jeudi 8 octobre 2009

phishing / botnet ... allez savoir

L'actualité sécurité de ces derniers temps a été assez peu fournie, mis à part la faille dans SMBv2 dont il a été largement question sur des tonnes et des tonnes de blogs, et un début de troll/réflection sur la définition d'exploit public, et l'impact que tout cela a sur des sites comme OSVDB et la gestion du risque[1] (et ça a encore continué cette nuit sur la mailing list Daily Dave, et je n'ai pas encore lu tout ça). Comme je le disais, des tas de sites et de gens plus concernés que je ne le suis en ont déjà parlé, m'y mettre à mon tour n'apprendrait rien du tout au lecteur que vous-êtes, et ne ferait qu'augmenter la probabilité (déjà suffisament haute) que je dise une connerie :-)

Alors je pensais me rabattre sur un truc plus récent, à savoir la mise à disposition (qui a parlé de "fuite" ? :)) d'énormes quantités d'identifiants, avec leurs mots de passe, tout d'abord de Microsoft Live (live, hotmail, msn, je ne sais même plus comment ça doit s'appeller ce truc là), puis ensuite google, yahoo, ...
News0ft nous a proposé sa vision des conséquences que l'on peut tirer vis à vis de ce que l'on peut constater à la vue de tous ces mots de passe. Des sites d'information généralistes ont juste proposé une analyse des mots de passe. Ce que l'on peut retenir de cet incident, c'est que tant que les gens utiliseront des mots de passe aussi triviaux que "12345" ou "love", la situation en terme de sécurité n'évoluera pas, du moins, pas dans le bon sens. Finalement, "Hackers" (le film de 95 avec Angelina Jolie) c'est pas si débile que ça :) (je pense aux scènes où le guru hacker dit que tout ce qu'il y a à savoir, c'est que les mots de passe les plus utilisés sont "love", "sex", "secret" et "god")

Officiellement, tous ces credentials ont été obtenus via une "massive campagne de phishing" (vous savez, le truc où on vous envoie un mail disant que pour une raison de sécurité vous devez confirmer votre mot de passe, ou votre numéro de carte de crédit et qui en fait est hébergé sur un site dans un pays assez lointain). J'ai lu quelque part qu'un chercheur en sécurité doute fortement de cette hypothèse et pense qu'il s'agit plutôt d'un botnet qui aurait récolté tous ces identifiants. Voici ses arguments:

Landesman based her speculation on an accidental find in August of a cache of usernames and passwords, including those from Windows Live ID, the umbrella log-on service that Microsoft offers users to access Hotmail, Messenger and a slew of other online services.

That cache contained about 5,000 Windows Live ID username/password combinations, said Landesman, who found the trove while researching a new piece of malware. "From the organization [of that cache] and what the data looked like in raw form, I think it's more likely that this latest was the result of keylogging or data theft, not phishing," Landesman said.

En gros, une référence à une anecdote remontant au mois d'aout, où une liste de 5000 comptes windows live ont été découverts sur un site de haxorz, avec leurs mots de passe, le tout organisé sous une forme assez brute. Ouais ok cool, mais ça ne prouve rien ça.
Sur un autre site que je ne retrouve malheureusement plus, il était fait référence à cette même ancienne liste, contenant également une URL et quelques autres identifiants, style FTP, qui auraient pu faire penser à des données capturées par un keylogger.
L'idée n'est pas totalement absurde cependant. Le second argument l'est par contre:
"Phishing is not generally a wildly successful scam, it doesn't have a big return. People are more savvy about phishing than we give them credit for."
Je préfèrerais des chiffres pour appuyer cette idée. Moi je n'en ai pas non plus pour la réfuter. Je pars juste du principe que si ça se fait encore beaucoup (le phishing), c'est que le taux de "retour" (données récoltées) reste suffisament attractif.
Après tout, ce n'est peut-être qu'un peu de pub pour ScanSafe, pour qui travaille Mary Landesman, qui vend des produits anti malware. (fin du troll)

Alors je n'ai pas trop analysé cette liste (trouvable en deux minutes sur google, en utilisant quelques mots clés présents sur un des nombreux articles analysant cet incident), mais de ce que j'ai pu voir, il y a au moins un identifiant qui apparait plusieurs fois, avec un oubli de lettre à chaque fois:
blanco_395@hotmail.com:blaco
blanco_395@hotmail.com:blasco
blanco_395@hotmail.co:blasco
Je n'ai jamais analysé de très près le fonctionnement interne d'un botnet, tel que sa manière de récolter un mot de passe d'accès à un webmail, mais si j'avais à développer ça, je pense que j'irais taper dans les fichiers profil du navigateur (les fichiers signonsX.txt et keysX.db de firefox). Sans vouloir faire de psychologie à deux balles de l'utilisateur lambda d'internet, je pense que le type qui utilise "12345" comme mot de passe l'a aussi enregistré dans son navigateur (en plus d'utiliser ce même mot de passe partout).
Sans vouloir glorifier les développeurs de botnet (sans qui, pas mal d'entre nous n'auraient pas un boulot aussi fascinant que celui que nous avons, ah ah), j'ose espérer qu'ils ont recours à des méthodes "efficaces" pour récolter des mots de passe, et non pas des techniques hasardeuses qui consistent à lire le mot de passe saisi à chaque fois que l'utilisateur se loggue, en prenant le risque d'enregistrer des mots de passe erronés.
Alors tout cela me rappelle une anecdote il y a quelques années, à l'époque où j'ai découvert le côté obscur de The Internets (ça nous ramène vers le milieu de l'an 2000 quoi). Un "kit" de phishing caramail circulait. Oui, Caramail (rigolez pas :)). Le mot phishing n'existait pas à l'époque. Ce n'était pas un kit à proprement parler, mais un script CGI hébergé quelque part, avec un formulaire pour le gros haxor lui demandant deux adresses: la sienne et celle de la victime. En validant le formulaire, un mail était envoyé à la victime, se faisant passer pour un service de caramail incitant, pour une sombre raison, la victime à saisir ses identifiants dans un mail en html (eh ouais). Impossible de saisir un mot de passe erroné, le script vérifiait (en tentant de se connecter j'imagine) si les identifiants étaient bons ou pas, et la victime se mangeait un message d'erreur si elle osait mal remplir son formulaire. Le truc fonctionnait en tout cas. Ensuite, n'ayant pas analysé de kit de phishing récemment, je ne sais pas du tout s'ils font encore cela (je vous entends d'ici me dire d'aller en télécharger et en analyser un, au lieu d'écrire des suppositions bidon issues d'expériences douteuses avec caramail il y a 10 ans, mais en fait je n'en ferai rien).

Au final on en sait rien, si c'est issu de phishing ou d'un botnet. Moi je pencherais plutôt pour du phishing, mais je pense surtout que les gens trollent sur le mauvais truc, au lieu de troller sur la qualité des mots de passe utilisés, qui, botnet ou phishing, est un problème bien pire (tant qu'on obligera pas les gens à utiliser des mots de passe plus complexes, ou des méthodes d'authentification forte (non, je ne vais pas troller là dessus, pas ce soir)) l'utilisateur lambda représentera le plus gros danger (pour lui même, ou son entreprise)).

Fin du troll pour aujourd'hui. Je sais que j'ai pris pas mal de racourcis que je n'aurais probablement pas du prendre lors de la rédaction de ce truc, mais je pense que chacun s'y retrouvera.

Sans transition, je me suis remis à la musique (j'ai pris un clavier-maitre MIDI), c'est impressionnant comme LMMS peut-être performant pour ce que je lui demande de faire (restituer ce que je joue, le modifier et l'enregistrer). En tout cas, pour un logiciel libre. Je ne balancerai probablement pas ce que je joue sur ce blog, mais si des gens sont intéressés, il suffira de me demander par mail.

[1] La derniere fois que j'ai sorti "gestion du risque" lors d'un troll avec des collègues, on m'a dit que je m'engageais dans la mauvaise direction.

1 commentaire:

Anonyme a dit…

Les kits de phishing restent très basiques. Pour la transmission des données, le plus souvent il s'agit d'un simple formulaire qui balance ça vers un script PHP, ce dernier envoyant les infos dérobées par e-mail au fraudeur ... Aucune vérification sur les données dans le script, la plupart du temps...
Sinon, pour la musique, envoie-moi tes productions, je t'enverrais mon espace Youtube ou je gratouille un peu ma guitare ... Y'a peut-être moyen de faire un truc non ? :-p