Au cœur d’une enquête liée à la cybercriminalité

Chaque fois que vous lisez un titre parlant de l’arrestation d’un cybercriminel, vous pouvez être certain que l’essentiel du travail d’investigation a été exécuté par une équipe de chercheurs en malware dispersés à travers le monde.

Qu’il s’agisse du démantèlement d’un botnet, de la découverte du gang Koobface ou de l’arrestation de cybercriminels à l’origine du cheval de Troie Zeus, les organismes responsables de l’application de la loi à travers le monde dépendent énormément des capacités de la communauté des chercheurs en sécurité – surtout sur les compagnies anti-virus – pour mener leur enquête judiciaire et obtenir des informations fiables qui pourraient éventuellement conduire à la condamnation d’un cybercriminel.

Jeff Williams connaît bien la difficulté que représentent  l’identification  des attaques malicieuses et les recherches effectuées dans le cadre d’une enquête criminelle. Ayant d’abord travaillé comme directeur de programme au Microsoft Malware Protection Center (MMPC) avant de passer chez Dell SecureWorks , Williams a été au cœur du démantèlement de plusieurs botnets, notamment des virulentes attaques Wadelac, Zeus et Kelihos.

Dans une interview, Williams explique qu’il existe différents types d’enquêtes qui commencent presque toujours dans un laboratoire anti-virus dans un coin du globe. « Il s’agit parfois d’une investigation criminelle menée par les autorités. Et d’autres fois, nous commençons à faire des recherches sur un nouveau malware pour des raisons de sécurité. Néanmoins, même quand il s’agit d’une enquête criminelle, les forces de l’ordre nous consulteront afin de mieux comprendre le malware. Chez Microsoft, notre priorité était de protéger nos clients, nous devions donc travailler afin de saisir l’étendue du problème, l’impact sur les utilisateurs Windows et ce que nous pouvions faire pour les protéger », a-t-il expliqué.

Ce travail comporte de multiples facettes. « Les gars du labo font le travail le plus fastidieux. Ils identifient l’existence du malware, pour ensuite collecter des exemples et en créer l’ingénierie inverse, ce qui représente un travail immense », a affirmé Williams. Ce travail scientifique comprend de complexes algorithmes de chiffrement d’ingénierie inverse dans le but de démanteler le protocole de communication que le malware utilise pour communiquer avec les pirates. « Nous voulons savoir comment les binaires sont contrôlés par les infrastructures de commande et contrôle des pirates, où sont les nœuds, quelles sont les commandes qui peuvent être émises. Tout ce travail est effectué dans un laboratoire anti-virus. C’est un travail très important ».

Une fois que le laboratoire a une bonne compréhension du fonctionnement du malware, des contre-mesures techniques sont mises en place – via une mise à jour de définition de virus ou l’amélioration des technologies de défense – avant que la justice ne soit saisie afin d’agir juridiquement. « Vous devez parfois saisir la justice afin d’avoir le droit de prendre le contrôle d’un botnet, vous devez donc inclure les autorités et collaborer de très près avec elles afin que l’opération soit un succès », a expliqué Williams.

Costin Raiu, qui dirige l’équipe de recherche internationale de Kaspersky Lab confirme que les recherches liées au cybercrime peuvent être « complexes ».  L’équipe de Raiu a travaillé de près avec Microsoft, CrowdStrike, OpenDNS, et d’autres entités du monde de la sécurité afin de démanteler des botnets, et il décrit ce travail comme un travail intense aux multiples facettes.

« Je pense que le savoir-faire des chercheurs est parfois essentiel et il peut faire la différence entre l’arrestation d’un criminel et sa fuite », a déclaré Raiu.

En plus de l’ingénierie inversée et du partage d’informations avec les autorités, les équipes de recherche en sécurité travaillent souvent avec les équipes internationales d’intervention en cas d’urgence informatique (CERT) afin de commander ou de démanteler les serveurs des pirates, ou pour espionner un serveur dans le but de réunir des preuves et des données qui pourront être utilisées plus tard dans une affaire judiciaire.

« Le cybercrime est un domaine extrêmement compliqué qui possède de multiples facettes. C’est pourquoi on demande souvent de l’aide aux chercheurs en malware en tant qu’avis expert lors des procès liés à des crimes en haute technologie », a expliqué l’expert de Kaspersky Lab.

Le savoir-faire en cyber-sécurité d’un laboratoire spécialisé en malware inclura souvent des renseignements de sources ouvertes (ROSO).  Cette partie de l’enquête est exhaustive et requiert souvent de fouiller le Web au peigne fin afin de trouver des preuves qui pourraient lier un pirate à un malware.

« Au cours d’une enquête, de nombreux indicateurs peuvent conduire à l’identification d’un cybercriminel. Certaines parties du code contiennent peut-être un surnom, ou un certain style de codage. Cette information peut être utilisée comme point de départ afin d’identifier un pirate », a expliqué Williams.

Les chercheurs utiliseront un surnom, une partie d’un code ou même une adresse e-mail à partir d’un nom de domaine enregistré  afin de passer en revue des communautés Internet telles que Facebook, Twitter, YouTube, des wikis, des blogs ou n’importe quel contenu créé par un utilisateur où un pirate aurait pu utiliser le même surnom ou la même adresse e-mail.

Dans le célèbre cas de Koobface, l’équipe de sécurité de Facebook a utilisé des renseignements de sources ouvertes en collaboration avec la communauté de chercheurs en sécurité et elle a rendu publics les noms, les photos et les identités des individus qu’elle pensait à l’origine de l’attaque qui s’était répandue à travers son réseau. Ces informations furent transmises aux médias afin que les pirates soient couverts de honte.

« L’essentiel du travail est mené du côté technique afin de protéger les usagers mais ces informations sont aussi partagées avec les autorités afin de conduire à des arrestations. Quand il s’agit d’arrestations dans des affaires judiciaires impliquant des cybercriminels, vous pouvez être certain que le gros du travail est effectué en laboratoire », a ajouté Williams.

« L’attribution et les arrestations ne font pas nécessairement partie des opérations initiales. Mais quand un laboratoire spécialisé en malware se charge de la perturbation et de la protection de cet écosystème, le fruit de ce travail peut éventuellement être passé aux autorités afin qu’elles se chargent des arrestations et des procédures juridiques », a expliqué l’expert de Dell SecureWorks.

Williams a de nouveau affirmé que le travail de la communauté des chercheurs doit être de très haute qualité car l’information devra éventuellement pouvoir être présentée en justice d’une manière crédible.

Les chercheurs en cyber-sécurité n’apprécient pas toujours l’évolution très lente des enquêtes judiciaires face à aux attaques les plus virulentes telles que les chevaux de Troie bancaires et les botnets impliqués dans des fraudes financières. Ce rythme d’escargot a poussé Facebook à rendre publics les détails de l’enquête sur le Koobface avant que les autorités n’interviennent, mais Williams insiste sur le fait que les choses s’ont en train de s’améliorer.

« Une harmonisation des lois à l’échelle internationale est définitivement nécessaire. Les criminels sont conscients des endroits où les lois sont plus légères et de ce qu’ils peuvent faire pour rester cachés et éviter d’être arrêtés. Néanmoins, je pense que les autorités comprennent de mieux en mieux comment faire avancer ces affaires. Nous avons vu des cas aboutir dans des pays où des lois existantes qui n’avaient rien à voir avec le cybercrime étaient utilisées »,  a déclaré Williams, en faisant notamment référence au cas du Zotob où les cybercriminels ont été inculpés via des lois sur le blanchiment d’argent, l’évasion fiscale et la fraude financière.

« Il s’agit de l’évolution naturelle de la défense afin de travailler à la perturbation, au démantèlement et à l’identification des cybercriminels. Sans ces démantèlements (de botnets), l’argent est généré par les criminels et celui-ci est ensuite réinvesti dans de futures attaques. Je pense que nous arrivons enfin à un moment où les défendeurs possèdent un niveau de collaboration, de relations, de technologies et de lois suffisant pour renverser la situation », a affirmé Jeff Williams.