Rencontre avec un agent spécial américain

Publié le 17-08-2010 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Tous les antivirus en ligne pour désinfecter votre ordinateur

Note des lecteurs: 2.4/5

Nous l'appellerons AMW, un "special agent" de l'United States Air Force. Sa mission, traquer les pirates informatiques. Nous avons pu lui poser quelques questions sur son travail, ses missions et sa vision de l'Internet.

ZATAZ : Pouvez-vous vous présenter ?
AMW : Je suis un agent spécial, j'officie pour l'Air Force Network Intrusion Response et Investigations (U//FOUO). Ma mission traquer les pirates, prévenir, contrer et enquêter sur toute forme d'attaque informatique.

Qu'est ce que l'AFN ?
Air Force Network est un réseau de défense qui est constitué de deux composantes principales : Région AFOSI 7, des agents spéciaux consacrés aux cyber enquêtes et aux opérations. Ils font appliquer la loi et gère le contre-espionnage. Vient ensuite l'AFCERT, le Computer Emergency Response Team de l'armée de l'air. Ce CERT a en charge d'alerter, prévenir, corriger toutes défaillances et agressions à l'encontre des infrastructures informatiques de l'US Air Force. Chaque MAJCOMS et bases de l'US Air Force ont leur propre équipes d'intervention. L'AFCERT gère le NetD, Le Conducts and operates network defense. Le NetD gère 200 lieux dans le monde.

Quel est votre rôle ?
Je suis un AFOSI CCIs, un cyber crime investigator. Ma mission prévenir toute attaque avant qu'elle n'intervienne et enquêter en cas d'intrusion ou de tentative d'intrusion, d'attaque virale, d'altération informatique voulue ou non orchestrée par un homme. Ma mission est de faire appliquer la loi. Notre mission de contre-espionnage a pour but de soutenir l'AFCERT afin d'éviter toute compromission lors d'une enquête du CERT. Nous sommes présents des la première alerte jusqu'à ce que le dernier système compromis soit réparé et remis en service.

Un travail de terrain alors que tout ce déroule derrière un écran d'ordinateur ?
Oui. Nous sommes chargés d'identifier, de neutraliser et d'atténuer toutes les menaces. Nous menons des enquêtes et des opérations sur mesure en vue de fournir des informations au haut commandement de l'USAF. Nous devons être capable de fournir des alertes précoces sur toutes les menaces de réseau hostile et de l'imminence d'attaques.

Combien d'Agents spéciaux dédiés au cyber à l'US Air Force ?
Le chiffre exacte n'est pas communicable. Nous avons Trois bases. A Sembach, en Allemagne. A Yokota, au Japon et à Hickam, à Hawaï. Aux USA, neuf unités sont dispatchées sur l'ensemble du territoire (Travis, en Californie ; Lackland au Texas ou encore à Langley siège de la CIA).

Y-a-t-il une classification précises dans vos alertes ?
Lors d'une demande de l'AFCERT, nous classifions par catégorie le niveau du problème. Root Level, User Level, Malicieux Logic, ... Toutes les considérations sont prises en compte immédiatement. Nous devons déterminer la nature de l'attaque ; la sensibilité des données en cas d'exploitation malveillante ; la préservation des preuves ; l'acquisition d'éléments de preuve afin de ne pas endommager l'intégrité ou la valeur des preuves ; cibler le lieu de l'attaque ; ...

C'est ensuite que vous intervenez sur le terrain ?
Nous allons interroger l'ensemble du personnel de l'US Air Force concerné. Nous analysons l'ensemble des médias (ordinateurs, fax, téléphones portables, consoles de jeux, ...). Nous consultons des hommes de loi (avocats, ...) afin d'avoir un avis juridique. Nous devons rapidement évaluer les menaces en cours. Mandats de perquisition, ordonnances de la cour, ... nous permettent d'agir contre les contrevenants.

Quelles sont les dernières attaques qui ont marqué l'AFCERT ?
L'Air Force Network Intrusion Response & Investigations a du gérer, il y a quelques temps, une intrusion dans deux systèmes de l'Air Force. Deux serveurs infectés à la fois par un cheval de Troie et un keylogger, un logiciel qui permettait d'intercepter les frappes clavier. A cette époque l'AFCERT a ouvert un incident de catégorie 2 pour les deux systèmes. L'AFCERT avait reçu des informations provenant de la Force-Global Network Operations (JTF-GNO) au sujet d'une nouvelle variante du ver SDBot. Un système de l'AF se connectait à une adresse IP semblant être associé à SDBot.

Qu'avez vous fait ?
D'abord, trouver le système infecté qui orchestrait la connexion suspecte. Le système infecté était derrière un serveur proxy. Nous avons donc remonté chaque connexion pour trouver la véritable source. Pour cela, il nous a suffit d'atteindre les journaux logs des proxies. L'AFCERT a examiné les résultats et détecter les fichiers suspects. Nous avons ensuite analysé les disques durs des machines infectées. Les disques dur ont été envoyés à de multiples sources, dont un éditeur d'antivirus privé, pour accélérer les analyses. Deux chevaux de Troie différents, qui n'avaient pas été détectés par des antivirus commerciaux, ont été détectés. Nous avons découvert un fichier crypté qui contenait les données keyloggés, interceptés. Un dossier qui contenait des informations sensibles. Nous avons alertés les éditeurs d'antivirus, fourni les signatures virales et fait bloquer l'IP malveillant.

Avez-vous enquêté sur les actions pirates qui auraient été orchestrées par des hackers Chinois ? Est-ce vraiment des pirates Chinois ?
A votre première question, je répondrais oui. A la seconde je répondrais, Secret défense.