Ceux qui voulaient brouiller les pistes (1/3)

Mais qui a donc pu vouloir hacker les Jeux Olympiques d'hiver de PyeongChang en 2018.

Bonsoir,

Bienvenue pour ce nouvel épisode de Pwned. La dernière fois, on a déjà pas mal parlé du problème de l’attribution. On va rester dans ce thème avec ce début d’épisode ce soir.

Mais tout d’abord, si vous n’êtes pas inscrit, voici le formulaire pour recevoir directement dans votre boîte mail les prochaines histoires.

Je dois vous dire qu’au départ, j’étais assez dubitatif à propos de la candidature parisienne pour l’organisation des Jeux olympiques d’été de l’année prochaine. Ce genre d’événement est un gouffre financier et on aurait sans doute pu consacrer cet argent à plein d’autres projets. 

Mais il ne faut pas être rabat-joie et ça va être quand même un sacré truc à vivre pour les Parisiens. Cet événement aura lieu dans un an, donc autant dire demain pour toutes les personnes en charge de la sécurité informatique de l’événement. 

Les JO d’été, c’est l’un des événements les plus médiatiques au monde, et donc forcément une cible de premier choix pour les hackers de tout poil. C’est un peu la même chose pour les Jeux olympiques d’hiver, même si on sait bien qu’une partie de ces sports improbables dans la neige sont un peu moins sous les projecteurs. 

Quoiqu’il en soit, revenons il y a cinq ans en arrière, au moment des Jeux Olympiques de PyeongChang 2018, qui étaient organisés dans le temple montagnard du ski sud-coréen.

En cette soirée du vendredi 9 février 2018, il y a certainement de grosses gouttes de sueur qui perlaient sur le front de Sang-jin Oh, le directeur de la technologie des Jeux Olympiques d’hiver de PyeongChang, en Corée du Sud. 

C’est la journée d’ouverture des Jeux et les choses ne se passent pas comme prévu. Les journalistes présents au stade pour la cérémonie remarquent d'abord que le wifi de la presse ne fonctionne plus.

Puis ils s’aperçoivent que le site web de l’événement a basculé en mode hors ligne. On ne peut plus imprimer ses billets ou retrouver les infos pratiques pour assister aux épreuves, ce qui a été un vrai problème au vu “du nombre inhabituellement élevé” de sièges vides en tribune, constate le New-York Times, 

En coulisses, comme le raconte le journaliste Andy Greenberg dans Wired dans un long récit détaillé, la situation est critique. Alors que le compte à rebours du lancement des Jeux vient d’arriver à zéro, Sang-jin Oh est assailli de notifications sur son téléphone.

Quelque chose est en train d’éteindre les contrôleurs de domaine de l’infrastructure. En gros, ce sont les serveurs qui authentifient et sécurisent le réseau, ils contiennent en quelque sorte les clés numériques du royaume.

Ce sont ces serveurs qui vérifient quel utilisateur à le droit de se connecter ou d'accéder à certaines ressources. Ce n’est donc pas le signal d’un simple bug ou d’une anodine défaillance informatique. C’est au contraire le bruit puissant et terrifiant d’une attaque informatique en cours, l’hypothèse rapidement privilégiée par les organisateurs.

Imaginez la panique qui s’installe. Les téléviseurs censés retransmettre l’événement via Internet restent noirs, des drones sont cloués au sol tandis que les portes de sécurité sont en carafe, obligeant à contrôler manuellement les accès. 

L’équipe informatique des JO de PyeongChang tente d’abord de relancer de nouveaux contrôleurs de domaine pour rebâtir un réseau sécurisé. Pas de chance, les nouveaux serveurs mis en place pour pallier le problème technique subissent le même sort que les autres, victimes de ce mystérieux malware qui infecte les serveurs. 

A minuit, il faut se rendre à l’évidence. Il va falloir couper l’accès réseau de l'infrastructure pour l’isoler définitivement des attaquants, avec les conséquences que cela implique : la suspension de tous les services connectés. C’est la cata, quoi.

Mais le pire n’est jamais certain. A cinq heures du matin, il y a une première lueur d’espoir. Une signature antivirus vient d’être bouclée pour détecter la présence du malware. Une heure plus tard, tous les mots de passe sont réinitialisés pour couper l’herbe sous le pied des attaquants. Puis à 8h, le samedi, alors que les athlètes se lèvent, des nouveaux contrôleurs de domaine sont lancés, ce qui permet le redémarrage des services de l’événement. 

Cette fois-ci, cela fonctionne sans problème. Rendez-vous compte de la prouesse ! S’il y avait des JO de l’IT, les organisateurs auraient sans doute gagné une médaille. 

Les chercheurs de Talos vont être les premiers à se pencher quelques jours plus tard sur cette attaque informatique. Ils l’appelleront Olympic Destroyer.

Ces spécialistes en sécurité informatique vont rapidement décortiquer le fonctionnement du malware à l’origine des perturbations. C’est un "wiper", ces destructeurs logiciels qui visent à effacer les données des disques de leur cible. Il a deux belles cordes à son arc, lui permettant de voler les identifiants stockés dans le système de la machine infectée et dans son navigateur. Les mots de passe volés sont ensuite utilisés par l'outil de propagation automatique pour infecter de nouveaux systèmes.

Après s’être attaqué aux sauvegardes et aux outils permettant la récupération des systèmes, le malware efface ses traces en supprimant le journal des événements avant de bloquer la séquence de démarrage du système. 

Talos ne se risque évidemment pas à attribuer l’attaque, visiblement faite pour plonger le comité olympique “dans l’embarras” - l’euphémisme pour dire qu’ils sont vraiment dans la merde.

Mais les suspects ne manquent pas. On en parle la semaine prochaine,

Bonne soirée,

Gabriel

Relecture: Mnyo

PS: L’histoire vous a plu? Pour me payer un café, comme UTip vient de fermer, c’est ici sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).

Sources

Cybersécurité : comment les Jeux Olympiques de Paris 2024 se préparent

Olympic Winter Games Beijing 2022 watched by more than 2 billion people

Ces sports d’hiver qui ont disparu du programme des JO

Cyberattack Caused Olympic Opening Ceremony Disruption

The Untold Story of the 2018 Olympics Cyberattack, the Most Deceptive Hack in History

Contrôleur de domaine : Qu’est-ce que c’est ? Dans quel cas est-il nécessaire ? Comment le mettre en place ?

Olympic Destroyer Takes Aim At Winter Olympics