Publié le 22-02-2004 dans le thème Tous thèmes

Pays : Europe - Auteur : Damien Bancal

Pub : CA Personal Firewall 2007 - Contrecarrez les intrus!

Barbouillage de site
Comment décrire la réalité des "defacers", dans un domaine ou par définition le risque encouru est directement lié à l'effort de discrétion et de dissimulation ?

Qui sont les barbouilleurs ?
Contrairement à une idée répandue, et s'il n'est pas toujours facile d'identifier les auteurs de ces actes, entrer en contact avec eux est d'une simplicité confondante. L'ensemble des groupes possèdent soit une adresse e-mail, souvent indiquée sur les pages modifiées, soit un canal IRC, et souvent les deux. Nous avons décidé de ne pas nous contenter de simples interviews par e-mails et sommes entrés en contact direct avec les responsables des 10 premiers groupes du monde, selon les statistiques fournies par alldas.de. Le top 20 (sources:Alldas.de / Force-H / ZATAZ) à la date du 28 juin 2002 :

Silver Lords | 1602
BHS | 1205
Poizonb0x |784
Prime Suspectz | 512
Hi-Tech Hate | 492
Unknown | 452
Demonios | 313
WFD | 291
Quit Crew | 285
Hackweiser | 280
limit.br | 241
tty0 | 223
Data Cha0s | 214
WoH | 214
GForce | 206
xst | 191
fux0r Inc. | 183
cr1m3 0rg4n1z4d0 | 178
Supreme Entity | 172
pr0phet | 162

Stats au 28/06/2002

Ajoutons le groupe GForce Pakistan, Moins de 300 sites, aux motivations particulières. Malgré la diversité des cibles, des motivations et des situations géographiques, on a vu des domaines où il était autrement plus difficile de dégager des généralités !Au profil des "defacers" correspondent un certain nombre de caractéristiques communément partagées :

L'age des membres :
Le taggueur de sites typique a 17 ou 18 ans. On note que le groupe le plus jeune (Silver Lords, 15 à 17 ans) est aussi le plus actif, mais cela n'est pas surprenant : le "defacement" est une activité qui demande un réel investissement en temps, une attirance certaine pour l'interdit, et qui correspond pour certains à une période de construction : on teste ses propres limites en les confrontant aux limites d'organisations sociales ou économiques très developpées. C'est une façon d'exister, de se le prouver, et de le prouver aux autres. Le plus âgé des interviewé a 24 ans.

L'existence récente du groupe :
Rares sont les groupes qui dépassent les 2 ans d'ancienneté, et on ne peut se pencher sur cette durée de vie sans parler des raisons qui sont la cause d'une interruption, souvent définitive, de l'activité de ceux-ci :

Changement d'activité : les attaques de sites web ne sont pas vraiment compatibles avec une vie professionnelle stable. Les risques encourus au niveau de l'emploi, le temps libre qui se réduit, la socialisation "forcée" (sécurité sociale, domicile en son nom propre...etc) et l'apparition de centres d'intérêts plus critiques sont autant de paramètres nouveaux qui peuvent amener un membre à
quitter le groupe.

Changement affectif : l'histoire d'amour est souvent citée comme pouvant amener à la dissolution d'un groupe. Celui-ci est constitué en moyenne de 3 a 5 individus, mais il est fréquent que seulement un ou deux d'entre eux soient actifs, les autre se contentant d'être présent, de donner des idées, ou de coder (pour les plus anciens). Une relation suivie, en détournant parfois définitivement l'un des acteurs majeurs du groupe, peut mettre à mal celui-ci.

Evolution technique : tous les groupes interrogés, sans aucun exception, reconnaissent que le barbouillage de sites ne demande en aucun cas de compétences techniques particulières... et que le "defacement" peut, l'age et la compétence technique s'élevant, devenir lassant. C'est probablement la cause principale de disparition d'un groupe. En découvrant d'autres horizons techniques, les participants prennent conscience de l'intérêt limité de cette activité potentiellement dangereuse et passent tout simplement à autre chose.

L'interpellation : l'arrestation d'un des membres est toujours ressentie comme un évènement extrêmement traumatisant par le groupe. Elle est presque systématiquement synonyme de disparition de l'équipe et de son activité. Ce paramètre est d'autant plus important que les structures législatives du pays sont clairement établies. Les groupes opérant depuis des états dont la police peut parfois être corrompue sont plus rarement inquiétés. C'est ce qui explique en partie la faible représentativité des pays fortement développés...

L'origine géographique :
Plus de la moitié des 10 groupes rencontrés sont d'origine brésilienne. Les deux nationalités les plus représentées sont ensuite le Pakistan et l'Indonésie. Les Etats-Unis arrivent en troisième position avec la Chine (et notamment "sysadmcn", qui totalise à lui seul plus d'attaques que tous les membres américains des autres groupes); les pays européens font l'objet d'une représentation anecdotique.

Les systèmes d'exploitation :
Les systèmes d'exploitation Windows, de Microsoft, sont de loin les plus souvent mis à mal. Plus de 70% des attaques de ces derniers temps concernaient des serveurs NT4.0 ou 2000. On peut estimer que les différentes distributions de Linux représentent 20% des barbouillages, les autres OS (AIX, Solaris, Irix, HPUX ...etc) se partageant les 10% restants. Tous les groupes, à l'exception notable de GForce Pakistan qui s'en prend surtout à Linux, ciblent principalement des machines sous Windows. Cela s'explique bien entendu par les parts de marché que se partagent chacun de ces systèmes d'exploitation, mais aussi et surtout (commentaire général des interrogés) par la facilité avec laquelle un serveur NT ou 2000 standard peut être compromis (GForce n'a défiguré que peu de serveurs sous Windows, jugeant ceux-ci "trop facile à attaquer").

Le niveau technique :
Au sein des équipes interrogées, on trouve souvent un développeur et un ou deux "defacers" seulement. Cela s'explique en grande partie par l'age des acteurs, le plus jeune étant âgé de 15 ans et le plus âgé de 24 ans environ. Mais il ne faut pas sous-estimer pour autant ceux que l'on a qualifié de "Script Kiddies". Tous font preuve d'une grande soif d'apprendre et d'une curiosité qui leur promet une évolution rapide dans le domaine.

La prudence, toute relative :
Si la plupart des équipes se montrent méfiantes quand il s'agit de rentrer en contact direct avec un inconnu, il faut pourtant noter que presque toutes:

> Sont joignables facilement sur IRC.
> Fournissent une adresse e-mail valable sur les pages piratées.
> Signent les pages de leur nom de groupe ET de leur pseudo. (A cet égard, il est intéressant de noter qu'on assiste en ce moment à une attaque massive de sites arabes de la part d'un defacer qui, étrangement, reste parfaitement anonyme... rendant ainsi le décompte de ses forfaits difficile : le résultat de ses action apparaissant dans la rubrique "unknown" au même titre que des dizaines d'autres attaques diverses).
> Utilisent des adresses IP souvent proches des leurs quand ce ne sont pas tout directement leurs propres adresses.
> N'effacent pas les logs générés par leurs attaques (par manque de temps, méconnaissance de l'environnement, ou tout simplement par flemme...).

Ce manque de précaution s'explique par la volonté unanime de faire connaître le fruit de leurs actions au plus grand nombre possible tout en étant facilement identifiable en tant que groupe. L'envie d'être reconnu s'accommode difficilement de l'anonymat total. Les chances d'identifier les membres d'une équipe étant directement proportionnelles aux moyens mis en oeuvre pour ce faire, la relative impunité des délinquants dépend en grande partie d'un simple postulat : le coup de la poursuite judiciaire est supérieur à celui des dégâts causés. Ceci explique cela : la plupart des actions de justice engagées à l'encontre des "defacers" le sont par des services gouvernementaux, ceux-ci mettant ensuite à contribution les entreprises victimes afin qu'en fournissant les traces des méfaits elles participent à l'établissement de l'accusation.

Les motivations :
L'envie de montrer aux "admins" à quel point leurs machines sont peu ou pas sécurisées est une motivation régulièrement invoquée. Mais elle cache souvent, en plus d'une réelle excitation pour le danger et le plaisir de l'interdit, des raisons beaucoup plus personnelles de passer à l'action.

> Hi-Tech Hate, dont le nom pourrait laisser croire qu'ils sont en lutte contre une émanation technologique de la mondialisation, n'a qu'un seul membre vraiment actif. Celui explique qu'il pirate en mémoire d'une personne chère qui serait décédée et en l'honneur de sa petite amie et de celles de ses trois meilleurs amis.

> Silver Lords et GForce Pakistan partagent une motivation commune : L'envie de faire connaître au monde la situation politique du Kashmir... mais les moyens diffèrent : quand Silver Lords privilégie la quantité, s'attaquant indiféremment à des sites de toute nationalité, GForce s'en prend uniquement aux sites indiens et israëliens, donnant ainsi l'image d'une "cyber-guerilla".

> La volonté de PoizonB0x semble être plus ludique : le "defacement" fait pour eux partie intégrante de la culture des "net-crackers". Les World of Hell, dans une interview à "Security News Portal", donnent leur propre vision de l'activité :

<< n0|d: The rush, adrenaline the so called natural drugs that a body can feel when doing something that you know its illegal, but you still do it for the rush and the adrenaline again and again. theslacker: I like the fact that you can get your message out to people, especially to a government if you hack alot of their *.gov sites. cowhead2000: The best thing about it is it kills boredom. It's so boring idling on IRC for 8 hours a day. And it's cool to look at some of the weird stuff you can find on some servers you hack that shouldn't be there >>

Le piratage de sites web en France :
Il est intéressant de noter que la "scène française", étonnamment absente des statistiques de Alldas, semble en pleine période de gestation. Le piratage de sites français est en nette recrudescence, comme l'atteste le miroir qui lui est dédié par zataz, L'arrivée de nouveaux éléments, tels que Neocid qui s'attaque seul à un certain nombres de sites à haute visibilité, et les récentes attaques de masse sur des sites de l'hexagone en sont le reflet frappant. Neocid, tout juste 18 ans, n'a pas seulement attiré l'attention d'un certain nombre de groupes sur les domaines francophones (2600 France, par exemple); il pourrait être à l'origine d'un certain nombre de "vocations" et il ne serait pas surprenant que le barbouillage de site devienne pour un certain nombre de jeunes une alternative attirante aux activités beaucoup plus répandues telles que le piratage de logiciels. Souhaitons de notre côté que ce ne sera pas le cas.

Concours Coca Cola 2008

Vous venez de gagner un lot de 32.000 euros via un concours organisé par Coca-Cola. Une arnaque sans sucre.

Fuite de données via Google Bloc-notes

Un commercial de la société Vonage enregistré ses notes et données sensibles sur son espace privé Google Bloc-notes.

Un nouveau ver s'attaque aux réseaux d´entreprise

Une alerte concernant les nouvelles versions du ver Downadup. Ce ver infecte les postes de travail et serveurs Windows.

Espionnage informatique effectué par la police

Le département britannique de l´Intérieur annonce préparer un plan qui permettra à la police d´infiltrer et espionner les ordinateurs personnels de l´ensemble des citoyens.

Université des Correspondants Informatique et Libertés

L´Association Française des Correspondants Informatique et Libertés organise le 21 janvier prochain sa 3ème Université des Correspondants Informatique et Libertés.

La justice Chinoise s´attaque aux contrefacteurs

La Chine a rendu public huit importants cas de réseaux de contrefacteurs de films, logiciels et livres.

L´actualité juridique du mois de décembre

Comme il est de tradition sur ZATAZ depuis 13 ans, voici les actualités mensuelles de Maître Murielle Cahen, avocate spécialisée dans les NTIC.

Mort de Castlecops

Castlecops, association qui travaillait sur la cybercriminalité, vient d´annonce la cessation de ses activités.

Des images pour adultes sur le site d'une Prefecture Française !

Exclusif : La Préfécture de l'Yonne propose sur son espace web officiel un programme sportif qui risque de finir dans le journal du Hard !

Chrome aurait grignote du cote du code source de Microsoft

Google aurait désassemblé le code source de Windows Vista afin de faire fonctionner son navigateur Internet Chrome.

Le cheval de Troie avait des plumes

La police bosniaque arrête un dangereux cheval de Troie agissant dans une prison du pays. Le trojan avait des plumes !

Stitcher Unlimited 2009 et ImageModeler 2009

Ces logiciels proposent des capacités avancées de création de panoramas et de modélisation 3D à partir d’images 2D

Une fréquence pour HAG’ FM

Le Conseil supérieur de l’audiovisuel, réuni en assemblée plénière le 22 juillet 2008, a sélectionné les candidats à l’exploitation de 279 fréquences FM.

L'armée française a infiltré FREE

Exclu - Étrange lien de redirection vidéo sur le site officiel du Ministère de la Défense Française.

Force Commerciale

Force Commerciale : recrutement de commerciaux et actualité de la vente.

WESTCON SECURITY lance une nouvelle formation

Pour répondre à une demande forte du marché, Westcon Security France élargit son catalogue avec une formation sur les fondamentaux de la sécurité des systèmes d’information (SSI).

Réagissez à ce contenu