{"id":14906,"date":"2020-05-18T09:14:40","date_gmt":"2020-05-18T09:14:40","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=14906"},"modified":"2020-05-18T09:15:21","modified_gmt":"2020-05-18T09:15:21","slug":"snow-queen-cybersecurity","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/snow-queen-cybersecurity\/14906\/","title":{"rendered":"La Reine des neiges : un rapport de cybers\u00e9curit\u00e9 en sept histoires"},"content":{"rendered":"

\u00c0 votre avis, de quoi parle r\u00e9ellement le conte de f\u00e9es La Reine des neiges<\/em> de l\u2019expert en cybers\u00e9curit\u00e9 danois Hans Christian Andersen\u00a0? Une jeune fille courageuse qui vainc la personnification de l\u2019hiver et la mort pour sauver son ami ? R\u00e9fl\u00e9chissez-y !<\/p>\n

Soyons r\u00e9alistes : il s\u2019agit d\u2019un compte-rendu assez d\u00e9taill\u00e9 d\u2019une enqu\u00eate men\u00e9e par la jeune experte en s\u00e9curit\u00e9 de l\u2019information Gerda sur la fa\u00e7on dont un certain Kay a \u00e9t\u00e9 infect\u00e9 par un malware tr\u00e8s sophistiqu\u00e9. Ce soi-disant conte de f\u00e9es est \u00e9crit sous la forme de sept histoires qui correspondent clairement aux \u00e9tapes de l\u2019enqu\u00eate.<\/p>\n

Histoire n\u00ba 1\u00a0: un miroir et ses morceaux<\/h2>\n

Si vous avez d\u00e9j\u00e0 lu notre blog expert Securelist.com<\/a> (ou toute autre recherche en s\u00e9curit\u00e9 de l\u2019information bien faite, d\u2019ailleurs), vous savez probablement que les rapports de recherche commencent souvent par une exploration de l\u2019historique des incidents. Andersen ne faillit pas \u00e0 la r\u00e8gle. La premi\u00e8re histoire se penche sur les origines m\u00eames de l\u2019affaire Kay.<\/p>\n

Un beau jour (selon les donn\u00e9es d\u2019Andersen<\/a>) le Diable a cr\u00e9\u00e9 un miroir magique qui avait le pouvoir d\u2019att\u00e9nuer le bien et le beau des gens et de magnifier leurs aspects mauvais et laids. Le miroir a \u00e9t\u00e9 bris\u00e9 par ses apprentis en milliards de fragments qui sont entr\u00e9s dans les yeux et le c\u0153ur des gens, tout en conservant les propri\u00e9t\u00e9s originales de distorsion de la r\u00e9alit\u00e9 du miroir. Certaines personnes en ins\u00e9raient des fragments dans leurs cadres de fen\u00eatre, ce qui d\u00e9formait leur mani\u00e8re de voir le monde. D\u2019autres les utilisaient comme verres pour leurs lunettes.<\/p>\n

Nous savons d\u00e9j\u00e0, gr\u00e2ce \u00e0 Blanche-Neige<\/a>, que les narrateurs utilisent souvent les miroirs en tant que m\u00e9taphores des \u00e9crans, au sens large\u00a0: t\u00e9l\u00e9visions, ordinateurs, tablettes, t\u00e9l\u00e9phones\u2026 Vous voyez ce que nous voulons dire.<\/p>\n

Ainsi, la traduction des mots d\u2019Andersen du langage des all\u00e9gories en prose simple donne ce qui suit : un puissant hacker a cr\u00e9\u00e9 un syst\u00e8me avec un navigateur int\u00e9gr\u00e9 qui a d\u00e9form\u00e9 les sites Web. Par la suite, ses apprentis ont utilis\u00e9 des morceaux de code source pour infecter un grand nombre d\u2019appareils Microsoft Windows et m\u00eame des lunettes de r\u00e9alit\u00e9 augment\u00e9e.<\/p>\n

En fait, ce ph\u00e9nom\u00e8ne n\u2019est pas du tout rare. La fuite de l\u2019exploit EternalBlue en est l\u2019exemple parfait. Cela a engendr\u00e9 les pand\u00e9mies de WannaCry et NotPetya<\/a> et de plusieurs ransomwares moins d\u00e9vastateurs. Nous nous \u00e9loignons du sujet. Revenons \u00e0 notre conte de f\u00e9es.<\/p>\n

Histoire n\u00ba 2\u00a0: un petit gar\u00e7on et une petite fille<\/h2>\n

Dans le second r\u00e9cit, Andersen proc\u00e8de \u00e0 une description plus d\u00e9taill\u00e9e de l\u2019une des victimes et du vecteur d\u2019infection initial. Selon les donn\u00e9es disponibles, Kay et Gerda communiquaient depuis leurs fen\u00eatres de grenier adjacentes (communication par Windows !). Un hiver, Kay a vu par sa fen\u00eatre une \u00e9trange et belle femme envelopp\u00e9e dans un tulle blanc ultrafin. C\u2019\u00e9tait la premi\u00e8re rencontre de Kay avec le cybercriminel (ci-apr\u00e8s d\u00e9sign\u00e9 par son pseudonyme, \u00ab\u00a0la Reine des neiges\u00a0\u00bb).<\/p>\n

Peu de temps apr\u00e8s, Kay a ressenti une sensation de coup de poignard en plein c\u0153ur et quelque chose lui est entr\u00e9 dans l\u2019\u0153il. C\u2019est ainsi qu\u2019Andersen d\u00e9crit le moment de l\u2019infection. Apr\u00e8s que le code malveillant a acc\u00e9d\u00e9 \u00e0 son c\u0153ur (le noyau de son syst\u00e8me d\u2019exploitation) et \u00e0 son \u0153il (dispositif de saisie de donn\u00e9es), la r\u00e9action de Kay aux stimuli externes a radicalement chang\u00e9, et toutes les informations entrantes ont \u00e9t\u00e9 d\u00e9form\u00e9es.<\/p>\n

Quelques temps plus tard, il a quitt\u00e9 sa maison, en attachant son tra\u00eeneau \u00e0 celui de la Reine des neiges. Kay, qui pour une raison quelconque faisait confiance \u00e0 la Reine des neiges, lui dit qu\u2019il \u00e9tait capable de faire du calcul mental m\u00eame avec des fractions, et qu\u2019il connaissait la taille et la population de chaque pays. Des d\u00e9tails mineurs, \u00e0 premi\u00e8re vue. Pourtant, comme nous le verrons plus tard, c\u2019est pr\u00e9cis\u00e9ment ce qui int\u00e9ressait l\u2019agresseur.<\/p>\n

Histoire n\u00ba 3\u00a0: La jardin de la magicienne<\/h2>\n

Gerda a commenc\u00e9 sa propre enqu\u00eate et est tomb\u00e9e par hasard sur une femme qui, pour une raison quelconque, l\u2019a emp\u00each\u00e9e de poursuivre ses recherches. Nous nous int\u00e9ressons surtout au moment o\u00f9 la sorci\u00e8re a peign\u00e9 les boucles de Gerda, lui faisant oublier Kay.<\/p>\n

En d\u2019autres termes, cette dame a en quelque sorte corrompu les donn\u00e9es concernant l\u2019enqu\u00eate. Vous remarquerez que nous connaissons d\u00e9j\u00e0 l\u2019arme cybern\u00e9tique de son choix : un peigne. Dans le rapport des fr\u00e8res Grimm sur l\u2019incident Blanche-Neige<\/em><\/a>, la belle-m\u00e8re avait utilis\u00e9 un outil similaire pour bloquer sa victime. Est-ce une co\u00efncidence ? Ou est-ce que ces faits sont li\u00e9s\u00a0?<\/p>\n

En tout cas, comme avec Blanche-Neige, le blocage provoqu\u00e9 par le peigne n\u2019\u00e9tait pas permanent : les donn\u00e9es ont \u00e9t\u00e9 restaur\u00e9es et Gerda a poursuivi son enqu\u00eate.<\/p>\n

\u00c0 la fin de la troisi\u00e8me partie du rapport, Gerda a demand\u00e9 aux fleurs du jardin de la sorci\u00e8re si elles avaient vu Kay. Il s\u2019agit tr\u00e8s probablement d\u2019une r\u00e9f\u00e9rence \u00e0 l\u2019ancien messager d\u2019ICQ, qui avait une fleur comme logo (et comme indicateur du statut de l\u2019utilisateur). En communiquant avec la sorci\u00e8re, Gerda essayait d\u2019obtenir des informations suppl\u00e9mentaires sur l\u2019incident gr\u00e2ce \u00e0 ses contacts.<\/p>\n

Histoire n\u00ba 4\u00a0: prince et princesse<\/h2>\n

La quatri\u00e8me \u00e9tape de l\u2019enqu\u00eate ne semble pas tr\u00e8s pertinente. Gerda a essay\u00e9 de rechercher Kay sur la base de donn\u00e9es du gouvernement. Pour ce faire, elle a fait la connaissance de quelques corneilles qui lui ont donn\u00e9 acc\u00e8s \u00e0 un b\u00e2timent du gouvernement (le palais royal).<\/p>\n

Bien que cela n\u2019ait donn\u00e9 aucun r\u00e9sultat, Gerda a consciencieusement inform\u00e9 le gouvernement de la vuln\u00e9rabilit\u00e9 et de l\u2019ins\u00e9curit\u00e9 que repr\u00e9sentaient les corneilles. Le prince et la princesse ont corrig\u00e9 la vuln\u00e9rabilit\u00e9, en disant aux corneilles qu\u2019ils n\u2019\u00e9taient pas en col\u00e8re contre elles, mais qu\u2019elles ne devaient pas recommencer. Notez bien qu\u2019ils n\u2019ont pas puni les oiseaux, mais leur ont simplement demand\u00e9 de changer de comportement.<\/p>\n

En r\u00e9compense, le prince et la princesse ont fourni des ressources \u00e0 Gerda (un carrosse, des v\u00eatements chauds et des serviteurs). C\u2019est un excellent exemple de la mani\u00e8re dont une organisation doit r\u00e9agir lorsque des chercheurs signalent une vuln\u00e9rabilit\u00e9 \u2013 esp\u00e9rons que la r\u00e9compense n\u2019\u00e9tait pas ponctuelle, mais qu\u2019elle soit devenue un v\u00e9ritable programme de chasse aux bugs<\/a>.<\/p>\n

Histoire n\u00ba 5\u00a0: La petite fille des brigands<\/h2>\n

Dans cette histoire, Gerda semble \u00eatre tomb\u00e9e dans les griffes de brigands. Andersen utilise en fait une autre all\u00e9gorie pour expliquer que, apr\u00e8s \u00eatre arriv\u00e9e dans une impasse au stade pr\u00e9c\u00e9dent de son enqu\u00eate, Gerda a \u00e9t\u00e9 forc\u00e9e d\u2019engager l\u2019aide de forces qui n\u2019\u00e9taient, pour ainsi dire, pas tr\u00e8s respectueuses de la loi.<\/p>\n

Les cybercriminels ont mis Gerda en contact avec des pigeons informateurs qui savaient exactement qui \u00e9tait responsable de l\u2019incident de Kay, ainsi qu\u2019avec un renne en possession des adresses de certains contacts utiles du darknet. Cette aide n\u2019\u00e9tait pas bon march\u00e9 ; elle perdit la plupart des ressources acquises dans l\u2019histoire pr\u00e9c\u00e9dente.<\/p>\n

Afin de ne pas nuire \u00e0 l\u2019int\u00e9grit\u00e9 de la jeune chercheuse, Andersen tente de d\u00e9crire ses relations avec les criminels comme in\u00e9vitables \u2013 ils l\u2019ont d\u2019abord vol\u00e9e, dit-il, et c\u2019est seulement ensuite qu\u2019ils ont eu piti\u00e9 de leur victime et qu\u2019ils lui ont fourni des informations. Cela n\u2019est pas tr\u00e8s convaincant. Il est plus probable qu\u2019il s\u2019agissait d\u2019un arrangement mutuellement b\u00e9n\u00e9fique.<\/p>\n

Histoire n\u00ba 6\u00a0: la femme lapone et la Finnoise<\/h2>\n

Nous arrivons \u00e0 l\u2019\u00e9tape finale de la collecte des informations n\u00e9cessaires \u00e0 l\u2019enqu\u00eate par le biais des contacts du darknet fournis par les brigands. Les rennes ont pr\u00e9sent\u00e9 Gerda \u00e0 une certaine femme Lapone, qui a \u00e9crit sur une morue s\u00e9ch\u00e9e une lettre de recommandation \u00e0 l\u2019informateur suivant, une certaine Finnoise.<\/p>\n

La Finnoise, \u00e0 son tour, a fourni l\u2019adresse du \u00ab\u00a0jardin de la Reine\u00a0\u00bb : il s\u2019agit bien \u00e9videmment du nom du serveur de commandement et de contr\u00f4le. Petit d\u00e9tail qui compte : apr\u00e8s avoir lu le message, elle a jet\u00e9 la morue dans un bol de soupe. Elle a donc bien compris l\u2019importance pratique de ne pas laisser de traces et a donc soigneusement suivi les r\u00e8gles de l\u2019OPSEC<\/a>. C\u2019est \u00e0 cela qu\u2019on reconna\u00eet les pros.<\/p>\n

Histoire n\u00ba 7\u00a0: Ce qui s\u2019\u00e9tait pass\u00e9 au ch\u00e2teau de la Reine des neiges et ce qui eut lieu par la suite<\/h2>\n

La septi\u00e8me histoire explique enfin pourquoi la Reine des neiges avait besoin de Kay. Il \u00e9tait assis et r\u00e9organisait des \u00e9clats de glace, en essayant d\u2019\u00e9peler le mot \u00ab\u00a0\u00e9ternit\u00e9\u00a0\u00bb. C\u2019est de la folie, pensez-vous ? Pas du tout. Lisez cet article, une explication basique du minage de crypto-monnaie<\/a>. Comme il l\u2019explique, les crypto-mineurs fonctionnent essentiellement en r\u00e9organisant un bloc d\u2019informations pour obtenir non pas n\u2019importe quel hachage, mais le plus \u00ab\u00a0beau\u00a0\u00bb possible.<\/p>\n

C\u2019est-\u00e0-dire que Kay a essay\u00e9 d\u2019arranger les \u00e9l\u00e9ments d\u2019information de sorte que son hachage apparaisse sous la forme du mot \u00ab\u00a0\u00e9ternit\u00e9\u00a0\u00bb. \u00c0 ce stade, on comprend pourquoi, dans le deuxi\u00e8me r\u00e9cit, Andersen s\u2019est concentr\u00e9 sur la puissance de calcul de Kay. C\u2019est exactement ce que la Reine des neiges recherchait : Kay a \u00e9t\u00e9 infect\u00e9 uniquement \u00e0 des fins de crypto-minage. Cela explique \u00e9galement l\u2019obsession apparente de la Reine des neiges pour tout ce qui concerne le nord et le froid ; une ferme de minage \u00e0 haute performance n\u00e9cessite d\u2019importantes capacit\u00e9s de refroidissement.<\/p>\n

Gerda a ensuite fait fondre le c\u0153ur glac\u00e9 de Kay avec ses larmes (c\u2019est-\u00e0-dire qu\u2019elle a supprim\u00e9 le code malveillant \u00e0 l\u2019aide de diff\u00e9rents outils et a repris le contr\u00f4le du noyau du syst\u00e8me). Kay a ensuite fondu en larmes, ce qui signifie qu\u2019il a activ\u00e9 son antivirus int\u00e9gr\u00e9 (pr\u00e9c\u00e9demment bloqu\u00e9 par le module infect\u00e9 dans son noyau), et a supprim\u00e9 le deuxi\u00e8me morceau de code malveillant, celui de son \u0153il.<\/p>\n

La fin du rapport est assez bizarre par rapport aux normes actuelles. Au lieu de fournir des conseils aux victimes potentielles, des indicateurs de compromission du syst\u00e8me et d\u2019autres informations utiles, Andersen s\u2019attarde sur le voyage de retour des personnages. Peut-\u00eatre que les rapports de s\u00e9curit\u00e9 de l\u2019information \u00e9taient r\u00e9dig\u00e9s ainsi au XIXe si\u00e8cle.<\/p>\n

Comme nous l\u2019avons d\u00e9j\u00e0 dit, les auteurs de contes de f\u00e9es sont en fait les plus anciens experts de cybers\u00e9curit\u00e9 en activit\u00e9. Le cas de la Reine des neiges ne fait que renforcer cette affirmation. Comme nous l\u2019avons d\u00e9crit ci-dessus, le conte est un compte rendu d\u00e9taill\u00e9 d\u2019une enqu\u00eate sur un incident complexe. Nous vous recommandons \u00e9galement de consulter nos analyses d\u2019autres contes de f\u00e9es populaires :<\/p>\n