Points de vue alternatifs

Analyse et veille des médias internationaux : géopolitique, économie, numérique...


Surveillance : Précisions sur le programme massif de scan de ports HACIENDA (Heise)

Publié par Kiergaard sur 15 Août 2014, 20:13pm

Catégories : #Numérique

Dans un article collaboratif publié sur le magazine technologique allemand Heise, Laura Poitras, Jacob Appelbaum, Henrik Moltke, Monika Ermert, Christian Grothoff et Julian Kirsch révèlent les détails sur le programme HACIENDA du GCHQ britannique. Cet outil de scan de ports permet de localiser des systèmes à très grande échelle (jusqu'à celle d'un pays entier). L'article détaille la technique de ce système et en pèse les implications s'il est utilisé à grande échelle. L'article a été traduit en plusieurs langues, la version française de l'article a été réalisée par Andreas Enge, directeur de recherche à l'INRIA.

Surveillance : Précisions sur le programme massif de scan de ports HACIENDA (Heise)

Apparu sur les radars de manière quasi anonyme dans une liste que j'ai décrite comme la "boîte à outils" développée par les ingénieurs du GCHQ, l'outil Hacienda est un outil permettant de scanner des ports pour y détecter des vulnérabilités. Cette technologie est commune, cependant l'échelle "gargantuesque" et "l'ubiquité" de l'opération choque les auteurs de l'article qui est structuré autour de 26 diapositives issues des programmes du GCHQ, de la NSA, et des renseignements canadiens.

 

Je renvoie à la version française de l'article dont je me contente de reprendre quelques extraits : 

« Depuis les débuts du protocole TCP, des scans de ports ont été utilisés par des hackers pour localiser des systèmes vulnérables. Des documents classifiés top secrets vus par Heise (portail allemand d'actualités technologiques) révèlent qu'en 2009, l'agence d'espionnage britannique GHCQ a transformé les scans de ports en un outil utilisé par défaut contre des pays entiers (figure 1). 27 pays sont mentionnés comme cibles du programme HACIENDA dans la présentation (figure 2), qui vient accompagnée d'une offre promotionnelle: des lecteurs souhaitant faire de la reconnaissance contre un autre pays sont invités à simplement envoyer un e-mail (figure 3). Les documents ne détaillent pas de procédure de vérification ou le besoin de justifier une telle action. La possibilité de scanner des pays entiers n'est pas une chimère folle; en 2013 un scanner de port appelé Zmap a été développé qui arrive à parcourir l'espace mondial des adresses IPv4 en moins d'une heure depuis un simple ordinateur personnel. Ainsi, l'utilisation massive de cette technologie peut transformer tout ordinateur, grand ou petit, partout dans le monde, en une cible de saboteurs informatiques criminels au service des états.

La liste des services ciblés inclue des services publics omniprésents tels que HTTP et FTP, ainsi que des protocoles d'administration usuels tels que SSH (Secure SHell protocol, utilisé pour accéder à un système distant) ou SNMP (Simple Network Management Protocol, utilisé pour l'administration de réseaux), voir figure 4. Sachant que des scanners de ports comme Zmap publiés entretemps permettent à n'importe qui de faire des scans massifs, ce n'est pas la technologie employée qui choque, mais plutôt l'échelle gargantuesque et l'ubiquité de l'opération.

(...)

TCP (Transmission Control Protocol, protocole de contrôle de la transmission) est le protocole le plus répandu sur Internet. À chaque fois qu'un e-mail est envoyé ou qu'une page web est regardée, c'est TCP qui est responsable de la transmission fiable des paquets de données entre le client et le serveur. Pour déterminer quels services sont disponibles sur un ordinateur, les scanners de ports exploitent un problème structurel de TCP. Depuis l'aube des temps, ces scans sont utilisés par des attaquants pour localiser des serveurs vulnérables. À chaque fois qu'un client TCP voudrait communiquer avec un server TCP, les deux parties engagent un "three-way-handshake" ("poignée de mains à trois tours"). D'ailleurs, c'est une erreur dans la conception de ce handshake qui rend le scan de ports possible, car lors du handshake, le serveur laisse fuire de l'information sur la disponibilité d'un service, et ce sans vérifier au préalable si le client est autorisé à l'utiliser.

(...)

Le GCHQ ne se contente pas de simples scans de ports, mais collecte également des "bannières" et d'autres informations facilement obtenables (figure 4). Une bannière est un message qu'une application envoie par défaut à tout client qui se connecte à son port associé; souvent, elle contient des informations détaillées sur le système et l'applications, comme des numéros de version et d'autres informations utiles pour détecter des failles. L'échelle massive de ces opérations de reconnaissance relatées dans les documents montre qu'il s'agit non d'attaquer des cibles précises, mais de collecter activement et de cartographier complètement les systèmes vulnérables dans le monde. Au lieu du cliché de l'écoute ubiquitaire, les documents présentés montrent une interaction avec les réseaux et les systèmes.

En préparant des attaques contres des services accessibles par SSH ou SNMP, les agences d'espionnage ciblent des infrastructures critiques telles que les systèmes nécessaires pour le bon fonctionnement des réseaux. Comme illustré par les intrusions dans les systèmes de Belgacom et de Stellar, dès que l'ordinateur ou les données personnelles d'un employé deviennent utiles, ces systèmes et personnes sont ciblés et attaqués.

La base de données issue des scans est alors diffusé aux autres membres du club des espions des "Five eyes" (figure 7), c'est-à-dire les États unis, le Canada, le Royaume uni, l'Australie et la Nouvelle-Zélande. Le programme MAILORDER est décrit dans les documents comme un protocole d'échange de données sécurisé parmi les agences d'espionnage des Five eyes.

Le scan de serveurs de pays entiers et la recherche de vulnérabilités dans l'infrastructure des réseaux a pour but suprême la "domination d'Internet": "Mastering the Internet" est également le nom que le GCHQ a donné à un programme d'écoute de connexions réseau. Ces agences d'espionnages essaient d'attaquer chaque système, probablement dans le but d'obtenir l'accès à d'autres systèmes. Des systèmes peuvent devenir des cibles simplement parce qu'ils peuvent éventuellement aider à créer un chemin vers une cible précieuse pour les espion, même s'il n'y a aucune indication tangible que ce sera jamais le cas. Suivant cette logique, tout appareil est une cible digne de colonisation, car chaque cible exploitée devient théoriquement intéressante comme moyen d'infiltrer, de surveiller ou de se rapprocher de la cible suivante.

Figure 8 pointe un rôle particulier qu'HACIENDA joue dans l'infrastructure des Five eyes, notamment pour l'extension de leur infrastructure cachée. Les documents top secrets vus par Heise décrivent le programme LANDMARK mis en œuvre par l'agence d'espionnage canadienne CSEC pour l'expansion de l'infrastructure cachée (figure 17).

(...)

Mais les canadiens ne sont pas les seuls à chercher avec HACIENDA des machines compromises et susceptibles d'être transformées en ORB. La chasse aux ORB est organisée au GCHQ dans le cadre du programme MUGSHOT (figure 23). La procédure y est également automatisée, ce qui selon l'agence a permis une amélioration significative de la précision (figure 24). Encore une fois, les informations fournies par HACIENDA jouent un rôle important. Point crucial: à l'aide de MUGSHOT, le GCHQ combine les résultats de scans actifs (HACIENDA) avec la surveillance passive (figure 26), pour "comprendre tout ce qui est important de toutes les machines sur Internet".

Ainsi, les administateurs système et réseau se trouvent face aux menaces d'espionnage industriel, de sabotage et d'atteintes aux droits de l'homme fabriquées par des adversaires étatiques qui, sans distinction, attaquent l'infrastructure réseau et cambriolent les serveurs. Seule la perspective d'accès suffit à un tel adversaire pour justifier son comportement, et il est soutenu par des budgets de plusieurs milliards de dollars, par l'impunité des agents et par des entreprises privées des pays des Five eyes contraintes de collaborer. Tout administrateur système ou réseau doit se prémunir contre ces menaces inouïes. À cause de ces programmes, les citoyens des pays en dehors des Five eyes en particulier se trouvent face à un niveau considérablement baissé de sécurité, de confidentialité, d'intégrité et de robustesse.

(...) 

Les services secrets profitent de leur capacité à prendre contrôle des système dans Internet pour augmenter leur pouvoir. Leurs activités suivent le comportement typique de cyber-criminels, qui utilisent des scans de ports pour identifier leurs victimes potentielles. Face à cette menace sérieuse, les administateurs système doivent renforcer leurs défenses et, en particulier, réduire la visibilité de services non publics. Patcher des services ne protège pas contre les attaques zéro jour, et les pare-feux peuvent être inpraticables ou insuffisants. Dans la seconde partie de cet article, nous allons introduire une autre option pour des administrateurs système pour réduire la visibilité de services d'administration non publics face aux opérations de reconnaissance. En standardisant de telles techniques, la communauté d'Internet pourra affaiblir la capacité de servcies de sécurité de reigner sur Internet. »

 

Parmi ces techniques :

- Réduire la visibilité des serveurs TCP sur internet

- Une technique développée, intitulée TCP Stealth, par certains des auteurs qui vise à établir des protections supplémentaires sur la partie "données" du paquet, certaines limitations affectent cette technique mais elle offre une protection supplémentaire contre les attaques non ciblées.

 

Conclusion de l'article

« Des solutions techniques telles que TCP Stealth fournissent une possibilité aux administateurs de durcir leurs systèmes en protégeant des services TCP internes contre des attaques par des criminels, qu'ils soient des particuliers, motivés par des mobiles commerciaux ou des services d'état. Mais comme Linus Neumeier du CCC (Chaos Computer Club) a remarqué récemment dans un OpenEd pour Heise, il peut bien s'avérer impossible de gagner la course aux armes dans le long terme uniquement par des moyens techniques. Sans la volonté politique nécessaire de protéger par la loi, de promouvoir et de financer des systèmes de communications sûrs, cette bataille inégale continuera --- et les utilisateurs perdront. Neumann a souligné que des systèmes de communication sûrs seraient possibles, mais que les gouvernements ont bien plus peur d'une perte de contrôle qu'ils ne soutiennent des réseaux durcis (et moins contrôlables). Beaucoup de travail politique est devant nous; mais déjà aujourd'hui, les fabriquants de systèmes d'exploitation et les administateurs peuvent améliorer la situation en mettant en place des outils de sécurité moderne ».

 

 

Archives

Nous sommes sociaux !

Articles récents