{"id":12415,"date":"2019-10-17T10:00:27","date_gmt":"2019-10-17T10:00:27","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=12415"},"modified":"2020-04-09T11:44:31","modified_gmt":"2020-04-09T11:44:31","slug":"operation-puss-in-boots","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/operation-puss-in-boots\/12415\/","title":{"rendered":"Le Chat bott\u00e9, exemple d’une campagne APT"},"content":{"rendered":"

Avez-vous d\u00e9j\u00e0 pens\u00e9 \u00e0 la r\u00e9ponse que vous donneriez \u00e0 votre enfant pr\u00e9coce s’il vous demandait : « Qu’est-ce qu’une attaque APT \u00e0 motivation politique ? » En r\u00e9alit\u00e9, c’est simple. Ressortez votre vieux livre du Chat bott\u00e9<\/em> de Charles Perrault et lisez ce conte ensemble en vous concentrant sur les aspects ayant \u00e0 voir avec la cybers\u00e9curit\u00e9. Apr\u00e8s tout, si nous ignorons les libert\u00e9s artistiques prises par l’auteur, comme un chat qui parle ou des ogres, cette histoire est l’exemple parfait d’une attaque APT complexe et \u00e0 plusieurs vecteurs contre un gouvernement (fictif). Analysons ensemble le d\u00e9roulement de ce cybercrime.<\/p>\n

Le conte commence lorsqu’un meunier l\u00e8gue \u00e0 titre posthume tout ce qu’il poss\u00e8de \u00e0 ses fils. Le plus jeune de ses fils h\u00e9rite des coordonn\u00e9es d’une personne connue sous le nom de Chat bott\u00e9<\/em>. Il s’agit bien \u00e9videmment d’un pirate informatique \u00e0 gages. Comme vous devez s\u00fbrement vous en rappeler, dans Shrek 2<\/em>, ce f\u00e9lin beau parleur porte non seulement ses bottes caract\u00e9ristiques, mais aussi un chapeau noir<\/em>. Apr\u00e8s un \u00e9change rapide avec le client, le cybercriminel \u00e9labore un plan machiav\u00e9lique visant \u00e0 prendre le contr\u00f4le du pays.<\/p>\n

\u00c9tablissement de la cha\u00eene d’approvisionnement<\/h2>\n
    \n
  1. Le Chat attrape un lapin et le pr\u00e9sente au Roi comme un cadeau de son Ma\u00eetre, le fils du meunier se faisant passer pour le Marquis de Carabas.<\/li>\n
  2. Le Chat attrape deux perdrix et les livre au Roi comme cadeau du Marquis.<\/li>\n
  3. Le Chat continue \u00e0 apporter du gibier au Roi pendant plusieurs mois, tous provenant soi-disant de son Ma\u00eetre.<\/li>\n<\/ol>\n

    Si au tout d\u00e9but des op\u00e9rations personne ne connaissait le Marquis de Carabas, il a fini par gagner en notori\u00e9t\u00e9 en tant que fournisseur de gibier pour la cour et \u00e9tait consid\u00e9r\u00e9 comme fiable \u00e0 la fin de la phase pr\u00e9paratoire. Le service de s\u00e9curit\u00e9 royal a commis au moins deux erreurs flagrantes. Premi\u00e8rement, la s\u00e9curit\u00e9 aurait d\u00fb se m\u00e9fier lorsqu’une entit\u00e9 inconnue a commenc\u00e9 \u00e0 envoyer du gibier au ch\u00e2teau. Apr\u00e8s tout, tout le monde sait qu’il n’y a rien de comparable \u00e0 un repas gratuit. Deuxi\u00e8mement, la premi\u00e8re chose \u00e0 faire au moment de passer un accord avec un nouveau fournisseur est de v\u00e9rifier sa r\u00e9putation.<\/p>\n

    Ing\u00e9nierie sociale pour ouvrir la porte<\/h2>\n
      \n
    1. Ensuite, le Chat entra\u00eene son « Ma\u00eetre » au bord de la rivi\u00e8re. Il le convainc de retirer ses v\u00eatements et de se mettre \u00e0 l’eau. Alors que le carrosse du Roi passait \u00e0 proximit\u00e9, le Chat appela \u00e0 l’aide, pr\u00e9textant que les habits du Marquis avaient \u00e9t\u00e9 d\u00e9rob\u00e9s pendant qu’il nageait.<\/li>\n<\/ol>\n

      Le Chat emploie ici deux stratag\u00e8mes diff\u00e9rents. Il affirme que le jeune homme dans l’eau n’est pas un \u00e9tranger mais un fournisseur fiable de gibier, et que, ayant apport\u00e9 son aide de mani\u00e8re d\u00e9sint\u00e9ress\u00e9e, le Chat avait maintenant besoin de l’aide du Roi. Le faux Marquis ne peut \u00eatre identifi\u00e9 (ou authentifi\u00e9) sans ses v\u00eatements vol\u00e9s. Le Roi tombe dans le pi\u00e8ge et pense que cette fausse identit\u00e9 est authentique. C’est un exemple classique d’ing\u00e9nierie sociale.<\/p>\n

      L’attaque de point d’eau via le site Internet de l’ogre<\/h2>\n
        \n
      1. Le Chat arrive au ch\u00e2teau de l’Ogre, o\u00f9 il est accueilli comme un invit\u00e9 d’honneur, puis demande \u00e0 son h\u00f4te de lui montrer ses pouvoirs magiques. Flatt\u00e9, l’Ogre se transforme en lion. Apr\u00e8s avoir fait croire qu’il avait \u00e9t\u00e9 effray\u00e9, le Chat lui dit que tout le monde pouvait se transformer en quelque chose de grand et qu’il voulait savoir s’il pouvait aussi se changer en quelque chose de tr\u00e8s petit. L’Ogre, na\u00eff, se transforma en souris et le Chat s’y jeta dessus et la mangea.<\/li>\n<\/ol>\n

        Pour parfaire la tromperie, le Marquis a besoin d’un site Internet et quel genre de fournisseur n’en a pas ? Cr\u00e9er un site de toutes pi\u00e8ces serait imprudent : il n’aurait pas d’histoire et sa date de cr\u00e9ation serait suspecte. Il d\u00e9cide donc de d\u00e9tourner un site existant. Ici, Perrault traite vaguement d’une vuln\u00e9rabilit\u00e9 impliquant une perte des autorisations d’acc\u00e8s. Le Chat se connecte pour r\u00e9aliser un test d’intrusion externe et persuade l’administrateur local de jouer avec le syst\u00e8me de contr\u00f4le d’acc\u00e8s. L’administrateur \u00e9l\u00e8ve d’abord ses propres privil\u00e8ges \u00e0 root (lion), puis les abaisse au mode invit\u00e9 (souris). D\u00e8s que cela se produit, le chat supprime le compte ayant les autorisations « souris » et devient le seul administrateur du site.<\/p>\n

          \n
        1. Le Roi visite le ch\u00e2teau et se r\u00e9jouit tellement de l’accueil qu’il d\u00e9cide que le Marquis serait un bon partenaire pour la Princesse. Il propose donc de l’inviter \u00e0 la cour et de faire de lui un h\u00e9ritier du tr\u00f4ne.<\/li>\n<\/ol>\n

          C’est ce qui arrive quand l’ing\u00e9nierie sociale fonctionne comme pr\u00e9vu. La victime visite le site Internet malveillant et y conclut un march\u00e9, permettant au pirate informatique d’avoir acc\u00e8s \u00e0 des biens pr\u00e9cieux (dans ce cas, le tr\u00f4ne). Pas directement, bien s\u00fbr. Dans ce cas, en donnant sa fille en mariage au faux Marquis.<\/p>\n

          Attaque de la cha\u00eene d’approvisionnement<\/h2>\n

          Le texte de Perrault ne mentionne pas cette partie, mais si vous avez pr\u00eat\u00e9 attention, vous avez probablement remarqu\u00e9 qu’\u00e0 la fin du conte, le Marquis de Carabas\u00a0:<\/p>\n

            \n
          • \u00a0est le fournisseur de confiance du Roi. Il fournit du gibier sauvage pour la table du monarque depuis plusieurs mois, et<\/li>\n
          • est le mari de la fille unique du Roi.<\/li>\n<\/ul>\n

            Seul le vieil homme sur le tr\u00f4ne l’emp\u00eache de r\u00e9gner. En r\u00e9sum\u00e9, pour devenir le chef absolu, tout ce qu’il a \u00e0 faire est d’injecter un virus mortel dans le code de la perdrix suivante, puis s’asseoir et attendre.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

            Charles Perrault explique comment les pirates informatiques utilisent l\u2019ing\u00e9nierie sociale et l\u2019attaque de point d\u2019eau \u00e0 des fins politiques.<\/p>\n","protected":false},"author":700,"featured_media":12423,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,686,3151],"tags":[498,3718,3197,3702,334,533,204],"class_list":{"0":"post-12415","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-threats","9":"category-smb","10":"tag-apt","11":"tag-attaque-de-point-deau","12":"tag-chaine-dapprovisionnement","13":"tag-contes-de-fees","14":"tag-enfants","15":"tag-ingenierie-sociale","16":"tag-menaces"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/operation-puss-in-boots\/12415\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/operation-puss-in-boots\/16781\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/operation-puss-in-boots\/14170\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/operation-puss-in-boots\/18768\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/operation-puss-in-boots\/16815\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/operation-puss-in-boots\/15560\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/operation-puss-in-boots\/19468\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/operation-puss-in-boots\/18129\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/operation-puss-in-boots\/23771\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/operation-puss-in-boots\/6553\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/operation-puss-in-boots\/28963\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/operation-puss-in-boots\/12466\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/operation-puss-in-boots\/11331\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/operation-puss-in-boots\/20371\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/operation-puss-in-boots\/24354\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/operation-puss-in-boots\/24789\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/operation-puss-in-boots\/19234\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/operation-puss-in-boots\/23550\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/operation-puss-in-boots\/23400\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/menaces\/","name":"menaces"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/12415","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/700"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=12415"}],"version-history":[{"count":9,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/12415\/revisions"}],"predecessor-version":[{"id":12598,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/12415\/revisions\/12598"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/12423"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=12415"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=12415"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=12415"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}