La détection des pirates est une chose, les arrêter en est une autre !

Stefanie Smith, 10 octobre 2016

Quand les pirates sont piratés à leur tour par ceux qui protègent les systèmes et que d’autres hackers s’en mêlent, quelques explications sont nécessaires !

L'épisode de cette semaine a répondu à BEAUCOUP d’interrogations : nous avons rencontré l'infâme White Rose et découvert pourquoi la Dark Army s'est retirée du plan visant à détruire Steel Mountain il y a quelques épisodes ; nous avons découvert pourquoi Cisco a fait chanter Ollie afin de l'obliger à infecter Allsafe avec un logiciel malveillant et nous avons - plus ou moins - découvert qui sont Mr. Robot et Darlene en réalité !

Même si nous en apprenons beaucoup dans cet épisode, il me reste encore beaucoup de questions : qu'est-ce qu'un « pot de miel » (honeypot) ? Qu'est-ce que « l'ingénierie inverse » et pourquoi Tyrell s’entretient-il avec Mr. Robot ? Pourquoi est-il content que fsociety pirate E Corp ? Pour répondre à ces nouvelles questions, je me suis tournée vers mon collègue Jean-Baptiste Souvestre.

Au début de l’épisode, Gideon vient voir Tyrell pour lui dire qu'Allsafe est déterminé à trouver les hackers responsables du piratage d'E Corp. Il explique à Tyrell qu'Allsafe a créé un « Air Gap » autour du réseau privé d'E Corp, mis en œuvre un « pot de miel » et reconfiguré tous les pare-feu.

Tyrell interrompt Gideon pour en savoir davantage sur le pot de miel : Gideon explique qu'un serveur spécifique, le CS30, était impliqué dans le dernier piratage de fsociety et qu’il est possible que les pirates informatiques se soient introduits dans le réseau.

Le « pot de miel » fera en sorte qu'ils ne puissent faire aucun dommage car ils se connecteront à un serveur factice qui sert de leurre, spécialement mis en place pour qu’ils pensent être toujours dans le réseau principal d'E Corp. Gideon indique en outre qu’il surveille personnellement tout le trafic.

Stefanie : Qu'est-ce qu'un pot de miel et quelle est son utilisation ?

Jean-Baptiste : Un pot de miel est un piège pour attraper des cyberattaquants, tiré de l'idée qu'on peut capturer un ours en l'attirant avec un pot de miel. Comme Gideon l'a expliqué dans cette scène, un pot de miel est un leurre. Dans ce cas, Gideon l’a configuré de manière à ce qu'il ressemble à un serveur d'E Corp connecté au réseau de la société.

En réalité, il est isolé et, comme Gideon l'explique à Tyrell, il est surveillé pour détecter des accès non autorisés.

À un quart d’heure du début de l’épisode, nous voyons les employés d'Allsafe essayer de comprendre l'attaque qui les frappe et Elliot indique à Ollie qu'il tente une « ingénierie inverse » de ce logiciel malveillant.

Stefanie : Qu'est-ce que l'ingénierie inverse ? Est-ce quelque chose que les experts en sécurité effectuent souvent au sein du Virus Lab d'Avast ?

Jean-Baptiste : L'ingénierie inverse, c'est lorsque vous désassemblez quelque chose pour voir comment elle a été construite ou assemblée. Dans ce cas, Elliot désassemble le logiciel malveillant pour voir ce qu'il fait et d'où il provient. Nous pratiquons l'ingénierie inverse au sein du Virus Lab, mais nous ne portons pas de blouses blanches quand nous le faisons !

Si nous recevons un échantillon de virus que notre système n'a pas détecté automatiquement, par exemple, nous aimons effectuer une ingénierie inverse de l'échantillon pour découvrir comment il marche. Ensuite, nous pouvons créer une détection de ce cas pour l'envoyer à nos utilisateurs.

Nous effectuons parfois une ingénierie inverse de logiciels malveillants parce que nous les trouvons intéressants ou pour observer de quelle manière une famille de logiciels malveillants évolue.

Durant la rencontre entre Elliot et White Rose, Elliot apprend qu'en ciblant Terry Colby, il a ouvert une vulnérabilité et éveillé les soupçons de Gideon. Elliot rassemble les morceaux du puzzle et réalise que la Dark Amy a ciblé AllSafe avec un logiciel malveillant pour surveiller Gideon, ce qui a mené à la découverte du pot de miel par la Dark Army et explique la raison pour laquelle ils se sont retirés de l'accord visant à détruire Steel Mountain.

Lorsque Elliot quitte White Rose, il est déterminé à faire tomber le pot de miel afin que fsociety puisse accéder au réseau de Steel Mountain pour abattre E Corp. Elliot revient alors dans les bureaux d'Allsafe et, pendant ce temps, Darlene envoie des centaines de MMS sur le téléphone de Gideon, ce qui force ce dernier à le recharger.

C’est alors qu’une vidéo réalisée par fsociety est diffusée dans la salle de conférence, ce qui le pousse à laisser son téléphone se charger sans surveillance. Pendant que tout le monde regarde la vidéo, Elliot prend intercepte le jeton de sécurité (token) et se connecte sur le compte de Gideon pour envoyer un message demandant de suspendre le pot de miel.

Stefanie : Pourquoi envoyer tous ces MMS ? Qu'est-ce qu'un jeton de sécurité ?

Jean-Baptiste : Elliot a demandé à Darlene d'envoyer à Gideon 100 gros fichiers MMS pour surcharger son téléphone et vider sa batterie. Cela oblige Gideon à le recharger tandis qu’Elliot en profite pour s’en, emparer alors que la vidéo de fsociety qui passe en salle de conférence distrait l'attention de toute la société.

Un jeton de sécurité est un mot de passe temporaire qui est envoyé à un appareil distinct du premier appareil : le jeton sert donc à prouver l'identité de quelqu'un grâce à la possession des deux appareils. Dans ce cas, Gideon a configuré une authentification à deux facteurs sur son compte Allsafe afin qu'un mot de passe supplémentaire temporaire soit envoyé à son téléphone à chaque tentative de connexion à son compte.

Stefanie : Intéressant ! Sauriez-vous également pourquoi Tyrell et Mr. Robot se sont rencontrés ?

Jean-Baptiste : Ça, je n'en sais rien ! Je suppose que nous devrons attendre jusqu'à la semaine prochaine pour le découvrir.

Qu'avez-vous pensé de l'épisode de cette semaine ? Faites-le nous savoir dans les commentaires ci-dessous !

( Source de l'image: France 2)

 

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières nouvelles, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.

Articles liés