D’après l’article publié il y a quelques semaines par le journal allemand Heise.de, le programme HACIENDA permet aux services de renseignement des pays membres du FIVE EYES (USA, UK, CA, NZ, AU) d’identifier des machines vulnérables, principalement, via la réalisation des scans de ports massifs.
Le journal ne mentionnant pas ses sources, nous ne savons pas si l’analyse est basée sur les documents récupérés par E. Snowden, ou s’il s’agit d’un autre informateur. Les révélations servent en tout cas à illustrer l’importance de limiter les effets des scans de ports. Et donc promouvoir un nouveau RFC, écrit par les auteurs de l’article (dont l’hacktiviste Jacob Appelbaum), qui se base sur la technique de « port knocking ».
Que faire des machines vulnérables ?
Un total de 27 pays auraient d’ores et déjà été scannés par HACIENDA il y a quelques années et il fort probable que ce nombre ait augmenté depuis et continue de croître.
A noter que selon la présentation du GCHQ, le programme fait partie de l’opération plus large nommée« Mastering The Internet », financée à hauteur d’un milliard de livres.
L’objectif semble être clair : « fingerprinter » autant de machines que possibles et identifier celles pouvant être contrôlées à distance :
§ Soit pour établir, via l’exploitation des vulnérabilités identifiées, des ORBs (Operational Relay Boxes, c’est-à-dire des machines de rebond hors des pays du FIVE EYES), afin de masquer l’origine des opérations des services secrets ;
§ Soit pour disposer d’une première cartographie des actifs publics d’une entité ciblée, en vue d’une future compromission.
Réellement complexe ?
Scanner l’ensemble des adresses IPv4 avec un outil comme Zmap et une machine lambda ne prend pas plus de quelques heures. Le blog Shadowserver fournit par ailleurs publiquement les résultats et statistiques de scans similaires conduits par leurs soins depuis plus d’un an.
Cependant, d’après un slide des renseignements canadiens (CSEC), une équipe de 24 personnes était capable d’identifier plus de 3 000 nouveaux ORBs en une journée en février 2010. Ce chiffre parait faible au regard des moyens mis en œuvre.
On peut donc présumer que la phase de qualification des actifs vulnérables ciblés demeure la réelle difficulté, et non la découverte des actifs. Un autre slide du GCHQ anglais confirme que l’industrialisation du programme d’identification des ORBs a permis de gagner un facteur 10 par rapport au temps nécessaire avec un processus manuel.
Légalité des scans ?
Selon l’article 323-1 du code pénal, l’intrusion dans un STAD par une personne non autorisée est clairement un délit (3 ans de prison et 45 000€ d’amende). Cependant, selon le droit français, un flou persiste sur la légalité du scan de port. S’agit-il effectivement d’une tentative d’intrusion ?
Suivant l’interprétation des textes de loi, il ne constitue qu’un acte préparatoire et n’est pour le moment sanctionné par aucune jurisprudence. Même s’il est peu probable que la révélation du programme Hacienda fasse bouger les lignes, il n’est cependant pas impossible qu’un juge en décide autrement un jour.
Au regard des récentes révélations, Il est difficile de ne pas faire l’analogie entre les actes des agences de renseignement avec le mode opératoire utilisé par les groupes cybercriminels.
Question d’éthique
Pour rappel, si le programme HACIENDA fait écho à l’étape de cartographie réalisée par les attaquants pour identifier un point d’entrée sur l’entité ciblée, d’autres programmes poursuivent l’analogie :
- QUANTUM, pour intercepter et rediriger les requêtes des machines ciblées vers les serveurs FOXACID ;
- FOXACID, pour déployer des malwares spécifiques suivant la configuration de la machine victime (exploitation de vulnérabilités 0-day) ;
- TURBINE, véritable serveur C&C, pour contrôler les machines compromises ;
- Etc.
Nous ne voulons pas faire d’amalgames entre les actions des cybercriminels et celles des services de renseignements, mais il est intéressant de constater que des similitudes quant aux modes opératoires existent. Après tout, pourquoi faire différemment, quand ces méthodes ont fait leur preuve et qu’elles continuent de fonctionner…
Que retirer de ces « révélations » ?
Il convient de prendre en compte ces capacités, en particulier lors des investigations et tentatives d’attribution d’attaques informatiques qui se baseraient sur les adresses IP d’origine. En complément des informations (en définitive peu sensationnelles) de l’article, il est à noter qu’un slide anonymisé du CSEC canadien, présentant les résultats anonymisés des cibles d’un scan de février 2010, laisse apparaitre des adresses IP appartenant à l’opérateur satellite luxembourgeois SES :
“Welcome to the SES profile. With over 50 satellites and a reach which covers 99 percent of the world’s population, SES is a world-leading satellite operator”
Le whois sur la classe IP en question nous informe qu’elle est déléguée à Intersat, fournisseur d’accès Internet au Kenya. Sur le site d’Abdul Bakhrani, fondateur d’Intersat Africa, on apprend qu’en 2009, Intersat a effectivement établi un partenariat avec SES – ASTRA afin de disposer d’un accès Internet par satellite.
Même s’il s’agissait ici de quelques IP spécifiques (un /29 précisément, potentiellement à des fins de démonstration), il est possible que le Kenya figure parmi les nombreux pays « stratégiques » déjà scannés par ces services de renseignement (et d’autres disposant à n’en pas douter de capacités similaires).
Par ailleurs, fort du succès de la première édition parisienne de la conférence « Snowden et la NSA, 1 an après », Lexsi vous propose de se retrouver, cette fois-ci à Lyon, pour une seconde édition sur ce sujet, le 25 septembre prochain, à l’Espace Tête d’Or !