Discussion :

[Michael Guilloux]

Microsoft a remporté un procès contre Fancy Bear, le groupe de pirates russes
Fancy Bear est à jamais interdit d’attaquer les clients de Microsoft à nouveau

Microsoft s'est vu accorder une requête pour injonction permanente contre le célèbre groupe de pirates suspecté d'être parrainé par le gouvernement russe et connu sous le nom de Fancy Bear ou APT 28. D'après des rapports des services de renseignement américains et plusieurs firmes de sécurité, Fancy Bear serait responsable du piratage du Comité national démocratique (DNC) lors des élections américaines l'année dernière. Comme Microsoft l'a rapporté également, le groupe de pirates russes aurait exploité une faille critique dans Windows et il semble que Fancy Bear a pris pour habitude de cibler principalement le système d'exploitation de l'entreprise avec ses malwares.

L'année dernière, les avocats du géant du logiciel ont donc discrètement porté plainte contre le groupe de pirates informatiques devant un tribunal fédéral, l'accusant d'intrusion informatique, de cybersquattage et de violation des marques déposées de Microsoft. L'action, cependant, ne consistait pas à faire venir les pirates russes devant le tribunal. Le procès était juste un moyen pour Microsoft de cibler ce que la société considère comme « le point le plus vulnérable » dans les opérations d'espionnage de Fancy Bear, à savoir les serveurs de commande et de contrôle utilisés par les pirates pour contrôler des logiciels malveillants sur les ordinateurs victimes. Microsoft voulait en effet prendre le contrôle des domaines utilisés par le groupe Fancy Bear dans le cadre de ses opérations.

D'après The Daily Beast qui a d'abord rendu l'affaire publique il y a un mois, Microsoft a utilisé cette action en justice pour prendre le contrôle de 70 points de commande et de contrôle différents de Fancy Bear. L'approche de l'entreprise est indirecte, mais efficace. Plutôt que de mettre la main sur les serveurs physiques que Fancy Bear loue dans différents datacenters à travers le monde, Microsoft a repris le contrôle des noms de domaine qu'il utilise. APT 28 a en effet enregistré des domaines qui ressemblent à des domaines légitimes de Microsoft. On y trouve par exemple des noms de domaines comme « livemicrosoft[.]net » ou « rsshotmail[.]com ».

Une fois les domaines sous le contrôle de Microsoft, le trafic à destination des serveurs de Fancy Bear a été redirigé vers les serveurs du géant du logiciel, coupant donc le contact entre les pirates et leurs victimes et donnant à Microsoft une bonne visibilité du réseau de machines infectées contrôlées par Fancy Bear. En effet, chaque fois qu'un ordinateur infecté tente de contacter un serveur de commande et de contrôle via l'un des domaines, il sera plutôt connecté à un serveur sécurisé qui est contrôlé par Microsoft. Il s'agit d'une technique couramment utilisée pour démanteler des botnets.

Microsoft avait également déposé une requête pour une injonction permanente contre les pirates du groupe Fancy Bear ; une requête que le tribunal a également accordée à l'entreprise. Le juge a statué que les pirates informatiques sont « de façon permanente interdits » d'envoyer des logiciels malveillants aux clients de Microsoft et de pirater des ordinateurs pour espionner les utilisateurs. Dans la décision du tribunal, on peut en effet lire que Fancy Bear est interdit, entre autres, de :

• accéder intentionnellement et d'envoyer des logiciels ou des codes malveillants à Microsoft, aux ordinateurs et systèmes d'exploitation protégés de Microsoft et aux clients de Microsoft, sans autorisation, afin d'infecter ces ordinateurs ;
• attaquer et compromettre intentionnellement des ordinateurs ou des réseaux informatiques de Microsoft ou des clients de Microsoft, surveiller les activités des propriétaires ou des utilisateurs de ces ordinateurs ou réseaux informatiques, et de voler des informations à partir de ces ordinateurs ou réseaux ;
• télécharger ou proposer de télécharger des logiciels malveillants supplémentaires sur les ordinateurs des clients de Microsoft ;
• etc.

La décision indique aussi que le groupe Fancy Bear est interdit d'utiliser les marques et les adresses Internet de Microsoft d'une manière qui pourrait tromper des clients de Microsoft. L'injonction couvre une centaine de marques de Microsoft, toutes évoquant des produits et services du géant du logiciel comme Access, Active Directory, AppLocker, Azure, Bing, Cortana, Exchange, Visual Studio et tout ce que vous pouvez imaginer. L’injonction concerne également toutes variantes similaires aux marques de Microsoft « qui pourraient prêter à confusion ». Comme les pirates informatiques ne se sont jamais présentés aux procédures judiciaires, Microsoft a remporté le procès par défaut.

Sources : Décision du juge de district, The Daily Beast

Et vous ?

Qu’en pensez-vous ?

[tomlev]

Le juge a statué que les pirates informatiques sont « de façon permanente interdits » d'envoyer des logiciels malveillants aux clients de Microsoft et de pirater des ordinateurs pour espionner les utilisateurs.

Euh, c'est une blague ? D'une part, c'est déjà interdit, y avait pas besoin d'un jugement pour ça. D'autre part, c'est des pirates... qu'est-ce qu'ils en ont à foutre qu'on leur interdise quelque chose ? C'est pas ça qui va les arrêter... Ça revient à rendre un jugement qui interdit aux cambrioleurs de cambrioler

[Maybeking]

Euh, c'est une blague ? D'une part, c'est déjà interdit, y avait pas besoin d'un jugement pour ça. D'autre part, c'est des pirates... qu'est-ce qu'ils en ont à foutre qu'on leur interdise quelque chose ? C'est pas ça qui va les arrêter... Ça revient à rendre un jugement qui interdit aux cambrioleurs de cambrioler

J'avoue que c'est bizarrement tourné mais le principale est qu'ils aient pu récupéré la main sur les serveurs des pirates. D'un autre côté pirater n'est pas toujours illégal dans le cadre de recherche d'exploits ou de vérification de sécurité Et il y a aussi le fait qu'il reste de grand trou à propos de l'informatique dans le domaine juridique

[psychadelic]

C’est une lutte asymétrique :
- les uns (les pirates) se fichent complètement de respecter la moindre loi
- les autres (tel que Microsoft) sont obligés de respecter les loi pour pouvoir se protéger.
Microsoft avait besoin de ce jugement pour avoir le droit de s’approprier les droits sur les noms de domaines qu’utilisaient les pirates contre eux.

[Guix Imperiale]

"le groupe de pirates russes est à jamais interdit d'attaquer les clients de Microsoft "

Avant ils avait le droit ?

[psychadelic]

"le groupe de pirates russes est à jamais interdit d'attaquer les clients de Microsoft "
Fancy Bear est à jamais interdit d’attaquer les clients de Microsoft à nouveau
Avant ils en avaient le droit ?

Avant, il n'y avait pas de jugement spécifique pour le leur interdire, et cette question de la légitimité du piratage pouvait être débattue (même si elle n'est pas défendable).

C'est ainsi que fonctionne la justice, et c'est une très bonne chose. Tu préférerai que n'importe quelle boite puisse s'approprier les noms de domaines et prendre le contrôle de n''importe quel serveur sans en passer par une autorisation légale préalable, ou que celle-ci puisse se passer de la moindre raison ???

[CaptainDangeax]

Le premier effet du jugement pro-microsoft est que MS a récupéré les noms de domaine et donc les serveurs ; ça fout par terre tout le travail des pirates effectués jusque là, c'est le premier effet kiss cool. Ensuite, il y a l'interdiction de recommencer. Vous allez me dire "ce sont des pirates, ils se moquent des lois". Certes, mais maintenant que l'on leur a bien signifié nominativement que c'est interdit, s'ils se font prendre, la sanction sera BEAUCOUP plus lourde (à cause de la récidive) et c'est le deuxième effet kiss cool.

[fenkys]

Cette formulation bizarre est juste un moyen de dire que les pirates en question, s'ils recommencent, pourront être arrêté s'ils posent le pied aux USA ou dans un pays qui a des accords avec les USA.