Analyse sécurité de la plainte KAT

Le site web KAT a été mis hors ligne suite à une enquête américaine, et la transparence qu’ils ont la dessus nous permet de lire l’intégralité de la plainte (pdf), et donc de l’enquête technique, qui a mené à l’arrestation du sysadmin de KAT. A noter que l’officier du HSI qui en est l’auteur est également celui qui a travaillé sur le dossier Silk Road, c’est donc un technicien et enquêteur à ne pas sous estimer.

J’ai lu attentivement ce document de 48 pages et je voulais en tirer quelques conclusions purement techniques sur les méthodes utilisées, et le enseignements à en tirer.

  1. Le premier enseignement, largement relayé dans les médias, est que si ce que vous faites est illégal, il vaut mieux se tenir éloigné des réseaux sociaux. Le document précise que la justice à non seulement obtenu de Facebook des logs de connections, de Apple des logs de connections, IP, etc, mais également et c’est plus surprenant des emails complets, donc non cryptés, du service mail “me.com” de chez Apple. Le tout sans que le principal intéressé en soit averti.
    Il est étonnant qu’un gestionnaire d’un pareil site ne soit pas plutôt utilisateur de sites de la mouvance crypto (au minimum protonmail, voir TOR), au lieu de cela l’utilisation du naïf  et fleuri “me.com” est attendrissante – et clairement fatale.
  2. Plus subtile est l’analyse faite par l’enquêteur des records WHOIS. En particulier il semble avoir accès aux records WHOIS historiques – donc les anciens propriétaires d’un domaine ; une information qui n’est pas immédiatement disponible sur internet – mais via des sites spécialisés payants,  quoique ici j’imagine plutôt obtenue par “warrants” auprès des registrars, qui visiblement conservent des backups sur plus de 10 ans. (Il serait intéressant de savoir sur quelle base légale des records aussi vieux sont conservés, en particulier quand ils concernent des particuliers européens.)
    En clair la leçon à en tirer ici est de ne pas considérer que si on efface un nom ou un adresse du whois d’un nom de domaine, on perd la trace de ce qu’il y avait avant. Il faut considérer qu’il est “brûlé au fer” et ne plus s’en approcher, encore moins le relier aux nouvelles adresses, identités, etc.
  3. Au niveau juridique, le gestionnaire de KAT n’a visiblement tiré aucune leçon de l’affaire Megaupload en hébergeant des serveurs aux USA, ce qui est évidemment la base d’une infraction commise aux USA. Si aucun des serveurs identifiés n’était en rapport avec les USA, je ne suis pas sûr que cette plainte aurait été instruite.
  4. Au niveau technique, toujours sur ces fameux serveurs, la plainte précise deux fois qu’elle a obtenu une copie des disques durs, une fois sur des serveurs hébergés aux USA, l’autre fois sur ceux au Canada. On supposera qu’il s’agit de serveurs qui ont été saisis et débranchés, si ces copies ont réussi à être faites sans que le client soit averti c’est de l’ordre de l’exploit : la plainte ne le précise pas.
    Un filesystem crypté – à tout le moins partiellement – aurait pu être une solution, quoique dans le cas de système distants la solution ne soit guère pratique. Ici encore, on est un peu surpris d’un manque de paranoia technique.
  5. Toujours sur ces serveurs, l’enquêteur considère que la personne qui se connecte en “root” est l’opérateur du site (on ne fera pas de commentaire sur le fait de se connecter directement en root) : ce qui est surprenant c’est que le serveur stocke gentiment ses logs de connections.
    On est à nouveau un peu surpris d’une telle candeur vu l’underground dans lequel tout ceci évolue. Si le bonhomme avait désactivé les logs SSH, il n’aurait pas à ce point facilité l’enquête.
  6. L’utilisation d’un système de ticketing type redmine fait encore une fois sourire vu le contexte ; à la fin du document je n’aurais pas été surpris de lire qu’ils avaient un channel slack !
    Ce sont les mails envoyés par Redmine qui établissent clairement la hiérarchie dans l’activité.

Sans connaitre les détails et purement en lisant cette plainte, on constate un manque de préparation technique par rapport à l’Armageddon probable auquel il devaient s’attendre vu leur position dominante. A l’opposé, les gestionnaires de TPB étaient connus pour un usage de pointe de filesystems cryptés. A la décharge de KAT, l’un des éléments clé est l’information historique ; impossible de savoir que tel ou tel intermédiaire “stocke” des infos, des emails, ou d’autres choses de 2008 que vous pensiez depuis longtemps effacées.

Les recherches du DOJ ne sont pas d’un niveau technique poussé (aucune utilisation de réseaux cryptés, accès uniquement à de l’information en clair, etc) et c’est malgré tout intéressant car on y voit des techniques certes “peu sexy” mais efficaces de croisement de données.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *