« The Romanian Underground »

Il est probable que vous ayez déjà entendu des phrases comme celle-ci  : « Les tactiques, techniques et procédures élaborées par des hackers expérimentés tombent dans les mains de cyber pirates moins compétents ». Comprendre : « Attendez-vous à ce que des cyber pirates en herbe prennent le contrôle de vos systèmes ». Comme l’explique le Dr Ian Levy du GCHQ, les cyber cyber attaques actuelles n’ont souvent rien à voir avec des cyber menaces persistantes avancées. Il s’agit de travail rudimentaire, réalisé par de petites crapules. Rien n’illustre mieux ce phénomène que le groupe que nous avons appelé « The Romanian Underground ». Nos collègues des services de cybersécurité ont été plusieurs fois confrontés à ce groupe, dans le cadre de missions de gestion de crise ou de recherches forensiques. « The Romanian Underground » a été créé par une « bande de copains » s’étant rencontrés sur des forums, et envisageant au départ le piratage comme un hobby. Le groupe a depuis évolué. Des jeunes intègrent régulièrement le groupe. Au départ, ils ne connaissent que peu Unix, voire pas du tout. Ils ne maîtrisent sans doute au maximum que cinq commandes. Les nouveaux sont pris sous l’aile d’un mentor, qui leur fournit des outils simples et une formation de base. Ces mentors sont presque aussi inexpérimentés que leurs apprentis. Peut-être connaissent-ils dix commandes Unix tout au plus… mais eux pratiquent depuis plusieurs semaines et possèdent donc déjà une certaine expérience. Une fois les nouveaux formés (ils ont appris à configurer les outils fournis), ils sont promus mentors et prennent en charge leur propre groupe d’apprentis. Ce modèle hiérarchique ressemble à certaines stratégies de vente bien connues. Évidemment, les membres de « The Romanian Underground » ne cherchent pas à devenir millionnaires en vendant du savon. Ce modèle pyramidal motive les troupes : il faut prendre le contrôle du maximum de systèmes possible pour grimper les échelons. Bien entendu, c’est aux membres situés au sommet de la pyramide que profite vraiment ce système. Ils fournissent les outils, puis délèguent le travail procédural pour finalement accéder aux données de milliers d’ordinateurs. Pendant ce temps, les nouveaux venus se présentent fièrement comme « hackers » sur leur page Facebook. Les outils dont dispose le bas de la pyramide sont généralement conçus pour exploiter ou forcer des serveurs de type SSH et de messagerie Web. Vous serez peut-être surpris d’apprendre que ces outils, mis entre les mains des cyber pirates les plus novices, sont capables de nuire à des organisations du monde entier. Même lorsqu’elles répondent aux normes PCIDSS. Ce mode de fonctionnement hiérarchique est nouveau en Roumanie, mais il existe des précédents ailleurs dans le monde. Certains groupes turcs, tels qu’Akincilar (apparu en 1999 et, semble-t-il, encore actif en 2016), sévissent depuis longtemps déjà. Leur fonctionnement évoque toutefois davantage celui de l’armée.