C'est la plus grande affaire d'espionnage auquel notre pays doit faire face. Enfin d'après le gouvernement et la presse. Alors est-ce vraiment les chinois qui ont infecté de manière ciblé 150 ordinateurs du ministère de l'économie, ou est-ce une propagation virale standard?








Une attaque ultra ciblée et ultra virulente
"Il s'agirait de la plus importante attaque informatique jamais menée contre l'Etat français" commence l'article du monde.fr. Importante? Pas en volume en tout cas. Sur un parc de plus de 100 000 machines, seules 150 ont été infectées.
Importante stratégiquement parlant, peut-être. De hauts fonctionnaires ont été touchés et le cheval de Troie cherchait automatiquement des documents en relation avec le G20.
Patrick Pailloux, directeur général de l'ANSSI, a déclaré "Indéniablement, cette attaque est l'oeuvre de professionnels qui ont agi avec des moyens importants nécessitant préparation et méthode".
Ha bon? ET bien voyons ensemble ces moyens importants...

Un vecteur d'attaque vieux comme le web
Comment ces PC ont été infectés? Par courriel! Vous connaissez ces virus qui se transmettent de boites mail en boites mail, et bien ici c'est pareil! Au départ il y a une machine infectée (et c'est là le plus dur du travail). Ensuite cette machine transmet un fichier PDF vérolé à tout le carnet d'adresse de l'utilisateur.
Cela vous étonne? Mais les réseaux gouvernementaux ou militaires utilisent des technologies identiques aux entreprises ou particuliers. Donc théoriquement et techniquement ils ne sont pas plus dur à pirater. La grande force de ce type de structure est la formation et la culture sécurité de ses membres.
Et les antivirus? Et les firewall? Et si le gouvernement travaillait sous Mac ou linux?


Mais pourtant ils ont des antivirus à jour!?
Patrick Pailloux a indiqué à la presse que le trojan avait été conçu spécialement pour l'attaque. Démystifions un peu cela.
1/ Il existe de nombreux codes malveillants, et les spécialistes se font une joie de triturer leur code source. Pour les pirates, il a suffit d'en prendre un qui se réplique par mail et de lui intégrer la fonction "recherche G20".
2/ Il existe de nombreux logiciels qui "masquent" le vilain programme des yeux des équipements de sécurité. Crypter, Packer, ils pullulent sur internet. Il existe également des malwares un peu plus évolués qui peuvent changer leur code. Ainsi la détection antivirus par signature logiciel est impossible ou plus difficile
3/ Origami de la société Sogeti ou encore les recherches et outils de Didier Stevens, l'infection par PDF est connu depuis un moment, les vulnérabilités dans Adobe étant nombreuses.
On comprend donc que n'importe quel script-kiddies de hackforum.net est capable, avec un peu de recherche, de forger un PiègeDF quasiment indétectable. Ensuite avec un peu de social ingeneering, il reste à infecter une personne du ministère.


Solution à la con : passez sous linux!
Attention, je ne dis pas qu'un antivirus ne sert à rien. Même un avast vaut mieux que rien du tout. Et c'est certain que sous Mac ou Linux, il y aurait moins de chance d'infection aléatoire. Mais voir des "geeks" faire leur malin sur twitter en voulant jouer les consultants sécu et migrer tout le parc windows du ministère vers Linux, ça m'énerve.
Linux n'est pas infaillible. Il existe des malwares multi-plateforme, et le support PDF est justement un de ces vecteurs "portables". Ensuite d'après Patrick ce virus avait été créé exprès pour l'occasion! Alors Windows, Linux, OS X ou beOS, peu importe! Le pirate l'aurait adapté au système ciblé.


Et si s'était un gros coup de pub pour l'ANSSI?
Il semble de que l'affaire Renault soit une (relative) fumisterie, présentée pourtant comme le cas d'école d'espionnage industriel. On a donc aujourd'hui le devoir de se poser des questions face à ce nouvel incident.
En première ligne pour répondre aux questions sur l'attaque du ministère de l'Economie, l'Agence National de la Sécurité des Systèmes d'Information. Normal, car depuis le décret du 11 février 2011, l'Agence s'est officiellement vu confier la mission d'assurer la défense et la sécurité des systèmes d'information en France.
Mais bizarrement moins d'un mois plus tard, elle se targue de gérer une des plus grosses affaires d'espionnage anti-français, alors que lors de la dernière affaire majeure l'Etat était resté très discret...

Alors pourquoi aujourd'hui ce battage médiatique? Louche, oui, mais peut-on en vouloir à la presse et au gouvernement d'enfin considérer les réseaux d'information comme vitaux à la stabilité d'un pays?
Espérons en savoir plus dans les jours/semaines/mois qui viennent.