Sécurité informatique : de la difficulté du disclosure (et même pas full)…

Mon histoire est sans commune mesure avec l’affaire à laquelle est confronté Damien Bancal, de Zataz.com – attaqué par une entreprise après lui avoir fait part de la découverte fortuite d’un défaut de sécurisation de son système d’information. Mais elle met bien en évidence toute la difficulté de ce processus de disclosure – qui consiste à informer un tiers que son SI est vulnérable sans pour autant chercher à exploiter les failles découvertes; et je ne parle même pas de ce full disclosure qui consiste à diffuser publiquement l’information.

Ce mardi 22 septembre, quelqu’un s’est lancé dans une vaste campagne de spam, pour des pilules bleues, avec des adresses d’expéditeur bidon du type jenexistepasmemedanstesreves@lemagit.fr. Je parle de “vaste” parce, après avoir constaté une surconsommation anormale – mais significative – de CPU et de bande passante sur nos serveurs de messagerie, nous avons mis en place un catchall temporaire pour essayer de comprendre ce qui se passait, en collectant un maximum de trafic. Bilan : en l’espace de seulement deux heures, quelque 1 500 retours NPAI…

L’intérêt du NPAI, c’est que l’on peut retrouver l’émetteur – ou plutôt les adresses IP des machines ayant été utilisées pour envoyer les pourriels (à moins bien sûr qu’il n’y ait eu là usurpation, ou spoofing). Je ne ferai pas d’inventaire complet ici mais, dans un premier batch d’une petite centaine de retours, j’ai pu trouver ce qui ressemble à deux machines en Allemagne, deux en Arabie Saoudite, une en Argentine, deux au Brésil, sept en Corée, trois en Espagne, une en Grèce, une autre à Hong Kong, neuf en Inde, une en Israël, trois en Italie, deux au Japon, une en Norvège, trois en Pologne, une en Roumanie, treize en Russie, une en Suède, trois à Taïwan, autant en Thaïlande, une en Turquie, cinq en Ukraine, quatre au Vietnam et… une en France. Bref, tout cela m’a fait penser à un botnet.

J’ai assez vite décidé de décrocher mon téléphone pour joindre le responsable informatique de l’organisation française concernée – très facile à retrouver grâce à un rDNS (reverse DNS lookup, en gros, on part de l’adresse IP pour retrouver un nom de domaine) au résultat pour le moins explicite : si l’une de ses machines est compromise, il peut apprécier de le savoir… Surtout compte tenu des informations qu’est susceptible de traiter cette organisation : un office notarial.

La conversation téléphonique qui s’en est suivie n’a pas manqué de me surprendre. Et de m’instruire. De fait, mon interlocuteur ne semblait pas tout à fait avoir bien conscience de la manière dont son SI était susceptible d’être compromis : “nos serveurs de messagerie ne sont pas dans nos locaux; ils sont gérés à l’extérieur…” Et moi de lui indiquer que, probablement, la machine compromise n’a rien à voir avec ses serveurs de messagerie mais qu’il s’agit de l’un de ses PC sur lequel un logiciel malveillant envoie des messages électroniques.

Et puis, au détour d’une conversation assurément courtoise, j’ai eu droit à cette question au sujet des pourriels reçus en NPAI, suggérant qu’ils avaient pu être « …envoyés par l’un de vos amis ? » Certes, la remarque était marquée d’une pointe d’espièglerie. Mais le sous-entendu qu’elle cache est désobligeant : c’est l’hypothèse d’une intention initiale malveillante ou, à tout le moins, opportuniste; bref, que la compromission n’a pas été découverte par hasard et que celui qui se dit victime ou se présente en chevalier blanc pourrait bien être coupable ou complice… Essayez donc de rendre service. Et encore, là, il n’est même pas question de donner publiquement le nom de l’organisation concernée !

Au-delà, il n’y a plus qu’à espérer que le responsable informatique concerné ait pris l’information suffisamment au sérieux pour prendre des mesures correctrices ou, à minima, de vérification. A moins que, vis-à-vis des botnets, ne règne en maître l’idée du “ça n’arrive qu’aux autres”…

Tagged , , ,