Storm comme un charme, RBN en sommeil, Hushmail en fuite, Jihad en kit
Journée faste dans le monde du « hack ». Avec, pour commencer, cet excellent article de Dark Reading qui remet un peu les choses en place, et effectue un recensement des principaux botnets qui maillent la planète. Champion toutes catégories, le moribond qui ne fait plus peur , Storm, et ses 230 000 zombies actifs chaque jour. Pas franchement talonné par Rbot, 40 000 postes « seulement », et Bobax, 24 000 stations infectées actives simultanément. Il s'agit là des effectifs « mobilisables », autrement dit des machines effectivement exploitables par les spammers, diffuseurs de spywares et autres sympathiques acteurs du business model viral. Le botnet qui ne fait plus peur possède encore une dentition de yearling et peut prétendre aller au turf sans passer pour un tocard. « RBN se meurt, RBN est mort ! » Les premiers à l'avoir soupçonné sont les chercheurs de l'équipe Trend Micro. Le bruit s'est rapidement répandu, Network World et le Washington Post suivant dans la foulée. Le plus heureux de tous était, est-ce une surprise, le plus expert en matière de RBNologie, Dancho Danchev qui, à l'instar de nos confrères américains, ne se berce pas pour autant d'illusion : si le phoenix de l'empoisonnement d'email et du hosting de virus est actuellement en état de mort IP, c'est très probablement pour mieux renaître de ses cendres, dans un paradis des serveurs noirs, à l'abri de tout risque de poursuite policière. Probablement en Chine parient les plus inquiets. Est-ce envisageable et surtout sera-ce encore rentable pour le microcosme RBN ? Une entreprise de cette envergure ne peut prospérer et parvenir à un tel niveau d'efficacité qu'avec la complicité passive de quelques administrations et la bénédiction des mafias locales. Si les méthodes Russes sont réputées brutales, les pratiques chinoises ne sont pas non plus connues pour leur douceur et leur tolérance. Les « hosteurs du crimeware » risquent fort, avec cette tentative d'off-shoring, de se faire phagocyter ou de muter en une sorte de Triade Business Network. Le troisième « buzz » important ébranle le monde de la messagerie préférée des hackers : Husmail aurait « aidé » la DEA américaine (les « stups » d'Outre Atlantique) et facilité l'ouverture de boites mails de certains de ses abonnés. Or, Hushmail était, jusqu'à présent, considéré comme l'un des fournisseurs de services Internet les plus surs qui soit, car offrant un service smtp chiffré de bout en bout. « même nos propres employés ne peuvent pas savoir ce qui se trouve dans votre inbox » assuraient les commerciaux d'Husmail. Etait-il étonnant de constater que l'immense majorité des chercheurs en sécurité présents sur le Bugtraq ou la liste Full Disclosure utilisent ce médium ? Mais voilà que Cryptome tombe sur une archive californienne prouvant que le fournisseur de service, grâce au « hasard » d'une applet java, était en mesure de communiquer la « passphrase » permettant à la DEA de se plonger avec délice dans les échanges épistolaires de certains revendeurs de stéroïdes chinois. Wired revient sur l'affaire par le menu. Détail amusant, les informations récoltées par Cryptome à ce sujet proviennent d'un site relativement technique (et mâtiné de connaissances universitaires) portant avec un humour certain le nom d'Al Qaida.net. Ce qui nous fait boucler la boucle avec un autre papier de Dancho Danchev -sujet également traité par les chercheurs de l'Avert Lab de McAfee, mais avec nettement moins de précisions techniques- : il s'agit de la sortie de e-Jihad 3.0, un petit logiciel qui devrait permettre aux cyber-moudjahidin de se lancer dans une attaque en déni de service distribué visant les serveurs infidèles. Pauvre code, installation nécessitant la désactivation temporaire de l'antivirus local (e-jihad utilise des exploits connus par tous les éditeurs d'A.V.), serveurs de mise à jour fermés depuis belle lurette... la guerre sainte binaire est assez mal engagée. Reconnaissons tout de même que cette forme de guérilla est tout de même un peu plus sympathique, nettement moins sanglante et considérablement moins aveugle que l'autre, celle qui consiste à imposer une mythologie avec des méthodes de boucher. Glissons également sur un petit hack qui ne mérite pas les honneurs d'un article spécifique et qui nous raconte l'histoire d'un petit cross-site scripting ayant, il n'y a pas si longtemps, affecté Gmail.
