Quels sont vraiment les objectifs d’un Black Hat ? Quels sont ses motivations ? Pourquoi il agissait ainsi ? Comment gagne sa vie ? 


Étant donné le concept un peu flou qui règne encore autour du black hacking dans l’esprit de pas mal de personnes, je partage avec vous une interview intéressante qui éclaire pas mal de trucs sur les black hat et le monde de la cybercriminalité.
C’est une interview passionnante mise en ligne sur le blog Robert Hansen, du site WhitehatSec.

Q : Pouvez-vous décrire quelles sont, selon vous, vos compétences en matière de piratage et de sécurité informatique ?

R : Mon domaine d’expertise, ma spécialité, c’est vraiment l’ingénierie sociale. Je suis très clairement un black hat, aussi j’utilise l’ingénierie sociale pour pirater Facebook ou des cartes de crédit. Un autre domaine du « piratage » (j’utilise des guillemets, car le DDoS n’est pas vraiment du piratage), c’est la construction de botnet, et l’abattage de serveur. D’après moi, c’est là que se trouve le profit réel : en une journée, on peut gagner plusieurs centaines de milliers de dollars. Le milieu black hat a évolué, pour passer d’actions manuelles à une automatisation générale des logiciels.

Q : Vous souvenez-vous de la première fois où vous avez volontairement enfreint le droit de l’informatique ? Pourquoi l’avez-vous fait, et comment avez-vous alors justifié votre acte ?

R : Hum, c’était il y a de nombreuses années. Mon souvenir le plus ancien remonte à l’école, lorsque j’avais environ 14 ans. Les administrateurs systèmes étaient plutôt compétents (enfin, pour des administrateurs scolaires). Un jour, je me trouvais dans la bibliothèque, et je savais que les administrateurs, ainsi que le bibliothécaire, avaient un accès à distance à tous les PC. Comme par hasard, la bibliothèque était l’endroit où ils corrigeaient nos contrôles, et entraient nos notes dans le système. Je n’ai jamais été le petit génie de l’école, et j’avais des notes assez médiocres. Aussi je me suis dit que peut-être, je pourrais obtenir des A et des A+ en travaillant deux fois moins, et j’ai commencé à me renseigner. Jusqu’à ce que je découvre les keyloggers.

Cela me paraissait à la fois étrange et fascinant qu’un simple programme, que je pouvais écrire moi-même (avec un peu de travail), soit en mesure de me donner les meilleures notes possibles. Aussi je m’y suis mis, j’ai installé le keylogger sur le PC du bibliothécaire, et j’ai utilisé le logiciel d’accès à distance pour installer le même programme sur les autres ordinateurs. J’ai été suspendu pendant deux semaines.

Q : Où avez-vous acquis la plus grande partie de vos compétences ?

R : Dans les livres, avec Google, et en discutant avec des interlocuteurs sur divers forums et sur l’IRC. Contrairement aux « Haxorz 1337 » de maintenant (rires), à l’époque, nous partagions tout, nous échangions, et nous nous aidions mutuellement. On ne craignait pas d’être ridiculisé pour nos lacunes.

Q : Qu’est-ce qui vous a attiré dans le mode de vie des black hats ?

R : L’argent. Je trouvais amusant que quelques heures passées devant la télévision, à taper sur mon portable, puissent me rapporter l’équivalent du salaire mensuel d’un travailleur consciencieux. En fait, c’était presque trop simple.

argent

 

Q : Au plus fort de votre activité botnet, combien de machines contrôliez-vous ?

R : Hum, ça dépend. J’avais deux botnets distincts (bien que certains bots fassent parfois double emploi). Le botnet de DDoS regroupait des ordinateurs publics et de bureau, qui fonctionnaient comme bots. Et ce pour deux raisons : non seulement ces ordinateurs sont allumés toute la journée, et possèdent généralement des connexions rapides à internet, mais en plus, les gens sont suffisamment intelligents pour ne pas utiliser de tels ordinateurs publics pour effectuer leurs opérations financières (et s’ils le faisaient, autant laisser un script kiddie s’occuper d’eux).

Et puis il y avait mon botnet pour cartes bancaires, clairement le plus précieux des deux. Ces PC étaient des ordinateurs de banques, d’agents immobiliers, de supermarchés, et évidemment, des PC domestiques. Je préférais largement cibler les PC sur lesquels un employé avait l’habitude d’entrer les informations de sa clientèle : autrement dit, les banques (oui, l’ordinateur d’une banque est particulièrement facile à transformer en bot). Tout cela m’a permis d’obtenir une réserve inépuisable de cartes de crédit, et d’adresses à spammer. Le botnet de DDoS regroupe actuellement environ 60000-70000 bots, la plupart en Occident. L’autre botnet, lui, n’en comprend que 5000 à 10000, principalement en Asie. Mon record, c’est probablement d’avoir contrôlé quelque chose comme 570000 bots simultanés.

boot

Q : D’après vous, au plus fort de votre activité, combien d’argent vous restait-il chaque année, une fois vos frais de fonctionnement pris en compte ?

R : Je ne peux pas vraiment entrer dans les détails, mais lorsque le 11 septembre s’est produit, nous en étions à plusieurs millions de dollars par an.

Q : Et combien d’argent avez-vous gagné l’année dernière ?

R : Comme ça, au jugé ? Environ 400000-500000 dollars. L’année dernière était assez merdique. Les gens se sont assagis, la fréquence des correctifs a augmenté. Cette année, nous avons déjà atteint les trois quarts de cette somme.

Q : Lorsque vous avez commencé, est-ce que vous aviez en tête un objectif précis, par exemple une certaine somme d’argent ?

R : Beaucoup de nouveaux me posent cette question sur les forums. Avant ces quatre dernières années, je ne m’étais jamais fixé d’objectif. Au début, je faisais uniquement ça pour m’amuser, pour me vanter (rires), et pour l’argent très, très facile.

 

Q : À quel point le piratage d’un site est-il facile pour vous ?

R : Les débutants n’ont qu’à chercher « inurl:money.php?id= » dans Google. Allez-y, essayez. Mais la plupart des sites auront déjà été vidés ou fermés. Aussi, il faut cibler les sites plus importants. J’aime beaucoup surveiller les informations, en particulier économiques. Prenons un site qui vient de se lancer sur le marché, et dont les ventes en ligne explosent : aussitôt, il devient une cible intéressante. La plupart des sites de ce genre sont gérés par des administrateurs ne connaissant rien au milieu du piratage informatique, et ignorant tout de la manière dont fonctionne l’esprit des pirates. Cela les laisse particulièrement vulnérables. Ils utilisent les correctifs SQL, mais choisissent un DNS vulnérable à l’empoisonnement de cache DNS. On peut s’y introduire et être reparti en moins d’une heure.

Q : À quel point les informations Whois, et autres données publiques vous facilitent-elles la tâche pour prendre le contrôle d’un compte piraté ?

R : Autrefois, Whois était essentiel pour acquérir des informations. Mais maintenant, les gens les affichent partout, sur Facebook, Twitter, etc. Des compagnies comme Amazon n’ont besoin que du nom, de l’adresse et du mail d’un compte pour lui associer une nouvelle carte de crédit. Ensuite on raccroche le téléphone, puis on appelle le département de réinitialisation du mot de passe, pour leur donner, en guise de vérification d’identité, le nom, l’adresse, le mail et le numéro de carte de crédit que vous venez d’ajouter au compte (ces informations n’ont même pas besoin d’être valides, il suffit d’utiliser un générateur de nom aléatoire).

Et voilà, on y est : on peut alors voir les quatre derniers chiffres de la vraie carte de crédit enregistrée. Ensuite, il suffit de demander un email de réinitialisation du mot de passe, et c’est fini. Amazon prétend qu’ils ont corrigé cette faille il y a deux ans, mais je continue d’utiliser cette méthode constamment. Franchement, Amazon, vous devriez mieux former vos employés.

 

Q : Quel est votre exploit préféré/le plus efficace contre les sites internet, et pourquoi ?

R : Si c’est un 0-day, alors forcément je le mets en tête de mon classement personnel. Avec juste dessous, les XSS. C’est connu de tous, mais pourtant, personne ne s’en protège. Je suppose que le DDoS n’est pas vraiment un exploit, mais ça peut quand même nous rapporter un « salaire » mensuel, en échange de notre « protection ». Mais les 0-days restent les exploits les plus intéressants.

Q : Comment rentabilisez-vous les DDoS ?

R : Les gens achètent des comptes. Par exemple, vous louez mille bots, pour un temps de DDoS de trente minutes. Certains clients n’achètent qu’une seule fois. Le racket est une grande part de ce commerce : on abat un site pendant une heure, on envoie un email aux propriétaires, ou on les appelle pour leur demander 200 dollars, ou bien le site sera abattu pour de bon. Généralement, ils paient. Et s’ils ne le font pas, ils perdent des jours, des semaines, ou des mois de transactions.

Q : Comment choisissez-vous quelles cibles attaquer au DDoS, pour ensuite les faire chanter ?

R : Hum, ça dépend. S’il y a un grand événement sportif, comme le Super Bowl, vous pouvez être sûr que 95 % des sites de paris sportifs se sont fait extorquer de l’argent. J’ai connu un groupe qui s’en était pris à un site de recherche contre le cancer, juste avant le lancement d’une grande campagne de collecte de fonds. Et c’est triste à dire, mais le groupe a eu son argent.

Q : Qui sont clients qui paient pour accéder à votre botnet, et à quoi cela leur sert-il, d’après vous ?

R : Certains disent que les gouvernements s’en servent, ou même des entreprises pour s’en prendre à leurs concurrents. Mais pour être franc, je m’en moque. C’est simple : si vous payez, je vous offre mes services.

Defcon-5

Q : Y a-t-il des erreurs récurrentes faites par les sites web lorsqu’ils tentent de se défendre contre vous ?

R : Je pourrais écrire un livre sur ce sujet, mais je vais me limiter à trois choses.

1. Employer un administrateur idiot, un privilégié qui n’a jamais été un pirate, et qui a été à la Fac, tous frais payés par Papa et Maman. Si j’étais le président d’une compagnie, j’emploierais plus volontiers quelqu’un ayant un casier judiciaire de pirate informatique qu’un diplômé de l’université. Le pirate avec un casier a l’expérience nécessaire pour empêcher les intrusions, et n’est pas limité à ce qu’il a appris dans les livres.

2. Les employés qui répondent au téléphone sont stupides, mal formés, jeunes, et sans expérience.

3. Les compagnies ne se protègent pas contre les DDoS. Cloudflare, par exemple, propose une protection contre le DDoS très efficace, pour 200 dollars par mois (qui plus est, un domaine Cloudflare est plus difficile à pirater). Si je vous extorque 200 à 1000 dollars en une journée, ne vaut-il pas mieux vous protéger définitivement pour le même prix ?

Q : En tant que black hat, y a-t-il des techniques/services/équipements de sécurité qui vous rendent vraiment la vie difficile ? Et à l’inverse, y en a-t-il qui vous semblent être totalement inutiles ?

R : Hum. Une protection contre le DDoS est généralement un obstacle notable, même si certains groupes ont, de par le passé, prouvé que c’était assez simple à contourner (par exemple, le système de résolution de Cloudflare, avant qu’ils ne changent leur méthode de protection. En somme, c’est « presque » contournable.)

Parmi les choses inutiles… hum… un antivirus ne sert à rien. Il vous protégera peut-être des script-kiddies utilisant des fichiers partiellement détectables, mais c’est à peu près tout. Chaque botnet est, par défaut, totalement indétectable (fud). C’est tellement facile à faire qu’on le fait gratuitement. Les logiciels anti-spam ne servent pas à grand-chose, eux non plus (CAPTCHAs exceptés, bien qu’ils entraînent des évaluations négatives des utilisateurs).

Ce dont il faut se souvenir, c’est que le milieu black hat a dix coups d’avance sur les solutions commerciales. Lorsqu’un exploit 0-day est rendu public, c’est que les black hats l’utilisent déjà depuis des mois. La double authentification est assez difficile à contourner, et oui, ça arrête net une tentative de piratage, notamment dans le domaine de l’ingénierie sociale ; mais comme l’a prouvé Cosmo (un pirate de quinze ans, membre de UGNazi), cela reste contournable. C’est un peu comme acheter un jeu vidéo. Après sa sortie, il reçoit de nombreux correctifs, mais il faut attendre un long moment avant que leurs effets ne se fassent ressentir.

 

Q : Comment restez-vous anonyme lorsque vous devez interagir avec des acheteurs ?

R : Je passe par des bots pour discuter. Pas dans le sens « utiliser un bot comme proxy pour y faire passer mon trafic internet », mais bien en créant du code pour que le bot reçoive et traite lui-même la commande. Le client obtient le code du bot acheteur sur le marché, l’installe, et fait son achat. Son PC se connecte en secret à mon IRC, qui me transmet la commande, et le mode de paiement. Mais, bien évidemment, je ne suis pas censé être au courant de tout ça.

Q : Parmi les technologies émergentes, en existe-t-il qui, selon vous, pourraient poser des problèmes à la communauté des pirates ?

R : Non, pas le moins du monde. Le marché ne s’attarde jamais plus d’une semaine sur un domaine ; s’il le fait, c’est un marché saturé.

 

Q : Quels sont vos principes moraux ? Comment percevez-vous les propriétaires des sites que vous piratez, et les victimes infectées par votre botnet ?

R : J’ai un peu de peine pour les victimes des fraudes à la carte bancaire, même si vous méritez ce qui vous arrive si vous êtes assez stupide pour cliquer sur n’importe quel lien. Les administrateurs, eux, je les déteste. Si vous n’êtes pas capable de corriger une SQLi ou un XSS, vous ne devriez pas être responsable des cartes de crédit d’autrui. C’est tout simplement dangereux, stupide et risible.

 

Q : Selon vous, quelle est la différence entre un black hat doué, et un script kiddie ? Où vous placeriez-vous ?

R : Tout le monde commence en bas de l’échelle ; l’important, c’est d’y grimper. Un script kiddie n’accèdera jamais au vrai niveau clandestin : les anciens obligent tous ceux qui veulent y accéder à développer des botnets, des vers, des virus, etc. C’est comme un droit de passage. Les kiddies servent de paillasson. Est-ce que je suis un kiddie ? Je n’espère pas, sinon la création du premier botnet automatisé d’infection de serveur n’aura été qu’une belle perte de temps. *rires*

Q : Qu’est-ce qui vous a incité à revenir dans le droit chemin ?

R : Il arrive un moment où l’on a fait le tour de toutes les cartes de crédit de la planète ! *rires* Et puis je suppose qu’être payé pour dénicher légalement des exploits, et pirater des systèmes, c’est plus intéressant.

Q : Est-ce que la peur d’être pris en flagrant délit a provoqué chez vous beaucoup de stress ?

R : Être arrêté a toujours été l’une de mes craintes. Dans le cas contraire, j’aurais été vraiment stupide. Parfois je passe des jours et des nuits sans dormir, à me demander quand la police débarquera chez moi. À d’autres moments, je fais pire, en dormant la journée, et en piratant la nuit. Je me sens plus à l’aise en me disant qu’au moins, je serai réveillé lorsque les autorités viendront m’arrêter.

 

1 Commentaire