Spécialisée dans la vente d’outils de piratage pour organisations gouvernementales, l’entreprise italienne Hacking Team a failli totalement sombrer le 6 juillet 2015, lorsqu’un hacker qui se fait appeler Phineas Fisher (PF) a jeté en pâture sur le web plus de 400 gigaoctets de données sensibles volées dans ses serveurs : e-mails, factures, enregistrements audio, codes source, etc. Un coup dur pour cette PME considérée par Reporters sans frontières comme l’une des principales « sociétés ennemies d’Internet », étant donné ses clients peu fréquentables (Arabie Saoudite, Soudan, Russie,…) qui font notamment appel à elle pour espionner des citoyens…
Neuf mois plus tard, l’auteur de ce piratage refait surface et raconte en détails sur Pastebin.com comment il a réussi à arroser l’arroseur. Voici –à titre pédagogique évidemment– un résumé de cet impressionnant fait d’arme.
1 – Toujours discret tu resteras
Avoir de se pencher sur son opération de piratage, PF fait en sorte de laisser le moins de traces possibles sur les réseaux. Tout d’abord, il active le chiffrement de son disque dur. « Si la police débarque pour saisir ton matériel, cela veut dire que tu as déjà fait beaucoup d’erreurs, mais c’est quand même mieux », souligne-t-il. Pour se connecter à Internet, le hacker utilise une machine virtuelle connectée à Tor. Ce qui lui permet de rester anonyme et de bien séparer l’activité hacking de sa vie normale.
Enfin, il recommande de ne pas se connecter directement à Tor car « il y a déjà eu des attaques réussies » sur ce réseau. Mieux vaut donc passer par un réseau Wi-Fi tiers, comme celui de son voisin. Par ailleurs, le hacker n’a réalisé aucune action de piratage directement depuis Tor, mais est passé par une infrastructure tierce constituée d’une cascade de serveurs, histoire de brouiller les pistes. Ces ordinateurs permettront de lancer l’attaque, d’envoyer les commandes et de récupérer les données.
2 – Plein d’informations tu collecteras
Comme toute attaque sérieuse, celle de PF a d’abord commencé par une analyse méthodique de l’environnement technique et social de l’entreprise : domaines et adresses IP, serveurs exposés sur Internet, ports ouverts, sites web, employés, organisation interne, etc. Pour cela, PF il a utilisé des services basiques tels que Google ou LinkedIn, mais aussi des outils techniques pour scanner les ports et les plages IP. Cette analyse – qui n’a rien d’illégale à ce stade – permet d’avoir une idée plus précise de la surface d’attaque et de développer une stratégie. Au final, il n’y avait que peu de choses exposées sur Internet : un site web Joomla, un serveur mail, quelques routeurs, deux appareils VPN et un appareil anti-spam. Ce n’est pas très étonnant, car Hacking Team est une entreprise spécialisée en sécurité et donc en théorie très prudente.
3 – Un zeroday tu trouveras
Selon PF, les deux principaux moyens pour pénétrer un réseau d’entreprise sont d’envoyer un email piégé (spear phishing) ou… d’acheter sur le dark web un accès interne. « Grâce aux Russes travailleurs et leurs kits d’exploitation, aux vendeurs de trafic et aux gestionnaires de botnets, beaucoup d’entreprises comptent déjà dans leurs réseaux des ordinateurs infectés », souligne le hacker.
Mais dans ce cas précis, ces deux méthodes n’avaient pas beaucoup de chance de réussir. Compte tenu de leur métier, les employés de Hacking Team sont très rodés aux e-mails piégés. Et comme l’entreprise est relativement petite, il y avait peu de chance de trouver un accès prêt à l’emploi dans le dark web. PF a donc choisi la méthode hardcore : trouver un zeroday -autrement dit une faille sur l’une des ressources exposées sur Internet. Ce qui fut le cas sur l’un des trois appareils dédiés (VPN ou anti-spam, on ne sait pas). « Trouver un zeroday dans un dispositif embarqué me semblait être l’option la plus simple, et après deux semaines de rétroingénierie, j’ai trouvé un moyen d’accès à distance avec privilège administrateur », explique le hacker.
4 – Une porte dérobée tu créeras
Armé de son beau zeroday, PF ne s’est jeté bille en tête dans le réseau de Hacking Team. Il s’est d’abord procuré les logiciels nécessaires lui permettant d’explorer le réseau cible. Ainsi, il a remplacé le firmware de l’appareil vulnérable par un micrologiciel de sa confection, en lui intégrant une porte dérobée et toute une palette d’outils d’analyse. « La porte dérobée permet de protéger l’exploit [i.e. l’exploitation du zeroday, ndlr]. En utilisant l’exploit qu’une seule fois, puis en revenant par la porte dérobée rend plus difficile la détection et la correction [de la vulnérabilité, ndlr] », explique le hacker. Puis il a testé son firmware pendant près d’une semaine. Comment ? C’est simple : en ciblant des équipements similaires dans d’autres entreprises. Ainsi, le hacker pouvait s’assurer qu’il n’allait pas rendre le système instable et susciter l’attention des administrateurs.
5 – Administrateur tu deviendras
Une fois dans la place, PF a exploré le réseau à la recherche d’identifiants et de mots de passe, ce qui lui permettrait d’accéder à des ressources plus intéressantes. Coup de bol, il identifie des équipements de stockage dédiés à la sauvegarde dont l’accès était complètement ouvert. En analysant des sauvegardes du serveur mail, il arrive finalement à trouver le mot de passe de l’administrateur du réseau Windows de Hacking Team. En d’autres termes, il avait désormais un accès total au réseau bureautique. A partir de là, il commence à télécharger les e-mails, les fichiers, etc. Au passage, on découvre que les administrateurs système n’ont pas forcément des mots de passe d’une grande complexité…
6 – Le Graal tu dénicheras
Se balader dans le réseau Windows, c’est bien, mais il y a peut-être autre chose. Pour le savoir, PF espionne les administrateurs système de Hacking Team. Il se connecte à leurs ordinateurs, prend des copies d’écran, enregistre les frappes de clavier, etc. Sur l’une des machines, il détecte un dossier chiffré par Truecrypt. Il attend patiemment que l’utilisateur l’ouvre pour siphonner le contenu. Bingo ! Il obtient un accès au réseau de développement de Hacking Team, sur lequel il trouvera tous les codes source des produits d’espionnage de l’éditeur. Bref, il est désormais dans le Saint des saint.
Fier de son exploit, le hacker justifie son action par son engagement politique. « C’est tout ce qu’il faut pour mettre à genoux une entreprise et stopper leurs enfreintes aux droits de l’Homme. C’est la beauté et l’asymétrie du hacking : avec 100 heures de travail, une personne peut détruire des années de travail d’une entreprise qui réalise plusieurs millions de chiffre d’affaires. Le hacking donne à l’opprimé une chance de se battre et de gagner », explique le hacker. Interrogé par Motherboard, celui-ci se définit ouvertement comme un révolutionnaire anarchiste. Il reconnait aussi que son action était parfaitement criminelle.
Dans une note de blog, le PDG de Hacking Team estime que cette description de l’attaque comporte « des inexactitudes ». Il fustige par ailleurs la presse qui en fait l’écho, dans le seul but de « capter des lecteurs et empêcher la vérité ». Il espère que le hacker sera bientôt derrière les barreaux. Sa société continuera de collaborer avec les forces de l’ordre « pour assurer la sécurité de nous tous ».
Sources :
Pastebin, Motherboard, Hacking Team
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.