Dans la peau d'un hacker
Rappelons tout de même en préambule qu'il est parfaitement illégal de pirater les PC d'autrui, d'autant plus si c'est pour s'adonner à une activité elle même illicite...
Dénué de toute connaissance en programmation, je pars dans cette expérience avec tout de même l'avantage de plus ou moins savoir quoi rechercher. Et pour qui a quelques notions en anglais - ou en russe - outils et informations ne sont vraiment pas longs à trouver. Un bref passage sur Google plus tard et dès la page deux, je trouve un premier forum spécialisé sur le hacking, dans lequel, après une inscription obligatoire et un peu effrayante, on peut trouver rapidement les informations voulues, et des liens directs vers les annonces...
Car pour se lancer dans du spam à grande échelle, il faut un vaste réseau d'ordinateurs à ses ordres : des botnets. Ce sont des PC familiaux ou d'entreprise infectés par des chevaux de Troie, à l'insu de leur propriétaire, et dont on va pouvoir utiliser la puissance, les listes de contacts et les comptes mails, pour par exemple envoyer des millions de messages publicitaires. Deux choix simples me sont offerts. Je peux louer des réseaux de PC déjà infectés par d'autres hackers, ce qui se déniche, en cherchant bien, à quelques centimes de l'heure. Mais je peux aussi me créer mon propre réseau de botnets. Choix bien plus excitant, avouons-le.
Pour se constituer ce parc de PC zombis, la première étape est de choisir un outil quasi-indispensable : un kit d'attaque ou un "crimeware " comme le disent plus justement les anglophones.
Assez facilement, de forums en forums et même sur Facebook, on trouve plusieurs propositions de programmes, dotés de plus ou moins d'options. De véritables commerciaux viennent vanter les mérites de tel ou tel kit d'attaque : un premier intègre un outil permettant de récupérer les clés d'activation des programmes installés sur les PC zombis, un autre permet de passer l'UAC (contrôle du compte de l'utilisateur) de Windows Vista... J'ai trouvé des spécialistes des failles d'Adobe (Flash et PDF), d'autres des vulnérabilités d'Internet Explorer, ou encore des scripts Perl, qui permettent d'attaquer Mac OS X. L'offre la plus haut de gamme, avec toutes les options (appelées modules) et un solide service après vente se monte à 10 000 dollars la licence. Mais à 400 dollars, on peut trouver des outils suffisamment performants pour infecter des machines un tant soit peu vulnérables, comme nous allons le voir par la suite.
Le kit d'attaque est choisi
Ces outils comprennent le plus souvent l'acquisition d'un nom de domaine (une adresse Internet). Le but étant de créer un site "piège", sur lequel les visiteurs vont venir et infecter leur PC. Et pour attirer rapidement le plus de monde possible sur une page, le plus efficace est de promettre du contenu pour adultes gratuit ou encore, comme c'est très à la mode en ce moment, il suffit de proposer des liens vers des films et séries en streaming. Là, on pose le piège en lui même : ce peut être sur du Java, une bannière flash, une vidéo... Par ce biais, un code va s'exécuter sur le PC du visiteur et, s'il est vulnérable, l'infecter en douceur. L'outil est capable d'analyser rapidement la machine de la victime : système d'exploitation, navigateur, versions des logiciels installés... Et va tenter de s'infiltrer via les failles possibles.
Evidemment, si les vulnérabilités sont corrigées (d'où, au passage, l'intérêt de mettre à jour ses logiciels), le kit d'attaque est neutralisé. Toutefois, les dernières versions de ces outils sont proposées avec un véritable S.A.V. et des mises à jour contenant de nouvelles vulnérabilités récemment découvertes, qu'il pourra exploiter.
Lorsqu'il est un peu plus doué et motivé, le hacker peut décider d'utiliser une autre technique pour piéger rapidement des internautes, ce que l'on appelle empoisonner Google. Cela consiste à créer artificiellement de faux sites (infectés bien entendu), avec pour mots clés un évènement fort de l'actualité ou à partir des recherches Google les plus fréquentes. Et ainsi essayer d'apparaître le plus haut possible dans le moteur de recherche.
Sous contrôle
C'est bon, admettons que j'ai une flotte de PC sous mon contrôle. Toutes ces machines se dirigent via une interface assez simple à utiliser. Certains kits sont même vraiment accessibles, avec une navigation claire par onglets. De là, et selon les modules installés, on peut très simplement envoyer des fichiers, récupérer des infos (comme la liste de contacts, les clés d'activation de logiciels, coordonnées bancaires...), redémarrer l'ordinateur ou même détruire le système d'exploitation. On peut surtout envoyer massivement des mails, et même lancer des attaques en déni de service (DDOS).
Epilogue
Cette petite histoire, dans laquelle on a évité de placer le nom des programmes ou des sites pour ne tenter personne, a pour but d'éclairer l'action de la grande majorité des hackers. Il faut ainsi savoir que selon le spécialiste Symantec, au moins les deux tiers des attaques sur Internet se font par l'intermédiaire de ces quelques kits d'attaques. Précisons aussi que les dernières générations de ces outils savent très bien se protéger et se dissimuler, et c'est pour cela que les antivirus intègrent désormais souvent une méthode d'analyse heuristique, qui permet de débusquer des comportement suspects. Et non simplement d'essayer de reconnaître une signature.
Vous voyez également pourquoi il faut tenir à jour ses logiciels, sources de vulnérabilités !
Un merci particulier à Symantec pour son rapport très instructif : Report on Attack Toolkits and Malicious Websites.
Voir aussi : 20 pièges à éviter pour garantir la sécurité de votre ordinateur