Un chercheur anonyme a réalisé une carte d’Internet en piratant 420.000 machines

Créer une carte d’Internet demande beaucoup de ressources informatiques… Un chercheur a piraté plus de 420.000 machines pour faire son enquête, il encourt théoriquement de longues d’années de prison.

Faire une carte d’Internet n’est pas une idée nouvelle, en fait plusieurs versions de ce grand projet nous sont déjà parvenues. Cela dit, cette fois, la véritable news vient de la manière peu commune et franchement illégale dont le chercheur, qui reste anonyme, a réalisé son étude.

Rester anonyme, c’est d’ailleurs probablement une bonne idée. Aussi « innocente » sa démarche eut-elle été, et malgré toutes les précautions prisent pour ne pas affecter le bon fonctionnement d’Internet, il encourt théoriquement de longues d’années de prison ! Les résultats sont publiés sous forme d’un site web intitulé « Recensement de l’Internet 2012« .

Répartition géographique des noeuds infectés par le Botnet

Comment faire une carte d’Internet

Le principe d’une carte d’Internet n’est pas fondamentalement compliqué. Chaque machine ou réseau privé connecté à internet est repéré sur le réseau grâce à son adresse IP. Celle-ci est composée (dans sa version 4, la version très majoritairement utilisée à l’heure actuelle) de 32 bits, c’est à dire une suite de 32 0 ou 1.

Soyons clairs, tout sur Internet a une adresse IP, votre Box à la maison en a une, les sites que vous consultez en ont une, et tous les routeurs intermédiaires par lesquels les données passent ont des adresses IP aussi.

Il y a théoriquement 4 milliards (4 294 967 296 (232)) d’adresses possibles. Créer un carte d’Internet revient à envoyer une requête de base (ping) à toutes les adresses possibles, voir si elles répondent et comment, calculer le chemin que les données parcourent entre les noeuds ainsi découverts, les localiser géographiquement et le tour est joué. (oui je sais, facile à dire)

Seulement, si la théorie n’est pas insurmontable, la mise en application est freinée par la capacité de calcul. En effet, même si les opérations sont globalement basiques, elles prennent du temps et ce temps fois 4 milliards est loin d’être trivial. Par exemple 4 milliards d’opération d’une seconde chacune prendraient 126 ans à réaliser les unes après les autres…

La solution ? Faire toutes les opérations en même temps et pas les unes à la suite des autres ! Mais pour cela il faut un paquet de machines…

Comment trouver 420.000 ordinateurs

En jouant un peu avec un programme appelé nmap qui permet de regarder globalement comment est configuré un noeud internet et d’y appliquer automatiquement une suite d’actions déterminées, notre chercheur anonyme commence à remarquer que beaucoup de machines ont une mauvaise sécurité et par mauvaise, j’entends très mauvaise (mots de passe/login d’accès par défaut « admin/root »).

La plupart de ces machines étaient probablement des routeurs de particuliers (vos Live ou Free ou Que-sais-je Box dont personne ne change le mot de passe admin) donc ne recelant pas d’informations précieuses, mais ce sont des ordinateurs connectés et qui dit ordinateur dit puissance de calcul.

Il a donc l’idée de développer un Botnet (un ensemble de bots informatiques qui sont reliés entre eux et qui réalisent un tâche commune) qui va, sur chaque machine infectée :

  • Chercher d’autres machines vulnérables pour se reproduire lui-même
  • Faire le travail de cartographie et renvoyer les données à un point central

24 heures après avoir lancé le botnet (qui a quand même pris 6 mois à développer) le cartographe aventurier se retrouve à la tête de près de 420.000 ordinateurs (dont vous pouvez voir la répartition sur la carte en haut). Au final 9TB de données (9216 GB) qui représentent un instantané de l’Internet en 2012. Ces données sont disponibles librement mais pas le botnet qui les a générés !

Je vous invite aussi à regarder les cartes issues de cette expérience, elle sont disponibles sur le site du chercheur. Certaines d’entre elles sont passionnantes et mériteraient peut-être un article à part, l’activité sur Internet au cours d’une journée dans le monde par exemple.

Comment finir en prison

Il y a 3 types de hackeurs sur cette Terre :

  • white-hat : ceux qui piratent « pour le bien » c’est à dire trouvent les vulnérabilités pour leur propre entreprise ou dans un cadre légal dans le but d’augmenter la sécurité générale.
  • black-hat : sont les hackeurs qui réalisent des opérations illégales pour nuire, pour le fun, pour gagner de l’argent ou pour des raisons politiques. Bref, les hackeurs tels qu’on les voit au JT.
  • grey-hat :  la troisième catégorie est entre les deux. Ce genre d’opération est illégal mais sans mauvaise intentions. Le hackeur fait en sorte d’informer plutôt que de punir. (éventuellement pour toucher une récompense en expliquant une faille à une entreprise ou un gouvernement, ou être embauché en white-hat)

Dans les deux derniers cas, avant de faire quoi que ce soit il convient de bien assurer ses arrières (non un VPN ne suffit pas), si découvert et malgré les précautions qu’il a prise pour ne pas perturber le fonctionnement des machines infectées, l’auteur du « Recensement de l’Internet 2012 » passerait sans aucun doutes quelques années derrière les barreaux. Dans beaucoup de pays (dont la France je pense) se connecter à une machine distante avec des mots de passe « devinés » et lui faire exécuter un programme est puni pénalement… or 420.000 fois ne serait-ce qu’un mois de prison, ce n’est pas rien 🙂

[source]


20 commentaires

  1. Ce qu’on voit au JT sont souvent des sortes de script kiddies et même des gars qui se disent ouvertement whitehat (on fait ça pour le bien ! Super)… Les blackhats purs et durs ne pas forcément representés par un tel cliché.

  2. Je ne pense pas qu’il aurait risqué grand chose en se faisant prendre, à condition qu’il arrive à prouver sa bonne foi.
    En tout cas le projet est intéressant 5 minutes, ensuite on passe à autre chose.
    A quoi bon peuvent servir ce genre de données.
    Je suis sûr que cette carte a déja été réalisée par une entreprise spécialisée, peut-être avec moins de précision, mais sans prendre de risque de passer par la case prison.

  3. Hacker : qui trouve les failles sans les exploiter
    Pirate : qui utilise les failles qu’il détecte

  4. Ici c’est un pirate, pour ne pas passer par la case prison il aurait pu demander à des volontaires d’installer le script… (certes tout ne se serait pas fait en 6 mois et 6 jours 😉 )

  5. Certe il risque gros mais parfois pour faire le bien un peu de mal pour aller plus vite ne peut pas nuire, d’ailleur comment trouver légalement autant de pc pour faire une telle recherche.

  6. « Je ne pense pas qu’il aurait risqué grand chose en se faisant prendre, à condition qu’il arrive à prouver sa bonne foi. »
    ah bon ? y’a le hacker weev qui vient de se prendre 3 ans de prisons pour avoir révélé une faille quand même, alors qu’il aurait pu revendre l’info sur un forum russe obscur, se faire de l’argent et rester libre !!!

  7. Tant qu’il ne fait pas de mal au final, même si la manière n’est pas à généraliser ni même à mettre en avant. En tout cas 420 000 machines en 24 heures c’est impressionnant !

  8. voyagerseule on

    « Faire du Bien … »
    Qui a dit ça ?
    Savez-vous que le chemin pour l’enfer est pavé de bonnes intentions, et 420 000 X 1mois de prisons, cela fait (si je suis bien en calcul) 35 000 ans de prison et comme il n’aura pas le temps de les passer tous , il doit avoir recours au programme « nmap » et développer un Botnet ou un « Botprison » pour réduire le temps de sa peine. Sinon il devra continuer à errer et voyager seule et vivre , asocial pour éviter de se faire coincer…

  9. bonjour
    je ne suis pas expert en droit mais il me semble que dans certains pays dont la France les peines ne s’ajoutent pas mais se combinent. de plus les plaintes ne viendront pas toutes du même pays. enfin s’il s’agit de machines de particuliers il sera encore plus difficile de les contacter et de les convaincre de porter plainte.

  10. luckygulli

    Je comprends qu’il préfère rester anonyme… Mais s’il ne s’est attaqué à aucune grosse société, ou agence, je pense pas que quelqu’un ira le sanctionner, et si le virus n’est pas dangereux, personne ne se sera rendu compte de sa présence…

  11. Il suffisait de prendre une carte de la répartition des revenus sur la planète et on obtenait la même chose non?

  12. Ce sont les admins qui laissent les mots de passe par défaut qu’il faut mettre en prison… (quand bien même ces admins sont les propriétaires des Boxs, les FAI ont leur part de responsabilité en laissant un shell accessible sur la patte externe). Donner les moyens de fabriquer de tels botnets juste en omettant de changer un mot de passe par défaut devrait être puni pour mise en danger de la sécurité informatique d’autrui.
    Il a quand même pris sacrément de précautions avant de déployer son outil, en excluant de très nombreux hosts, même s’il n’est pas exclu que des dommages collatéraux aient eu lieu. Le simple reboot du routeur ou de la machine « infectée » suffisait à la remettre dans son état antérieur.
    Pour moi, il ne mérite pas la prison, mais peut-être une remise en place par l’université qui chapeaute ses études.

  13. C’est pas très dur d’installer 420K botnets sur des PC, à mon avis il a un site de téléchargement de software et il l’a foutu dans l’exe des fichiers.

  14. C’est très impressionnant de voir autant de machine en si peu de temps. Comme quoi tout est possible.

  15. Vraiment fort cette histoire qui est vrai, c’est fou sur internet tout ce qui peut se passer.
    Et dire qu’avec tout ce qui se passe dessus j’ai tardé a prendre internet car je pensai toujours qu’on pouvait rentrer facilement dans ton ordinateur et y faire ce qu’on veut.
    Bon je suis ravi aujourd’hui de posséder un pc mais je crois que je vais éviter ce chercheur qui pirate tout ce qui bouge.

  16. Pingback: La semaine de Marax – 18/03 au 24/03 | Magness

Send this to friend

Lire les articles précédents :
Mise à jour de l'appli Gmail pour Android : répondez à vos e-mails depuis vos notifications
Mise à jour de l’appli Gmail pour Android : répondez à vos e-mails depuis vos notifications

Google a mis à jour en ce début de semaine son application Gmail pour Android, permettant désormais à ses utilisateurs...

Fermer