En coulisse
Le Darknet: un instrument important pour la liberté
par Dominik Bärlocher
De la sécurité informatique de digitec : lutte contre le credential stuffing // Mise à jour 22/10/2018 14h00
19/10/2018
Traduction: traduction automatique
Une attaque sur digitec.ch n'a certes pas causé de dommages, mais elle montre que les ingénieurs luttent toujours contre les pirates informatiques, même sans préjudice financier. L'ingénieur István Flach raconte l'attaque de la semaine dernière.
"Je n'ai jamais fait ça", dit István Flach. Le jeune homme d'origine hongroise est parti à la chasse aux pirates cette semaine. En effet, le week-end dernier, les systèmes d'alarme digitecs et Galaxus ont donné l'alerte. István enquête sur l'incident et tente d'identifier les coupables. Bien sûr, il a déjà enquêté sur des brèches ou des tentatives de brèches, mais jamais il n'avait pu aller aussi loin et aussi longtemps dans le suivi d'une attaque. Une enquête de ce type commence par une question critique : à quel point avons-nous été touchés ?
István peut rapidement pousser un soupir de soulagement. Après seulement quelques heures, il peut dire avec une quasi-certitude ce que l'attaque visait à atteindre. "Les données des cartes de crédit de nos clients n'ont pas été touchées et nous n'avons aucun signe de dommage financier ou de vol de données", dit-il. Son équipe de onze personnes peut se détendre un peu et le niveau d'alerte est rétrogradé.
Pourquoi István s'intéresse-t-il à cette affaire ? "Je m'intéresse beaucoup à la sécurité informatique", dit-il presque en passant, mais il parle avec passion et connaissance des brèches, des contre-mesures et de sa recherche de traces. Son intérêt personnel et professionnel l'a conduit à être chargé par l'ingénierie d'enquêter sur l'attaque. Son rapport d'incident - c'est ainsi que l'industrie appelle une attaque - est détaillé et bref. C'est rare, car les rapports d'incident font généralement plusieurs dizaines de pages et sont remplis de verbiage. Le rapport d'István dit l'essentiel, sert bien plus qu'un résumé de gestion et montre ce que les pirates voulaient.
L'attaque en détail
Les logs indiquent que l'attaque a débuté le vendredi 12 octobre 2018 dernier à 15h58, heure locale. Elle a duré jusqu'à samedi à 10h03.
"Ils font toujours ça. Ils ne veulent pas qu'il y ait beaucoup de gens dans le bureau qui pourraient découvrir l'attaque par hasard", dit-il.
Mais il n'aurait même pas remarqué l'attaque. Ils ont lancé 40 requêtes par seconde sur les sites. Lorsque cela se produit, des systèmes automatiques interviennent et bloquent les tentatives de connexion. Sur les 2 185 717 tentatives de connexion, seules 763 564 ont été vérifiées par les serveurs de digitec. Les 1 422 063 tentatives restantes ont été bloquées par des mesures de protection placées devant les serveurs. Sur Galaxus, 2090 connexions erronées ont été enregistrées pendant cette période, ce qui correspond à peu près au taux normal de "Zut, maintenant j'ai mal saisi mon mot de passe". Au final, nos serveurs ont indiqué aux attaquants que 48 267 comptes essayés existaient réellement dans notre système. Mais les mots de passe n'ont pas été perdus. En l'état actuel des connaissances, les pirates n'ont rien craqué. En tant qu'utilisateur, vous n'avez donc pas besoin d'agir directement.
István a donc sept cent soixante mille enregistrements à analyser. Cela prend du temps. C'est épuisant pour les nerfs. Car que faire si l'enregistrement qu'il est en train d'examiner est la clé ? Et s'il contient l'indice critique sur les dommages, l'attaquant ou l'objectif de l'attaque?
"Nous savons que quelque chose s'est passé, mais pas l'objectif de l'attaque", dit l'ingénieur en polo blanc. Il semble pensif, comme s'il continuait à s'interroger sur le sens et le but de l'attaque. Car il ne peut pas en être absolument certain. Mais il peut affirmer avec un certain degré de certitude qu'il s'agit d'un problème qui provoque des maux de ventre à l'échelle mondiale et qui ne touche pas seulement digitec.
Credential Stuffing : le fléau mondial
"Credential Stuffing", dit István en soupirant. Lorsqu'il en prend conscience, il sait qu'il a une montagne de travail devant lui. Car il sera difficile de déterminer le sens et le but de l'attaque.
Le Open Web Application Security Project (OWASP) définit le Credential Stuffing comme la recherche automatisée de noms d'utilisateurs et de mots de passe. Ceux-ci passent en revue une base de données qui a été dérobée lors d'un autre piratage.
Une attaque peut ressembler à ceci : Les pirates ont une base de données d'un autre piratage sous la main. Disons qu'ils ont piraté http://example.org et y ont obtenu 13 millions d'enregistrements de noms d'utilisateurs et de mots de passe en clair. Il est possible de tirer profit de ces données.
Source : xkcd.com
En attendant, vous avez utilisé le même mot de passe, disons "LiviaRisottoHasenbaerli", et le même nom d'utilisateur, "thomas.mueller@mail.tld", pour certains sites. Le mot de passe en lui-même est d'ailleurs plus sûr qu'un mot de passe comme "QDXMam9Y"
.
- QDXMam9Y a une valeur entropique de 37,3 bits et peut être craqué par une attaque par force brute avec un effort moyen
- LiviaRisottoHasenbaerli a une valeur entropique de 104,4 et est suffisamment complexe pour sécuriser des données financières.
"Quelle que soit la sécurité de votre mot de passe, si vous l'utilisez pour plusieurs sites, vous prenez un risque", explique István. Il vous recommande donc vivement d'utiliser un mot de passe différent sur chaque site.
Il existe peu de contre-mesures contre le credential stuffing, car les pirates utilisent exactement les mêmes mécanismes que les utilisateurs légitimes. Pourtant, des ingénieurs de la Hardturmstrasse, dans les bureaux de digitec, travaillent sur le sujet, tout comme des milliers d'autres ingénieurs à travers le monde. Le problème est qu'une connexion doit rester pratique, tout en étant aussi sécurisée que possible.
István découvre le but de l'attaque. Une semaine après l'attaque et après avoir constaté qu'il n'y a pas de danger imminent pour vous en tant que client ou pour digitec en tant qu'entreprise, il a deux théories.
Théorie #1 : attaque des gamers
L'attaque est un vol. Les pirates veulent obtenir des codes de téléchargement de jeux et de logiciels pour les revendre ensuite sur le marché noir du Darknet.
C'est possible à l'échelle mondiale. Les pirates n'ont donc pas besoin de se trouver en Suisse et de jouer à des jeux suisses en Suisse. Vous pouvez utiliser un code sur le site du fabricant du jeu et télécharger le jeu gratuitement et apparemment en toute légalité. En effet, le fabricant valide rarement les codes des bons d'achat, qui ont été générés de manière aléatoire. Au final, c'est digitec et un client par code qui seraient lésés et n'importe qui jouerait quelque part à un jeu à vos frais.
L'ingénieur peut cependant affirmer avec certitude que l'attaque a échoué, si tel était son but.
Théorie #2 : validation des données
La deuxième théorie est pour l'instant celle à laquelle István croit le plus et dont il suit actuellement la piste. Les pirates ne voulaient rien voler du tout, mais valider des données. En effet, plus une base de données volée contient d'enregistrements valides, plus elle a de la valeur pour les pirates qui veulent réellement faire des dégâts.
Voilà ce qui se passe : une bande de hackers a dérobé la base de données de http://example.org. 13 millions d'enregistrements. Avant que la base de données ne soit mise sur le marché ouvert, un peu d'herbe doit pousser sur le piratage. Pendant ce temps, les utilisateurs d'Example.org sont avertis qu'ils doivent changer leur mot de passe. Certains le font, d'autres non. Lorsqu'il s'agit de vendre la base de données, cela se passe normalement : "A vendre : Base de données de 10 millions d'enregistrements valides" coûte plus cher et est plus demandé que "Base de données de 8 millions d'enregistrements valides". Mais pour cela, les données doivent être vérifiées.
C'est pourquoi les pirates filtrent leurs données. Ils choisissent donc un site qui est utilisé par un grand nombre de personnes. Dans notre exemple, il s'agit de https://bispiel.ch, un site suisse comptant un million d'utilisateurs. La base de données d'exemple.org est donc filtrée. Tous les enregistrements dont les données d'adresse indiquent le pays "Suisse" ou dont l'adresse e-mail se termine par .ch sont copiés dans une base de données séparée, qui est ensuite lâchée sur bispiel.ch. Si thomas.mueller@mail.tld est également enregistré sur bispiel.ch et y a également utilisé le mot de passe LiviaRisottoHasenbaerli, le compte sera vendu comme valide.
Qui sont les pirates informatiques?
Afin de mener une enquête complète et de faire un rapport à la [Centrale d'enregistrement et d'analyse pour la sûreté de l'information MELANI), István se penche sur une question : Qui se cache derrière l'attaque?
Il devient rapidement évident que les pirates ne sont pas vraiment stupides. Bien sûr, ils utilisent des proxies, c'est-à-dire des serveurs qui masquent la véritable origine de l'attaque. Pour cela, aucune IP n'est utilisée plus de 14 fois pendant l'attaque.
"Les suspects habituels sont bien sûr présents", dit István en souriant.
Son rapport montre les trois premiers rangs IP :
- Russie
- Estonie
- Lituanie
La piste se perd là, car ces pays ne sont pas très regardants sur la sécurité informatique au niveau législatif et la Russie gère même, selon à peu près tous les services secrets de la planète - à l'exception du FSB russe - sa propre "cyber-armée" dans laquelle les pirates d'État utilisent leurs compétences à des fins politiques pour le compte du gouvernement.
Les contre-mesures
Les contre-mesures font partie de toute bonne réponse à un incident. La sécurité absolue n'existe pas, mais István et les ingénieurs de Zurich peuvent s'assurer que l'attaque ne pourra pas se reproduire sous cette forme. Car les attaquants ont réussi quelque chose de difficile à réaliser : ils ont battu ReCaptcha. Soit ils sont parvenus à résoudre le casse-tête de manière automatique, soit ils ont exploité une faille dans l'implémentation du mécanisme et l'ont ainsi contourné. L'enquête est toujours en cours.
"Cela me dit surtout une chose : notre système de connexion actuel a des faiblesses", dit István.
Il y a maintenant deux possibilités, dit-il. Soit les ingénieurs rendent le login plus complexe et plus pénible pour vous en tant qu'utilisateur, soit ils le dépassent complètement. István a déjà une première idée, qui a déjà été adoptée : la connexion sera divisée. Cela signifie qu'à l'avenir - on ne sait pas encore quand - vous devrez saisir votre nom d'utilisateur sur une page, puis votre mot de passe sur une autre. L'ingénieur fait une brève digression : ce mécanisme ne doit pas être confondu avec une authentification à deux facteurs. Vous pouvez l'activer dans votre profil et vous protégez ainsi encore mieux votre compte.
"Imaginez que ce soit comme chez Google", dit István.
La planification de cette nouvelle connexion commence. En première ligne : István Flach, ingénieur hongrois.
Mise à jour 22/10/2018 14h00 - Ce que les hackers peuvent et savent
L'équipe d'István n'a pas fini d'enquêter sur l'attaque. Une mise à jour est donc d'ores et déjà nécessaire. Les recherches effectuées ce week-end et lundi matin donnent les résultats suivants :
- Les attaquants n'ont pas réussi à battre ReCaptcha. ReCaptcha a parfaitement fonctionné.
- La validation des données avec notre site a également échoué. Nos serveurs ont seulement lancé le message "Nom d'utilisateur ou mot de passe incorrect" en direction des attaquants. En d'autres termes, les attaquants n'ont reçu aucune donnée utile. Nous en sommes heureux.
- Même si vous faites partie des 48 267 utilisateurs dont les comptes ont été directement attaqués, vous pouvez pousser un soupir de soulagement. Là aussi, le message "Nom d'utilisateur ou mot de passe incorrect" a été émis.
L'enquête se poursuivra encore un peu, mais elle touche à sa fin. L'état actuel, et probablement le dernier, est qu'il y a eu une tentative d'attaque, mais qu'il ne s'est rien passé.
Journaliste. Auteur. Hackers. Je suis un conteur d'histoires à la recherche de limites, de secrets et de tabous. Je documente le monde noir sur blanc. Non pas parce que je peux, mais parce que je ne peux pas m'en empêcher.
Informatique
Suivez les thèmes et restez informé dans les domaines qui vous intéressent.
58 commentaires
later