chercheurs. « Par rapport à l'année dernière, nous essayons de gagner en maturité, d'installer la conférence dans le paysage. C'est par petites touches. On tente d'apporter notre petite pierre à cette communauté qui travaille sur ces questions partout dans le monde » nous explique Éric Freyssinet, conseiller auprès du Préfet et en charge de la lutte contre les cybermenaces depuis mars. C’est une figure connue sur le sujet, via son travail en gendarmerie, ses différences initiatives comme le wiki Botnets.fr et sa thèse, soutenue à la mi-novembre.

Quatre ans pour comprendre les systèmes derrière les botnets

Cette thèse a demandé quatre ans d’étude à Éric Freyssinet, en parallèle de son travail. Le but : comprendre les botnets, en tant que réseaux informatiques et en tant que systèmes, avec une organisation, des responsables et des objectifs. Il s’agit donc d’étudier le paysage des botnets, leurs tendances et les méthodes de lutte, pour savoir ce qui fonctionne ou non dans les techniques actuellement utilisées par les particuliers, les entreprises et les forces de l’ordre.

C’est l’un des seuls travaux qui s’attèle à aller aussi loin dans l’étude des botnets, tout en profitant de l’expérience de son auteur. « Au sein de l'équipe que je dirigeais à l'époque en gendarmerie, on a appris à mieux comprendre cette menace et tester des méthodes pour y faire face, notamment quand des infrastructures françaises sont utilisées. Il y a assez rarement des services d'enquête qui sont impliqués dans des travaux de recherche » nous explique-t-il.

L’un des objectifs de la thèse, comme de la Botconf, est de rapprocher le monde scientifique de celui de la lutte contre les botnets, qu’elle soit publique ou privée. « Les acteurs de la recherche sur les logiciels malveillants sont assez isolés dans le monde académique. C'est un domaine qui est encore émergent » affirme encore Freyssinet. Au-delà des équipes, cela peut être un chercheur isolé au sein d’une équipe plus large, qui a peu l’occasion d’échanger sur son travail.

Comme expliqué l’an dernier, la Botconf est l’une des rares conférences ouvertes sur le sujet, quand la plupart sont réservées à un public très précis, notamment pour des raisons de confidentialité des sujets traités. « C'est un domaine qui se développe et qui doit se développer, donc nous essayons d’y contribuer, de faire échanger la communauté et de la faire la vivre un peu publiquement aussi » précise son président.

Une lutte qui n’est pas encore assez coordonnée

Concrètement, cette thèse ne révolutionne pas la connaissance sur les botnets, mais l’approfondit. Freyssinet y apporte une analyse des systèmes derrière ces réseaux, des définitions qui manquaient.

Par exemple, il a déterminé qu’au lieu de millions de menaces dans la nature, il y en avait en fait quelques centaines, répliquées. « J'en ai documenté environ 400, mais il y en a peut-être 300, 500 ou 1 000 d'utiles à observer aujourd'hui... C'est déjà beaucoup plus facile à appréhender » détaille Freyssinet. Par exemple, le rançongiciel Reveton (qui chiffre les fichiers de l’utilisateur pour demander une rançon) produisait presque un échantillon différent par machine infectée, de quoi vite donner des centaines de milliers d’exemplaires.

Surtout, il a étudié la lutte contre les réseaux, encore loin d’être parfaite. « Aujourd'hui, beaucoup d'actions sont coordonnées mais pas suffisamment. Souvent, il y a des actions techniques d'un côté et des actions policières de l'autre. Ou alors elles sont un peu coordonnées mais pas forcément pensées en fonction d'objectifs clairs. Nous avons encore pas mal d'échecs, surtout que les délinquants continuent de développer des méthodes pour camoufler leurs actions » résume Freyssinet.

Pour une plus grande efficacité, il faut s’intéresser à toute la filière, par exemple à ceux qui vendent des « armes numériques » clés-en-main. « S'intéresser à la personne qui a déployé un Cryptolocker avec 500 ou 1 000 victimes est important, mais le plus important à comprendre, c'est que quelqu'un lui a vendu et comment s'organise l'écosystème autour » plaide le spécialiste. De même, démanteler les places de marché (comme des forums) peut être très efficace, « même s’ils sont vite remplacés aujourd'hui ».

Le but final de la démarche reste de rendre le déploiement d’un botnet plus difficile et coûteux, en informant mieux le public et en impliquant toute la filière, comme les hébergeurs ; OVH participe d’ailleurs à la Botconf 2015 sur ce sujet. De même, des campagnes publiques de nettoyage des PC sont organisées dans certains pays, pas encore en France. Surtout, « il faut être capable de se mettre autour de la table, au niveau national, européen ou mondial, et dire ‘C'est la menace qui m'inquiète, il faut la traiter rapidement’ », ce qui n’est pas encore le cas.

Une cohésion entre deux mondes

Il conseille d’ailleurs à ses collègues « praticiens » de s’engager dans une démarche scientifique. « Au pôle judiciaire de Rosny [où il travaillait précédemment], des scientifiques et laboratoires écrivent régulièrement dans des revues scientifiques ou techniques », comme beaucoup d’autres en Europe, explique-t-il. L’étape suivante est d’écrire des articles scientifiques. Sans parler des conférences scientifiques et techniques, comme la Botconf, qu’Éric Freyssinet recommande chaudement.

« Après, aller jusqu'à une thèse, ça permet de se poser un peu et de confronter sa réflexion à une démarche scientifique approfondie, de discuter avec d'autres scientifiques. On se rapproche d'eux dans la démarche, donc le dialogue devient plus riche. Donc oui, c'est passionnant comme aventure » résume-t-il. Encore une fois, le but était bel et bien de créer des ponts, alors que les défis se multiplient.

« L'idée, c'est que la recherche puisse guider et accompagner les gens qui ont les mains dans le cambouis et qui essaient de mettre en œuvre les solutions » explique-t-il encore.

Entre logiciels chiffrants et destruction de données professionnelles

Dans la pratique, les tendances du moment sont nées il y a quelques années : kits clés-en-main et réseaux pair à pair plus résilients, notamment. « Les rançongiciels ont évolué très fortement vers les rançongiciels chiffrants avec Cryptolocker depuis trois ans. Là on est en plein boom de cette pratique et au sommet de leur développement. Les botnets bancaires, qui ciblent les accès aux comptes, ont une vraie maturité » estime Éric Freyssinet.

De même, les botnets d’espionnage commercial (vol de données au long cours par exemple) devraient être de plus en plus utilisées pour de la destruction. La dernière année aurait donc été plus un perfectionnement de la menace qu’une révolution. Un modèle qui fonctionne sera aisément repris et modifié, explique le président de la Botconf. Derrière ces méthodes, la motivation principale reste l’argent, même si le vol de données et l’espionnage restent aussi importants.

La prochaine frontière : l’Internet des objets

Si les motivations restent les mêmes, les cibles, elles, évoluent avec les usages. Après le boom des botnets mobiles ces dernières années, les prochaines cibles seront sûrement les milliards d’objets connectés qui commencent à arriver sur le marché. C’est par exemple le cas des automobiles connectées. Au-delà d’une prise de contrôle d’une voiture, le risque principal serait encore le vol de données personnelles, par exemple sur les déplacements... Ou de voir des logiciels demander une rançon pour pouvoir démarrer le véhicule.

« Dans les échanges qu'on a avec les constructeurs français et européens, c'est un risque qu'ils ont clairement pris en compte » tient-il à rassurer. Il rappelle d’ailleurs que dans le plan de sécurité numérique, présenté à la mi-octobre par Manuel Valls, l’administration doit être justement disponible pour répondre aux questions sur la sécurité avant le lancement d’un produit, ce qui serait déjà exploité.

Dans les faits, il existe deux approches pour protéger un nouveau produit, selon la longévité. « Si on veut sortir un nouveau produit qui va marcher, la sécurité n'est pas toujours une priorité » constate Freyssinet. Selon lui, les concepteurs doivent intégrer une part de sécurité avant de lancer un produit, pour se concentrer sur des réponses plus spécifiques une fois le lancement passé.

« Après, il y a des services sur lesquels on ne peut pas se permettre de risques, par exemple dans le domaine médical ou l’automobile. On ne sort pas un produit médical pour le jeter l'année suivante » indique Freyssinet. Dans ces cas, les risques doivent être évalués très en amont, pour ne prendre absolument aucun risque, contrairement à un produit renouvelé plus souvent. C’est la démarche déjà prise dans les systèmes SCADA (industriels) et les objets médicaux connectés existants, comme les pacemakers. « Il y a des objets médicaux communicants qu'il faut absolument mieux sécuriser. C'est un message qu'on essaie de faire passer. » En clair, beaucoup reste à construire.

Une présentation sur deux acceptée pour la Botconf 2015

La Botconf est l’une des meilleures occasions de faire passer ces messages, autant parce qu’elle est internationale que parce qu’elle commence à s’installer dans le paysage des événements sur la sécurité. Le nombre de participants en hausse en atteste, mais aussi celui des présentations. Cette année, avec la même structure, les organisateurs ont dû refuser une présentation sur deux, « y compris des choses intéressantes ».

Certaines personnes auraient d’ailleurs été plus à l’aise pour proposer leur conférence. « Les thématiques sont vraiment dans l'air du temps par rapport à ce à quoi nous sommes confrontés » estime Freyssinet, avec un regret pourtant. « Ce qu'on regrette, c'est qu'il y ait finalement assez peu de présentations sur les approches transverses, par exemple juridiques ou financières. Du coup, cette année, c'est très technique » affirme le responsable de la conférence. La difficulté serait que les spécialistes juridiques internationaux sont peu nombreux, la plupart travaillant dans un pays, avec une législation propre.

La Botconf compte ainsi lancer les appels à conférence plus tôt l’an prochain, pour attirer d’autres personnes. Comme l’an dernier, pourtant, des conférences très pratiques seront présentées, par exemple sur des démantèlements de botnets.

Côté résultats, les participants des précédentes éditions auraient été satisfaits des rencontres et des présentations, avec un bémol encore. « D'une année sur l'autre, très clairement, les gens sont un peu plus calés sur le sujet. On aimerait tout de même que la conférence puisse contribuer directement à la résolution de problèmes », par exemple en aidant une enquête ou un démantèlement à avancer.

Après une édition 2014 à Nancy et cette édition 2015 à Paris, l’édition 2016 devrait, elle, se dérouler dans le sud, toujours avec la même équipe bénévole « qui marche bien ! ». Surtout, l’équipe organisatrice se penche sur l’idée d’ateliers en plus des conférences, réclamées par les participants, par exemple via une journée en amont. À voir si ce sera pour l’année prochaine, donc.

Par Guénaël Pépin Publiée le 02/12/2015 à 14:30

chargement
Chargement des commentaires...