/0 : Pourquoi des pirates et entreprises de cybersécurité scannent tout Internet (en IPv4)
-
Pourquoi se limiter quand il est désormais facile et relativement peu couteux de scanner l’intégralité des adresses IP d’Internet ? Deux approches différentes : des pirates à la recherche de faille de sécurité et des sociétés de cybersécurité à la recherche de documents qui n‘ont rien à faire en ligne.
Les allées du salon des Assises de la cybersécurité de Monaco sont remplies de sociétés proposant diverses solutions de cybersécurité. Deux d’entre elles – CybelAngel et YesWeHack – nous ont expliqué comment Internet était entièrement scanné, parfois plusieurs fois par jour, et par différents types d’acteur.
CybelAngel scanne tout Internet, mais aussi Telegram et le dark web
C’est un peu le fonds de commerce de CybelAngel qui scanne entièrement Internet sur toutes les adresses IPv4. La société réfléchit à faire de même en IPv6 mais c’est pour le moment bien « trop compliqué et personne ne sait faire, mais on travaille dessus ». Il faut dire que le nombre d’adresses en IPv6 est sans commune mesure avec celui en IPv4, nous y reviendrons.
Les clients de cette entreprise lui fournissent des mots-clés (par exemple des noms de projets, de documents…) et elle va scanner Internet à la rechercher de résultats. Elle surveille aussi le Dark Web, mais l’exploration en mode « pèche au gros » n’est plus possible cette fois. C’est une équipe dédiée d’une dizaine de personnes qui s’en occupe « à l’ancienne » en écumant des forums et d’autres repaires de l’ombre.
Du dark web, les pirates se sont déplacés sur Telegram pour mettre en vente des informations dérobées, nous explique CybelAngel. Cette dernière surveille donc des chaines bien connues pour faire de la revente d’informations.
Si des données qui n’ont rien à faire en ligne sont identifiées, une première analyse automatique fait un premier tri dans les faux positifs, puis une vérification humaine est effectuée avec un rapport détaillé pour le client. Si le propriétaire du serveur peut être identifié, il est contacté pour que les données confidentielles soient supprimées. Sur le dark web, c’est simplement un signalement au client.
« On a tout Internet qui est stocké tous les jours »
À plusieurs reprises, l’entreprise nous affirme que, malgré des passages journaliers sur toutes les IPv4 du monde en interrogeant l’ensemble des ports, elle ne s’est pas fait blacklister et n’a même pas de problème particulier. Surpris, nous demandons confirmation et la société persiste et signe : tout va bien. Parfois l’entreprise a des questions pour savoir « pourquoi CybelAngel est rentrée sur cette IP », mais rien de problématique ni de bloquant nous affirme-t-on, ce serait davantage une forme de curiosité.
Ces actions sont même pires que scanner tout Internet : « On a tout Internet qui est stocké tous les jours », enfin tout ce qui est texte à priori, pas les vidéos par exemple. Quand nous voulons entrer dans les détails pour savoir combien cela représente en stockage, nous n’avons pas de réponse précise ni même d’ordre de grandeur (To, Po, Eo…)
L’entreprise veut bien nous dire en revanche qu’elle « est un des plus gros clients de Google en Europe, c’est vraiment énorme ». Pourquoi Google, demandons-nous ? « On était chez OVH avant, ce n’était pas scalable », pour répondre à ses besoins de stockage.
Pêche numérique au gros : des pirates lancent des attaques sur tout Internet
Chez YesWeHack, une plateforme de bug bounty (chasse aux failles rémunérée) et de gestion de vulnérabilités, pas de scan total d’Internet, mais la société nous explique que des pirates ne s’en privent pas. L’idée est de lancer une pêche au chalut et de récupérer un maximum de poissons dans les filets, peu importe leur taille.
Quand une vulnérabilité est rendue publique avec son code d’exploitation, des acteurs malveillants vont lancer une campagne sur l’ensemble d’Internet en mode « /0 » pour tester si des sites ou services sont vulnérables. La suite est alors un jeu d’enfant avec la pénétration des systèmes. Le plus gros du travail du pirate est presque d’estimer le bon montant de la rançon en fonction, par exemple, du chiffre d’affaires de la victime. Le but est d’arriver à la somme la plus élevée que la victime pourrait envisager de payer.
Article complet : next.ink
-
Ça fait peur, et au vu de la dépense énergétique et celle de stockage, ça rapporte manifestement du fric et peu importe le gâchis et la pollution (électricité, réchauffement, matériel), sans parler la confidentialité et l’anonymat.
