La Reine des neiges : un rapport de cybersécurité en sept histoires

Le rapport de Hans Christian Andersen sur l’incident de l’infection de Kay et l’enquête menée par l’experte en sécurité de l’information Gerda.

La Reine des neiges et la sécurité de l’information

À votre avis, de quoi parle réellement le conte de fées La Reine des neiges de l’expert en cybersécurité danois Hans Christian Andersen ? Une jeune fille courageuse qui vainc la personnification de l’hiver et la mort pour sauver son ami ? Réfléchissez-y !

Soyons réalistes : il s’agit d’un compte-rendu assez détaillé d’une enquête menée par la jeune experte en sécurité de l’information Gerda sur la façon dont un certain Kay a été infecté par un malware très sophistiqué. Ce soi-disant conte de fées est écrit sous la forme de sept histoires qui correspondent clairement aux étapes de l’enquête.

Histoire nº 1 : un miroir et ses morceaux

Si vous avez déjà lu notre blog expert Securelist.com (ou toute autre recherche en sécurité de l’information bien faite, d’ailleurs), vous savez probablement que les rapports de recherche commencent souvent par une exploration de l’historique des incidents. Andersen ne faillit pas à la règle. La première histoire se penche sur les origines mêmes de l’affaire Kay.

Un beau jour (selon les données d’Andersen) le Diable a créé un miroir magique qui avait le pouvoir d’atténuer le bien et le beau des gens et de magnifier leurs aspects mauvais et laids. Le miroir a été brisé par ses apprentis en milliards de fragments qui sont entrés dans les yeux et le cœur des gens, tout en conservant les propriétés originales de distorsion de la réalité du miroir. Certaines personnes en inséraient des fragments dans leurs cadres de fenêtre, ce qui déformait leur manière de voir le monde. D’autres les utilisaient comme verres pour leurs lunettes.

Nous savons déjà, grâce à Blanche-Neige, que les narrateurs utilisent souvent les miroirs en tant que métaphores des écrans, au sens large : télévisions, ordinateurs, tablettes, téléphones… Vous voyez ce que nous voulons dire.

Ainsi, la traduction des mots d’Andersen du langage des allégories en prose simple donne ce qui suit : un puissant hacker a créé un système avec un navigateur intégré qui a déformé les sites Web. Par la suite, ses apprentis ont utilisé des morceaux de code source pour infecter un grand nombre d’appareils Microsoft Windows et même des lunettes de réalité augmentée.

En fait, ce phénomène n’est pas du tout rare. La fuite de l’exploit EternalBlue en est l’exemple parfait. Cela a engendré les pandémies de WannaCry et NotPetya et de plusieurs ransomwares moins dévastateurs. Nous nous éloignons du sujet. Revenons à notre conte de fées.

Histoire nº 2 : un petit garçon et une petite fille

Dans le second récit, Andersen procède à une description plus détaillée de l’une des victimes et du vecteur d’infection initial. Selon les données disponibles, Kay et Gerda communiquaient depuis leurs fenêtres de grenier adjacentes (communication par Windows !). Un hiver, Kay a vu par sa fenêtre une étrange et belle femme enveloppée dans un tulle blanc ultrafin. C’était la première rencontre de Kay avec le cybercriminel (ci-après désigné par son pseudonyme, « la Reine des neiges »).

Peu de temps après, Kay a ressenti une sensation de coup de poignard en plein cœur et quelque chose lui est entré dans l’œil. C’est ainsi qu’Andersen décrit le moment de l’infection. Après que le code malveillant a accédé à son cœur (le noyau de son système d’exploitation) et à son œil (dispositif de saisie de données), la réaction de Kay aux stimuli externes a radicalement changé, et toutes les informations entrantes ont été déformées.

Quelques temps plus tard, il a quitté sa maison, en attachant son traîneau à celui de la Reine des neiges. Kay, qui pour une raison quelconque faisait confiance à la Reine des neiges, lui dit qu’il était capable de faire du calcul mental même avec des fractions, et qu’il connaissait la taille et la population de chaque pays. Des détails mineurs, à première vue. Pourtant, comme nous le verrons plus tard, c’est précisément ce qui intéressait l’agresseur.

Histoire nº 3 : La jardin de la magicienne

Gerda a commencé sa propre enquête et est tombée par hasard sur une femme qui, pour une raison quelconque, l’a empêchée de poursuivre ses recherches. Nous nous intéressons surtout au moment où la sorcière a peigné les boucles de Gerda, lui faisant oublier Kay.

En d’autres termes, cette dame a en quelque sorte corrompu les données concernant l’enquête. Vous remarquerez que nous connaissons déjà l’arme cybernétique de son choix : un peigne. Dans le rapport des frères Grimm sur l’incident Blanche-Neige, la belle-mère avait utilisé un outil similaire pour bloquer sa victime. Est-ce une coïncidence ? Ou est-ce que ces faits sont liés ?

En tout cas, comme avec Blanche-Neige, le blocage provoqué par le peigne n’était pas permanent : les données ont été restaurées et Gerda a poursuivi son enquête.

À la fin de la troisième partie du rapport, Gerda a demandé aux fleurs du jardin de la sorcière si elles avaient vu Kay. Il s’agit très probablement d’une référence à l’ancien messager d’ICQ, qui avait une fleur comme logo (et comme indicateur du statut de l’utilisateur). En communiquant avec la sorcière, Gerda essayait d’obtenir des informations supplémentaires sur l’incident grâce à ses contacts.

Histoire nº 4 : prince et princesse

La quatrième étape de l’enquête ne semble pas très pertinente. Gerda a essayé de rechercher Kay sur la base de données du gouvernement. Pour ce faire, elle a fait la connaissance de quelques corneilles qui lui ont donné accès à un bâtiment du gouvernement (le palais royal).

Bien que cela n’ait donné aucun résultat, Gerda a consciencieusement informé le gouvernement de la vulnérabilité et de l’insécurité que représentaient les corneilles. Le prince et la princesse ont corrigé la vulnérabilité, en disant aux corneilles qu’ils n’étaient pas en colère contre elles, mais qu’elles ne devaient pas recommencer. Notez bien qu’ils n’ont pas puni les oiseaux, mais leur ont simplement demandé de changer de comportement.

En récompense, le prince et la princesse ont fourni des ressources à Gerda (un carrosse, des vêtements chauds et des serviteurs). C’est un excellent exemple de la manière dont une organisation doit réagir lorsque des chercheurs signalent une vulnérabilité – espérons que la récompense n’était pas ponctuelle, mais qu’elle soit devenue un véritable programme de chasse aux bugs.

Histoire nº 5 : La petite fille des brigands

Dans cette histoire, Gerda semble être tombée dans les griffes de brigands. Andersen utilise en fait une autre allégorie pour expliquer que, après être arrivée dans une impasse au stade précédent de son enquête, Gerda a été forcée d’engager l’aide de forces qui n’étaient, pour ainsi dire, pas très respectueuses de la loi.

Les cybercriminels ont mis Gerda en contact avec des pigeons informateurs qui savaient exactement qui était responsable de l’incident de Kay, ainsi qu’avec un renne en possession des adresses de certains contacts utiles du darknet. Cette aide n’était pas bon marché ; elle perdit la plupart des ressources acquises dans l’histoire précédente.

Afin de ne pas nuire à l’intégrité de la jeune chercheuse, Andersen tente de décrire ses relations avec les criminels comme inévitables – ils l’ont d’abord volée, dit-il, et c’est seulement ensuite qu’ils ont eu pitié de leur victime et qu’ils lui ont fourni des informations. Cela n’est pas très convaincant. Il est plus probable qu’il s’agissait d’un arrangement mutuellement bénéfique.

Histoire nº 6 : la femme lapone et la Finnoise

Nous arrivons à l’étape finale de la collecte des informations nécessaires à l’enquête par le biais des contacts du darknet fournis par les brigands. Les rennes ont présenté Gerda à une certaine femme Lapone, qui a écrit sur une morue séchée une lettre de recommandation à l’informateur suivant, une certaine Finnoise.

La Finnoise, à son tour, a fourni l’adresse du « jardin de la Reine » : il s’agit bien évidemment du nom du serveur de commandement et de contrôle. Petit détail qui compte : après avoir lu le message, elle a jeté la morue dans un bol de soupe. Elle a donc bien compris l’importance pratique de ne pas laisser de traces et a donc soigneusement suivi les règles de l’OPSEC. C’est à cela qu’on reconnaît les pros.

Histoire nº 7 : Ce qui s’était passé au château de la Reine des neiges et ce qui eut lieu par la suite

La septième histoire explique enfin pourquoi la Reine des neiges avait besoin de Kay. Il était assis et réorganisait des éclats de glace, en essayant d’épeler le mot « éternité ». C’est de la folie, pensez-vous ? Pas du tout. Lisez cet article, une explication basique du minage de crypto-monnaie. Comme il l’explique, les crypto-mineurs fonctionnent essentiellement en réorganisant un bloc d’informations pour obtenir non pas n’importe quel hachage, mais le plus « beau » possible.

C’est-à-dire que Kay a essayé d’arranger les éléments d’information de sorte que son hachage apparaisse sous la forme du mot « éternité ». À ce stade, on comprend pourquoi, dans le deuxième récit, Andersen s’est concentré sur la puissance de calcul de Kay. C’est exactement ce que la Reine des neiges recherchait : Kay a été infecté uniquement à des fins de crypto-minage. Cela explique également l’obsession apparente de la Reine des neiges pour tout ce qui concerne le nord et le froid ; une ferme de minage à haute performance nécessite d’importantes capacités de refroidissement.

Gerda a ensuite fait fondre le cœur glacé de Kay avec ses larmes (c’est-à-dire qu’elle a supprimé le code malveillant à l’aide de différents outils et a repris le contrôle du noyau du système). Kay a ensuite fondu en larmes, ce qui signifie qu’il a activé son antivirus intégré (précédemment bloqué par le module infecté dans son noyau), et a supprimé le deuxième morceau de code malveillant, celui de son œil.

La fin du rapport est assez bizarre par rapport aux normes actuelles. Au lieu de fournir des conseils aux victimes potentielles, des indicateurs de compromission du système et d’autres informations utiles, Andersen s’attarde sur le voyage de retour des personnages. Peut-être que les rapports de sécurité de l’information étaient rédigés ainsi au XIXe siècle.

Comme nous l’avons déjà dit, les auteurs de contes de fées sont en fait les plus anciens experts de cybersécurité en activité. Le cas de la Reine des neiges ne fait que renforcer cette affirmation. Comme nous l’avons décrit ci-dessus, le conte est un compte rendu détaillé d’une enquête sur un incident complexe. Nous vous recommandons également de consulter nos analyses d’autres contes de fées populaires :

Conseils