Pour ce premier article de la série Le divulgâcheur, Ludovic Mé, chercheur en sécurité informatique, décrypte pour nous une scène du « Bureau des Légendes ». Il analyse pour binaire les sept minutes de cette scène d’attaque informatique (qui n’en est d’ailleurs pas vraiment une, mais ne déflorons pas le sujet) qui ouvre l’épisode 5 de la saison 4. Il décrit les actions menées par les experts de la DGSE et celles menées par les pirates, et discute du réalisme et de la cohérence de ces actions. Dans toute la suite, la description de ce qui se passe dans l’épisode est en caractère romain, tandis que les commentaires de l’auteur sont en italique. Nous avons le plaisir de co-publier ce texte avec nos ami.e.s d’Interstices dans le cadre de leur série intitulée « L’informatique – ou presque – dans les films« . Pascal Guitton

Les experts informaticiens de la direction technique de la DGSE sont à pied d’œuvre. Ils attaquent un site, sans doute localisé en Russie, mais ils n’en sont pas totalement sûrs. Et c’est pour la bonne cause, bien entendu : y récupérer un code malveillant, afin de l’analyser et d’en tirer toutes les informations possibles.

Tout d’abord, comment les experts ont-ils appris l’existence de ce code et la manière de le récupérer ? Quelque temps auparavant, Rocambole, une agente de la DGSE infiltrée dans un institut de recherche russe, a vu son téléphone et tous ses appareils connectés victimes d’un groupe de pirates. Un programme malveillant (un virus, ou un programme chargé sur un appstore et contenant une fonction cachée) y a été installé.

Attaquer le téléphone de Rocambole était une bonne idée. Souvent mal protégés (même si cela semble étonnant pour un agent infiltré), les téléphones sont fragiles. Ils sont en outre des cibles intéressantes car ils contiennent énormément d’informations, tant professionnelles que personnelles, qui peuvent intéresser les pirates. Bien que cela ne soit pas précisé dans l’épisode, le virus a vraisemblablement été installé en incitant Rocambole à visiter un site web frauduleux. Notons que la DGSE qualifie les pirates de hackers. Dans le jargon informaticien, ce terme désigne plus globalement toute personne qui cherche à comprendre le fonctionnement de tel ou tel dispositif, pour le réparer, le modifier, ou simplement le maîtriser. Utiliser ce terme à la place du mot pirate est un abus de langage, malheureusement devenu courant.

Les pirates ne soupçonnent en fait pas le double jeu de Rocambole ; ils cherchent juste un moyen de pénétrer dans le réseau de l’institut en ciblant une de ses employés.

Il existe aujourd’hui deux grands types d’attaque virale. Les premières cherchent à atteindre le maximum de monde, pour maximiser le gain attendu, par exemple le vol d’identifiants de connexion. Les secondes ciblent au contraire précisément une personne, dont la position ou les responsabilités font espérer des gains précis. C’est une attaque de ce type qu’a vraisemblablement subie Rocambole.

Heureusement, la tentative de pénétration rendue possible par le virus a été repérée par les mécanismes de sécurité de l’institut, révélant ainsi la présence du virus.

On ne sait rien ici de ce que fait le virus pour faciliter la tentative de pénétration. On n’en sait pas plus sur ce qui aura été tenté durant cette pénétration. Cependant, on peut noter que l’institut de recherche a bien fait de ne pas se contenter de mécanismes de sécurité préventifs. Les attaquants sont malins et ils parviennent parfois à contourner les protections. En complément des mécanismes préventifs, des mécanismes de surveillance ont donc été déployés sur les réseaux et systèmes de l’institut, permettant de détecter certaines attaques a posteriori. Cette deuxième ligne de défense, la supervision de sécurité, est systématique ou presque aujourd’hui, du moins dans les grands organismes.

Le virus a donc été supprimé de tous les appareils de Rocambole. Tous ? Non, malheureusement personne n’a pensé aux bêtes écouteurs Bluetooth qui trainaient au fond de la poche de son manteau.

Le virus s’est propagé à tous les objets qui se sont connectés au téléphone, dont ses écouteurs. Un tel comportement est aujourd’hui assez rare, mais on peut craindre qu’à l’avenir il ne se généralise. Cette propagation est possible car beaucoup d’objets du quotidien intègrent du logiciel qui peut éventuellement contenir des failles exploitables par un virus pour se répandre. L’avenir ultra-connecté, qui nous est promis avec l’internet des objets, pose donc question : la sécurité de ces objets est-elle bien prise en compte ? On sait malheureusement que non dans de très nombreux cas (cf article). Pour autant, installer un virus de manière pérenne sur des écouteurs n’est pas toujours possible. Si on veut que le virus se relance suite à l’arrêt et au redémarrage des écouteurs, celui-ci doit être rendu persistant, c’est-à-dire présent dans la mémoire à long terme du dispositif attaqué, et pas seulement dans sa mémoire d’exécution. C’est possible, mais il faut alors que le dispositif contienne une fonction de mise à jour, que le virus aura pris le soin d’enclencher lors de son installation, pour s’enregistrer en mémoire à long terme. Cela suppose en outre que cette fonction de mise à jour ne soit pas elle-même sécurisée.

Les écouteurs de Rocambole ont fini dans les mains des experts de la DGSE, qui ont donc pu analyser le virus qui s’y trouvait.

L’analyse du code des logiciels malveillants (dont les virus) est une activité menée couramment dans des entreprises de sécurité ou des laboratoires de recherche. L’épisode ne donne aucun éclairage sur cette analyse. On peut cependant noter ici que ce travail n’est généralement pas simple. En effet, tout code malveillant sérieux est obscurci (l’anglicisme « obfusqué » est utilisé), c’est-à-dire que ses auteurs font tout pour le rendre incompréhensible. De nombreuses techniques existent pour cela, mais, en particulier, il arrive souvent qu’une partie du code soit chiffrée, ce qui le rend complètement inexploitable, à moins de retrouver la clé de chiffrement qui est cachée dans ce code et d’exécuter la routine de déchiffrement qui s’y trouve aussi. Visiblement, les experts de la DGSE sont très forts ! Ils ont contourné toutes les difficultés et sont venus à bout de l’analyse.

L’analyse du virus a permis aux experts de découvrir que celui-ci pouvait télécharger un autre code malveillant, potentiellement beaucoup plus dangereux encore.

Le téléchargement d’une charge plus dangereuse est en effet une fonction classique que l’on retrouve dans de nombreux logiciels malveillants.

Pour obtenir ce nouveau code puis l’analyser, une seule solution : activer son téléchargement ! C’est donc ce que font les experts.

On voit ici que les experts ne sont pas réellement en train d’attaquer le site russe, comme nous le disions un peu trop rapidement en début d’article. Ils ne font que déclencher la fonction de téléchargement qu’offre ce site.

Parce qu’ils ne veulent prendre aucun risque, les pirates cherchent à établir la légitimité du téléchargement. En effet, si la demande ne provenait pas d’un site infecté, c’est potentiellement qu’on chercherait à les tromper.

Ce passage est peu cohérent. Nous l’avons vu, Rocambole a vraisemblablement subi une attaque ciblée. Les pirates s’attendent donc à ce que le programme dangereux qu’ils ont rendu accessible sur leur site soit téléchargé par le virus. Ils devraient selon toute vraisemblance avoir mis en place un mécanisme (dit d’authentification) pour s’assurer que la demande de téléchargement provient bien de ce virus et de personne d’autre. Ne pas le faire et mettre leur programme dangereux (et sûrement très précieux !) en téléchargement libre relèverait de l’amateurisme. Ils sont pourtant présentés comme très forts …

Les experts de la DGSE (très forts, eux aussi, rappelons-le) soupçonnent les précautions prises par les pirates. Or, il ne faut pas que la DGSE soit identifiée comme source du téléchargement, sans quoi les pirates, en plus de se savoir repérés, comprendraient que Rocambole est une agente infiltrée. Il faut donc rendre la plus difficile possible l’identification de la source de la demande de téléchargement. À cette fin, les experts s’arrangent pour que cette demande transite par neuf serveurs intermédiaires, relais répartis sur la surface du globe, avant d’atteindre le serveur pirate. Ils brouillent les pistes et compliquent ainsi le travail d’identification des pirates. De plus, au fur et à mesure de la progression de la requête de serveur en serveur, ils prennent soin de supprimer de ces relais les traces de leur passage.

Notons que la demande de téléchargement aurait pu être réalisée depuis le téléphone de Rocambole, puisque la DGSE pourrait en disposer, le réinfecter, et déclencher ainsi le téléchargement par le virus depuis le sol russe. Cela aurait évité tout risque de localisation. Ce n’est, bizarrement,  pas la solution qui a été choisie. Ceci étant dit, la demande de téléchargement étant déclenchée depuis les locaux de la DGSE, l’utilisation de rebonds au travers de plusieurs relais est vraisemblable. Il s’agit en effet d’une technique de camouflage courante. On peut d’ailleurs noter que cette technique peut aussi être utilisée pour protéger la vie privée des utilisateurs : c’est ce que fait le réseau Tor, par exemple. On ne sait cependant pas comment les neuf relais sont choisis. Sans doute pas au hasard, car alors il n’y aurait pas de raison qu’ils relayent la demande de téléchargement, puisqu’ils n’auraient pas été programmés pour cela. Il faut donc imaginer que ces relais sont sous le contrôle de la DGSE, d’une manière ou d’une autre. On peut imaginer que ce sont des machines louées chez différents fournisseurs et sous différentes couvertures. On peut aussi imaginer, même si cela semble improbable car pas éthique, que la DGSE utilise des machines de particuliers ou d’entreprises mal protégées, dont ils ont pris le contrôle et qu’ils pilotent à distance (formant ainsi ce qu’on appelle un botnet). Il y a cependant une nouvelle incohérence : dans ces deux cas, la DGSE aurait pu installer sur ces machines des logiciels pour, d’une part assurer les rebonds, d’autre part effacer toute trace de ces rebonds. Or, plus loin dans l’épisode, on les voit effacer leurs traces à la main.

Les pirates, de leur côté, détectent que la demande de téléchargement est illégitime.

En l’absence d’authentification, cela ne peut se faire qu’en constatant que cette demande provient d’une localisation étrange de leur point de vue, qui n’a a priori pas été infectée.

Ils mettent alors fin au téléchargement et tentent de localiser ceux qui essaient de les berner. Cela va les conduire à passer de relai en relai, en sens inverse des experts de la DGSE.

Comme ils ne disposent a priori d’aucun accès légitime aux relais, les pirates devront attaquer le dernier de la chaîne (le plus proche d’eux), s’y introduire, y trouver de l’information sur l’identité de l’avant-dernier relai, attaquer cet avant-dernier relai, et ainsi de suite. Cette succession d’attaques est possible,mais la vitesse à laquelle elle se produira dans la suite de l’épisode est peu réaliste (nous y reviendrons).

Pour ne pas être détectés, les experts de la DGSE doivent de leur côté effacer leurs traces sur les neuf relais avec plus de rapidité que les pirates ne mettent à les découvrir. Une course de vitesse est donc engagée. Les experts en sortent vainqueurs : aucun relai n’est repéré.

Comme nous l’avons mentionné ci-dessus, on a du mal à comprendre pourquoi l’effacement des traces doit se faire à la main, en tapant des commandes sur un clavier. L’automatisation de l’effacement permettrait d’être infiniment plus rapide. La DGSE dispose certainement du contrôle des relais et aurait pu, dès lors, soit désactiver le système de journalisation des traces, soit installer un logiciel spécifique pour effacer leurs traces. On notera aussi une imprécision de langage : les experts annoncent qu’ils vont « recoder » pour effacer leurs traces. Il s’agit plutôt en fait d’effacer un fichier, comme on le ferait sur un ordinateur personnel. Ce fichier contient de l’information sur toutes les opérations qui sont effectuées sur les serveurs. Le travail de suppression est fait en « ligne de commande » et non dans une fenêtre graphique. À supposer qu’on ait à supprimer des traces à la main, le faire ainsi en ligne de commande est réaliste. Même les commandes passées, qu’on aperçoit sur les écrans des experts, sont correctes. En revanche, la vitesse de frappe des experts n’est pas du tout crédible !

Pour visualiser la progression des pirates, un grand écran des locaux de la DGSE affiche une carte du monde localisant les relais ; ceux-ci passent en rouge si les pirates ont été plus rapides.

Si la présence de cette visualisation est utile pour la compréhension des téléspectateurs, cette représentation graphique de l’avancement des pirates est peu réaliste. En outre, elle suppose que la DGSE surveille chacun des relais de la chaîne et observe les actions des pirates sur ces relais, pour se rendre compte qu’ils ont eu accès aux informations de connexion. Ce n’est pas impossible mais à nouveau c’est peu vraisemblable, supposant que la DGSE ait installé sur ces relais un mécanisme d’observation dédié, alors qu’elle n’a pas pris la peine d’installer un mécanisme d’effacement des traces.

Le premier téléchargement ayant été interrompu par les pirates, les experts en lancent un deuxième, passant par neuf nouveaux relais. Etant donnée la vitesse de réaction des pirates, qui ont coupé la première connexion alors que le quart du code malveillant seulement avait été chargé, les experts en déduisent (habilement !) qu’ils leur faudra environ quatre essais.

Choisir un autre chemin passant par de nouveaux relais est prudent, même si aucun relai du premier chemin n’a été découvert par les pirates. Il est possible de reprendre un téléchargement à l’endroit où il avait été interrompu précédemment, mais cela suppose que le serveur accepte cette fonction de reprise. Nous les avons déjà traités d’amateurs ; nous nous contenterons donc ici de trouver nos pirates plutôt sympathiques : leur serveur autorise la reprise de téléchargement !

Comme lors du premier téléchargement, les pirates détectent que la deuxième demande est illégitime et ils y mettent fin. Mais les experts disposent à présent de la moitié du code malveillant qu’ils convoitent. Et à nouveau, ils gagnent la course de vitesse : seuls deux relais sont localisés. La situation est donc moins favorable que lors de l’essai initial, mais leur protocole d’attaque les autorise à poursuivre l’opération en lançant un troisième téléchargement, car moins de cinq relais ont été découverts. Cependant, lors de ce troisième téléchargement, les choses ne se passent pas aussi bien. Quasi-instantanément, six relais sont localisés par les pirates. Puis un septième. Plus que deux et les pirates sauront que la source est la DGSE. L’heure est grave. Le plus expérimenté des experts prend alors lui-même les choses en main. Ses doigts volent sur le clavier. Un huitième relai est découvert. Plus qu’un seul relai en rempart ! Les commandes s’enchaînent à la vitesse de l’éclair. L’anxiété est à son comble dans la salle d’opération. Chacun redoute de voir le dernier maillon de la chaîne des relais, celui qui précède le site de la DGSE, s’afficher en rouge. Mais non. Ouf. Le plus fort des experts a été plus rapide que les pirates. La progression du rouge s’arrête.

Ne revenons pas sur la vitesse de frappe … Ce qui est le plus difficilement explicable dans cette séquence, c’est la détection quasi-instantanée par les pirates de six relais de la chaîne. Rappelons que les pirates ne disposent a priori d’aucun accès légitime aux relais ; ils doivent les attaquer un à un, s’y introduire et y trouver l’identité du relai précédent. Ce travail est automatisable en partie, certes. Mais la vitesse de localisation atteinte reste très surprenante.

L’opération doit être maintenant stoppée puisque plus de cinq relais ont été localisés. Les experts disposent cependant de 800 kilo-octets de code. L’analyse peut commencer ! Les experts trouvent essentiellement du code compilé, qu’ils estiment inexploitable.

Alors que le code source d’un programme est écrit par son programmeur en utilisant un langage humainement compréhensible (C, java, python, C++ sont des exemples de tels langages), le code compilé est la traduction de ce code source en une suite de valeurs binaires pouvant être comprises par la machine, mais très difficile à interpréter pour des humains. Pour comprendre ce que fait le code malveillant, les experts pourraient tenter de décompiler le code binaire pour revenir au code source, ce qui est parfois possible. D’autres solutions sont aussi envisageables. Pourtant, bien que la compréhension du code téléchargé soit leur objectif initial, les experts laissent de coté le code compilé qu’ils ont récupéré. Nouvelle incohérence, donc

Outre du code compilé, ce qui a été téléchargé contient aussi des passages humainement lisibles, comme un fichier de configuration en langage XML. Les experts se concentrent sur cette partie de code. Et là, bingo, parmi les information de configuration, ils découvrent une information intéressante : une adresse IP.

La vitesse à laquelle cette adresse aura été découverte, dans environ 800 kilo-octets de code, est peu réaliste. En quelques secondes, après un simple survol, les yeux de lynx de l’expert en chef vont repérer dans ce code l’information qui peut être utile. Dans la réalité, vous vous en doutez peut-être, les choses ne seraient pas aussi simples. Tout d’abord, le code serait très vraisemblablement obfusqué, comme déjà expliqué. À supposer qu’il ne le soit pas (ou qu’une « déobfusquation » soit couronnée de succès), resterait à analyser une masse de données importante, qui là encore prendrait du temps. Mais admettons. Il est en revanche possible que des bouts de XML, lisibles, soient inclus dans ce qui a été téléchargé. Et il est en effet possible que ce XML contienne les informations de configuration du code malveillant, ce qui évite à la personne qui lance ce code de taper au clavier ces informations. On dit qu’elles sont « en dur » dans le code. Pour autant, à nouveau, nos pirates font preuve du plus grand amateurisme : laisser dans leur code une adresse IP est inconscient ! Une adresse IP est une suite de nombres correspondant à l’adresse d’une machine sur internet. Lors des courses de vitesse que nous avons décrites précédemment, ce sont les adresses IP des relais que les pirates devaient découvrir. On le voit, ce sont des informations sensibles. Il est hautement improbable que les pirates aient laissé cette information, même si l’expert prétend que tous les programmeurs l’ont un jour fait, sachant que c’est le meilleur moyen de se faire localiser.

Une recherche rapide indique que l’adresse IP découverte (203.0.113.186) appartient à un centre de recherche russe en intelligence artificielle (IA). Une fois le nom de ce centre découvert, il est facile de le localiser sur une carte.

Pour déterminer à qui appartient l’IP découverte, les experts utilisent le service « whois », qui permet l’interrogation de bases de données qui stockent les références des propriétaires d’une adresse donnée. L’accès à ce service est public. Il permet de connaitre l’organisme à laquelle cette adresse IP a été affectée, l’adresse physique de cet organisme, ainsi que d’autres informations. Les auteurs de la série sont prudents : l’adresse 203.0.113.186 ne correspond à aucun organisme réel ; elle fait en effet partie d’un ensemble d’adresses réservées car destinées à servir d’exemple dans les documentations de l’internet. L’affichage sur une carte de la localisation du centre est facile à réaliser puisque le service whois révèle l’adresse physique de l’organisme auquel l’adresse IP a été affectée. Cet affichage est peu utile et ne serait sans doute pas réalisé dans la réalité. Il permet cependant de bien montrer au téléspectateur que le centre est en Russie, tout proche de Moscou.

Les experts établissent ainsi un lien entre le groupe de pirates et un centre de recherche en IA. Ils en concluent que ce centre a lancé un programme d’expérimentation de l’usage de l’intelligence artificielle pour réaliser des attaques informatiques.

Voilà la découverte extrêmement importante qui fera avancer l’intrigue de la série. Cette in- formation est réaliste. Etant donnés les succès qu’elle a connus dans d’autres domaines, comme l’analyse d’image, l’intelligence artificielle est aujourd’hui regardée avec la plus grande attention dans le but d’améliorer la défense des systèmes d’information (on peut par exemple imaginer une analyse « intelligente » des traces laissées par un attaquant). De nouveaux résultats de recherche et de nouveaux outils apparaissent régulièrement. Il faut cependant noter qu’aucun d’entre eux n’a encore établi clairement que l’IA pourrait avoir un apport aussi important en sécurité défensive que celui qu’elle a eu dans d’autres domaines. L’IA pourrait aussi, comme suggéré dans l’épisode, être utilisée de manière offensive, par exemple pour découvrir voire exploiter des failles dans les systèmes adverses. Nous ne disposons pas d’information publique sur le sujet, mais il nous semble fort probable que tous les grands pays s’intéressent au sujet. Là encore, mais cette fois sans doute fort heureusement, rien ne dit que la démarche sera couronnée de succès.

Alors, au final, cette scène, est-elle réaliste et cohérente ? Globalement, plutôt, oui. Pour autant, dans le détail, pas mal de choses clochent, comme nous l’avons vu. Le plus invraisemblable reste l’amateurisme des pirates, comme nous l’avons souligné à plusieurs reprises. Vient ensuite l’absence d’automatisation de la plupart des actions, spécifiquement coté experts. En revanche, une chose est malheureusement réaliste dans cette séquence : pas de femme parmi les experts, même si on en aperçoit une ou deux à l’arrière-plan ! Et les préjugés ont la vie dure : le personnage, certes supérieur hiérarchique, auquel il faut tout expliquer, et avec les mots les plus simples possible, est … une femme !

Ludovic Mé (INRIA)

Vous souhaitez nous proposer une scène à divulgâcher par un.e spécialiste ? N’hésitez pas ! Il suffit de nous en donner la référence en commentaire à cet article.