10 avril 2010
J’ai suivi avec intérêt les rapports sur la découverte d’un nouveau botnet au Vietnam. Le mardi 30 mars, McAfee et Google ont tous deux publié des informations sur le botnet qui ont été reprises hier par le Wall Street Journal, le Washington Post et le New York Time. Ensemble, ils donnent un aperçu de combien il est difficile de pister les abus sur Internet, le piratage et la « cyber-guerre ».
George Kurtz, directeur technique de McAfee, donne le rapport le plus détaillé techniquement. McAfee a enquêté sur « l’Opération Aurora », l’attaque sur Google et d’autres sociétés américaines qui a amené Google à mettre fin à son moteur de recherche google.cn et à rediriger les utilisateurs chinois vers son moteur de recherche non censuré installé à Hong Kong. Au cours de l’enquête sur ces attaques, Kurtz a découvert un botnet apparemment sans rapport et sans connexion [avec l’Opération Aurora] et contrôlé par des ordinateurs au Vietnam, et apparemment, se propageant via un logiciel d’écriture de langue vietnamienne.
Le vietnamien est une langue qui utilise un ensemble complexe d’accents pour distinguer les caractères et la façon de prononcer les mots. Pour taper en vietnamien, vous avez besoin d’un logiciel qui permet d’associer certaines combinaisons de touches avec les caractères Unicode appropriés. De nombreux vietnamophones utilisent VPSKeys, un logiciel distribué par l’Association des Professionnels Vietnamiens (Vietnamese Professional Society – VPS), un groupe dédié à la connexion professionnels vietnamiens dans la diaspora. Selon Kurtz, le pilote pour Windows distribué par VPS a été infecté – si vous le téléchargez et que vous l’installiez, vous installerez aussi un ensemble varié de programmes malveillant, des chevaux de Troie, qui vont pirater votre machine pour l’intégrer dans un botnet qui semble être contrôlé depuis l’intérieur du Vietnam.
Kurtz est clair. Il ne pense pas que VPS ait volontairement distribué de logiciels malveillants. Au contraire, « Nous croyons que les auteurs de cette intrusion peuvent avoir des motivations politiques et pourrait avoir une certaine allégeance au gouvernement de la République Socialiste du Vietnam. » Ecrivant pour l’équipe sécurité de Google, Neel Mehta va plus loin : « Ces machines infectées ont été utilisées à la fois pour espionner leurs propriétaires et pour les faire participer à des attaques de déni de service distribué (DDoS) contre des blogs contenant des messages de la dissidence politique. Plus précisément, ces attaques ont essayé d’étouffer l’opposition à l’exploitation minière de bauxite au Vietnam, une question importante et très sensible dans le pays. »
La déclaration Mehta m’a aidé à mettre le doigt sur quelque chose qui me trouble depuis quelques années maintenant. J’ai eu la chance de travailler avec des militants et des dissidents vietnamiens aux États-Unis, et je suis conscient des attaques sophistiquées menées sur les personnes qui ont attiré l’attention des forces de sécurité. Certaines de ces attaques ont permis d’accéder à des documents cryptés, y compris via un cryptage avec PGP. Nous supposions que les forces de sécurité n’étaient pas capables de casser PGP (bouh), mais qu’elles avaient matériellement accès aux ordinateurs des gens (c’est assez fréquent au Vietnam), copié les trousseaux de clés privées PGP et installé des logiciels espions permettant de voler la phrase de passe de leurs utilisateurs. Maintenant, je suis plus enclin à penser que l’attaque aurait pu être beaucoup plus simple – quelqu’un a piraté une version antérieure du logiciel d’écriture en langue vietnamienne pour insérer un logiciel espion destiné à voler les mots de passe et les trousseaux de clés PGP.
Tant le Washington Post que le Wall Street Journal font le lien entre ces attaques et la volonté des autorités vietnamiennes à faire taire les critiques un projet minier chinois au Vietnam. Il y a des preuves circonstanciées pour cela – bauxitevietnam.info a été attaqué dans le passé et la bloggeuse Nguyen Ngoc Nhu Quynh – alias Me Nam – a été arrêtée l’année dernière, en rapport avec son opposition à la mine.
Mais il me semble possible que ce qui se passe est plus complexe et sinistre qu’une attaque par déni de service. Il n’y a pas de raison particulière pour exploiter les ordinateurs des utilisateurs de langue vietnamienne pour lancer une attaque DDoS – il y a des botnets existants et robustes qui peuvent être loués pour attaquer le site que vous souhaitez. (Je suppose qu’un botnet construit avec des utilisateurs basés au Vietnam et dans la diaspora serait particulièrement efficace pour cibler les sites à l’intérieur du Vietnam … mais bauxitevietnam.info a été enregistré auprès d’une société à Hong Kong et il n’y a aucune raison de croire que les dissidents seraient assez fou pour héberger un anti site-gouvernemental à l’intérieur du Vietnam.) Mais être capable d’intercepter les communications écrites en vietnamien des personnes et de pouvoir chercher des phrases clés comme « Khoi 8406 » [Bloc 8406 – un rassemblement d’opposants politiques au Vietnam] serait un rêve pour le gouvernement qui a un long passif de surveillance et de harcèlement des dissidents.
C’est là le problème – il est presque impossible de savoir ce qui se passe réellement. La capacité d’enregistrer les frappes au clavier de l’utilisateur n’est pas seulement utile pour les gouvernements répressifs – c’est un outil formidable pour voler les coordonnées bancaires ou d’autres informations sensibles. Le cheval de Troie vietnamien pourrait avoir été commandé par un ministère du gouvernement, sous-traité à des pirates privés pour sa construction et sa diffusion … ou créé par des cybercriminels entreprenants qui ont vu une opportunité d’infecter un ensemble d’utilisateurs par le biais d’une vulnérabilité dans le serveur de VPS … ou engendré par un groupe de pirates vietnamiens pro-communistes opérant indépendamment du gouvernement … et ainsi de suite.
Ce qu’il y a d’effrayant avec la « cyber-guerre » – pour autant que je suis concerné – ne réside pas dans les scénarii catastrophes où les nations font tomber les autres réseaux des uns et des autres. (Cet excellent éditorial de Marcus Ranum souligne que certaines de ces craintes sont fonction des rapports bâclés et des pensées qui brouillent les frontières entre le piratage criminel et l’attaque militaire.) C’est la difficulté de comprendre si un incident particulier devrait être considéré comme l’œuvre d’une activité criminelle ou d’une action politique. Quelle est la réaction appropriée aux actions politico-militaires menées par des états (censure, rétorsion, etc.) et celles menées à des fins criminelles, et vice versa.
De toute évidence, les gouvernements qui ont décidé de s’engager dans des cyber-attaques feront de leur mieux pour les dissimuler comme étant des activités criminelles. Cet exemple me pousse à douter de l’efficacité de ce déguisement – d’autant que je m’inquiète du bilan du gouvernement vietnamien en matière de droits de l’homme. Mais il n’est pas difficile pour moi de tourner un scénario où il s’agirait d’une attaque criminelle, et non organisée par un état.
Espérons que McAfee et d’autres publieront de plus amples informations au fur et à mesure qu’ils apprendront des détails au sujet du cheval de Troie. Si cela s’avère être explicitement conçu pour espionner les communications, ce serait un développement fascinant dans le monde de la surveillance d’Internet.
http://www.ethanzuckerman.com/blog/2010/04/01/is-vietnam-conducting-surveillance-via-malware/
