Cyber-attaque : le cas de Stratfor
Date : 08 Février 2012
Le 24 décembre 2011, une attaque de grande ampleur a affecté l’agence de renseignements américaine Stratfor, venant ainsi clore une année déjà riche en matière de cyberattaques (voir à ce sujet le Bilan Cert-IST sur les attaques informatiques de l’année 2011). Nous revenons dans le présent article sur cette attaque.
Introduction
Stratfor (Strategic Forecasting) est une agence privée de renseignements américaine (think tank), fondée en 1996 et basée à Austin (Texas). De part son statut et sa réputation, elle dispose d’une base de sources très conséquente, notamment dans le domaine du renseignement américain. Elle fournit en outre à ses abonnés des analyses et des prévisions dans les domaines politique, militaire et de sécurité (sous forme de lettres d’informations).
La liste des clients de Stratfor est confidentielle et compte parmi ses membres des personnels des administrations et des agences gouvernementales, des gradés de l'armée américaine (dont certains appartiennent au Département d'État américain ou travaillent pour des banques internationales). On retiendra parmi cette liste des noms comme la Bank of America, JP Morgan Chase ou des grands noms du secteur des nouvelles technologies comme IBM et Microsoft.
Stratfor est régulièrement cité comme un expert dans le renseignement pour les questions stratégiques et tactiques et a même été surnommé "The Shadow CIA" (la CIA fantôme) par l'hebdomadaire américain Barron's notamment.
L’attaque
Le jour de Noël, un groupe de pirates informatiques a revendiqué (sous la bannière Anonymous) avoir attaqué le site de Stratfor et récupéré non seulement la liste des clients de l’agence, mais également les informations bancaires (stockées en clair…) de plusieurs milliers de clients. Au total, ce sont quelque 860 000 adresses e-mail, ainsi que des adresses postales, numéros de téléphone et numéros de cartes de crédit qui ont été volés. Parmi les données récoltées, se trouvent également des mots de passe, sous forme de hash MD5.
Concernant l’attaque elle-même, le blog de "Exploitability" donne quelques pistes. Il semblerait que les pirates se soient introduits via une faille sur un serveur Apache et aient ensuite utilisé d’autres failles pour passer "root". Selon l’analyse effectuée par l’auteur du blog, les logs récupérés démontrent des faiblesses qui vont à l’encontre des bonnes pratiques recommandées en terme de sécurité (présence de fichiers source et de divers dossiers dans le répertoire "/root", présence de clés SSH sans mot de passe, utilisation du serveur pour faire du développement…). Les attaquants semblent de plus avoir eu la possibilité d’accéder à tous les serveurs de la DMZ grâce à une clé unique.
Les pirates présumés, sorte de Robin des Bois des temps modernes, ont déclaré avoir utilisé les informations volées pour faire don d'un million de dollars à des organisations caritatives.
Certains Anonymous ont par la suite démenti ces informations en déclarant via le site "pastebin.com" que l’attaque n’était pas de leur fait. Il s’agirait plutôt d’une branche dissidente (provenant de la dissolution du groupe LulzSec ?), qui aurait pour nom "LulzXmas" (contraction de LulzSec et Christmas), mais la question de la revendication reste en suspens.
Dès l’annonce de l’attaque sur Internet, Stratfor a démarré une enquête et mis son site hors ligne. Selon une vidéo diffusée par le fondateur et PDG de l’agence, George Friedman, le piratage remonterait à début décembre et le FBI aurait débuté ses investigations à cette date (le FBI aurait recommandé à l’agence de ne pas rendre l’attaque publique tant que les pirates ne publient rien). Friedman s’est excusé auprès de ses clients d’avoir stocké leurs données bancaires en clair et a depuis confié cette activité à un sous-traitant.
Sur la sécurité des mots de passe
A partir des hash des mots de passe dérobés, plusieurs chercheurs ont mis en route des programmes utilisant notamment des dictionnaires ou des Rainbow Tables (ces dernières contenant des listes de mots de passe associés à leurs empreintes) pour voir quels types de mots de passe avaient été utilisés, afin d’étudier leur complexité. Les résultats parlent d’eux-mêmes et montrent que certains mots de passe sont très faibles.
On notera que le formulaire d’enregistrement de Stratfor ne fait pas de recommandations sur la robustesse des mots de passe et n’empêche pas l’utilisation de mots de passe trop faibles (ce qui est surprenant pour une organisation de ce type). Les mots de passe ont de plus été stockés directement sous forme MD5, sans utiliser de sel (l’utilisation d’un sel rend les opérations de décryptage plus difficiles).
On voit donc à quel point il est important de choisir des mots de passe complexes, des séquences comprenant au moins 8 ou 9 caractères, mélangeant majuscules et minuscules avec des chiffres et de la ponctuation (de nombreuses recommandations sont disponibles sur Internet concernant la sécurité des mots de passe, on peut citer à titre d’exemple le Cyber Security Tip de l’US-CERT ST04-002).
Conclusions
Dans le cas de Stratfor, on peut s’interroger sur les motivations des attaquants. Sans débattre sur l’aspect éthique du mouvement hactiviste (déjà largement débattu depuis les attaques qui ont suivi la fermeture du site Megaupload), les précédentes attaques reposaient sur des raisons que l’on peut qualifier de rationnelles : Visa a été attaqué après avoir suspendu les moyens de paiement de WikiLeaks, HB Gary après avoir participé à une opération visant à identifier des membres du groupe Anonymous etc. Pour Stratfor, la question du motif de l’attaque est plus difficile à déterminer.
Friedman, pour sa part, décrit l'attaque comme "un acte de censure" en pointant du doigt la destruction de serveurs : "cette attaque a été clairement conçue dans le but de nous faire taire en détruisant nos enregistrements et notre site web, contrairement à la plupart des attaques par de tels groupes". Certaines sources laissent à penser, qu’au delà de Stratfor, ce sont plutôt ses membres qui ont été visés. Ces sources relient ainsi l’attaque de Stratfor à celle ayant visé la société "SpecialForces.com" (spécialisée dans la fourniture d'équipements militaires).
Friedman a présenté ses excuses, reconnaissant sa responsabilité dans l’attaque. La réussite de cette dernière souligne en effet la faiblesse des dispositifs de sécurité de l’agence, pourtant actrice dans le monde du renseignement et de la sécurité. Et ce n’est pas la première fois qu’un tel constat peut être fait, on se souviendra par exemple du cas de Diginotar, autorité de certification néerlandaise qui a été victime (en juillet 2011) d’une intrusion et s’était vu dérober plusieurs centaines de certificats.
Pour plus d’information :
Article de "Security Week" du 27 décembre 2011 :
http://www.securityweek.com/analysis-data-exposed-stratfor-cyber-attack
Blog de "Troy Hunt" du 29 décembre 2011 :
http://www.troyhunt.com/2011/12/5-website-security-lessons-courtesy-of.html
Article de "IdentityFinder" du 30 décembre 2011 :
http://www.identityfinder.com/blog/post/Update-Identity-Finder-Releases-New-Analysis-of-StratforAnonymous-Breach3b-Warns-Victims-to-Beware-of-Phishing-and-Change-Passwords.aspx
Article du "Tech Herald" du 2 janvier 2012 :
http://www.thetechherald.com/articles/Report-Analysis-of-the-Stratfor-Password-List
Article du Monde du 9 janvier 2012 :
http://www.lemonde.fr/technologies/article/2012/01/09/des-responsables-americains-et-britanniques-pieges-par-des-hackers_1627211_651865.html