Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CLUSIF : Panorama de la cybercriminalité 2007

janvier 2008 par Emmanuelle Lamandé

Comme tous les ans au mois de janvier, le CLUSIF nous a présenté son « Panorama de la cybercriminalité ». A cette occasion, une rétrospective des événements marquants de l’année écoulée y est faite. Pour ce faire, le CLUSIF a fait appel cette année à 4 experts, d’horizons divers : François Paget, Chercheur Anti-Virus chez McAfee, nous a plongé au cœur de mondes virtuels. Danielle Kaminsky, Chercheuse en cybercriminalité, nous a déstabilisé. Franck Veysset, France Telecom R&D, a, quant à lui, montré la sophistication des attaques. Enfin, Fabien Lang, Adjoint au Chef de l’OCLCTIC, nous a fait découvrir un marché aux voleurs qui sévit au niveau mondial. Le tout orchestré par Pascal Lointier, Président du CLUSIF.

Avant d’entrer dans le vif du sujet, Pascal Lointier fait un retour rapide sur le panorama de l’année dernière. On se souviendra en 2006 de l’arrestation de 50 mules en France, de l’affaire TJX, où plus de 94 millions de numéros de cartes bancaires ont potentiellement été compromis. Cette année fut également marquée par l’exploitation et la revente des failles de sécurité, que l’on peut acheter aux enchères sur le net.

L’appât du gain, principal moteur des mondes virtuels

François Paget a choisi d’aborder le thème des mondes virtuels, où l’appât du gain est, comme dans la réalité, le principal moteur. L’argent y est roi ! Les mondes virtuels se situent à la croisée des jeux de rôles en ligne massivement multijoueurs (MMORPG) et des réseaux sociaux. Parmi les plus connus, on retrouve, entre autres, World of Warcraft et Second Life.

Les mondes virtuels sont des mondes persistants, peuplés par des programmes qui simulent des personnages et des avatars, c’est-à-dire des représentations virtuelles des joueurs. Chacun d’entre eux peut, en effet, modéliser son personnage, soit pour qu’il lui ressemble au maximum, soit au contraire pour qu’il soit totalement différent. Ces univers virtuels sont très nombreux. Certains d’entre eux sont plus habités que d’autres. On y retrouve principalement des jeux de rôle, de type Fantasy ou encore de science-fiction. Plus de 8 millions de comptes payants sont d’ores et déjà ouverts sur World of Warcraft, 4 millions de comptes gratuits, 100.000 comptes payants ouverts sur Second Life. Toutefois, ces chiffres, quoique conséquents, sont dérisoires par rapport à la Corée qui compte 60 millions d’inscrits.

Selon Gartner, en 2011, 80% des internautes actifs pourraient avoir une seconde vie dans un univers virtuel

Chaque univers dispose de sa propre monnaie, car comme dans la réalité, sans argent, rien n’est possible. Gagner et dépenser de l’argent, même s’il est virtuel, sont deux des principales préoccupations des résidents. La guerre des marques fait rage sur Second Life. Certains terrains et personnages y sont même à vendre. Plus de 1,5 millions de dollars changent de main chaque jour sur Second Life. Ces mondes, quoique virtuels, ne sont épargnés en rien par les crimes et les attaques :

- Gold Keylogging : ils ciblent le monde de la finance, les mots de passe en cache. Plus de 30% d’entre eux ciblent les mondes virtuels. De nombreux criminels ciblent, en effet, ces mondes virtuels car ils sont toujours à la recherche de fausses identités.

- Gold phishing : en voici un fameux exemple : en 2007, un jeune hollandais est arrêté pour avoir volé un meuble virtuel. Il avait volé pour 4.000 euros d’e-meubles.

- Gold-farming : tout comme l’industrie textile, des adolescents sont exploités pour récolter de l’argent virtuel. Ils travaillent 12 heures par jour, 7 jours sur 7, payés pour cela 25 cents de l’heure. Les grands fournisseurs mondiaux de service dans le domaine sont montrés du doigt.

Plusieurs attaques ont d’ores et déjà été recensées au sein de ces univers. Souvenons-nous, par exemple, en 2005, de l’épidémie virale engendrée par un bug, ou encore, en 2006, du logiciel malveillant qui avait contraint Second Life à fermer ses portes temporairement. De plus, commerce de charme et pédophilie ne sont pas exclus de ces univers, aussi impitoyables que dans la réalité. Cependant, un crime virtuel est-il punissable dans le monde réel ? Suite au viol d’un personnage de Second Life, la police judiciaire bruxelloise a ouvert un dossier et a chargé le Federal Computer Crime Unit de mener une enquête.

Les mondes virtuels ne sont pas à l’abri de la cybercriminalité

Ces mondes virtuels ne sont donc pas à l’abri de la cybercriminalité, et ce phénomène ne devrait que s’accentuer dans les années à venir. Toutefois, tout n’est pas négatif sur Internet et dans ces mondes virtuels, qui sont un véritable lieu d’échanges et de rencontres, à titre personnel et professionnel.

Cette année, Daniel Kaminsky a choisi de se focaliser sur quatre phénomènes plutôt déstabilisants…

- La réputation mise à mal :

En 2007, CastleCops a subi plusieurs attaques distribuées en déni de service. Jusque là, rien d’extraordinaire, ce type d’attaque étant monnaie courante. Cependant, par la suite CastleCops subira une autre attaque qui entachera directement la réputation du groupe. Des donations, allant de 1 à 2.800 dollars, ont, en effet, été effectuées au profit de CastleCops, ce qui à première vue est une bonne chose, sauf que ces donations proviennent en partie de comptes bancaires dont les données ont été pillées par le biais du phishing. CastleCops apparaît alors comme principal suspect dans cette affaire et doit faire face au mécontentement des titulaires de ces comptes débités. CastleCops tente alors de se défendre, étant également victime dans cette histoire, mais sa réputation est d’ores et déjà entachée à cause de cette action malveillante. De plus, les pertes de temps et d’argent engendrées sont conséquentes.

Ce type de donations frauduleuses permet d’orienter les soupçons vers un tiers qui en voit sa réputation entachée. Assistons-nous à l’émergence d’une nouvelle forme de déstabilisation ? S’agit-il seulement d’attaques à la réputation ? Ou bien servent-elles de test de validité des cartes bancaires dont les coordonnées ont été dérobées ? Ou bien ces attaques servent-elles à tester les systèmes de détection de fraude des établissements financiers ? Qui sait…

- Mauvais tour en Argentine :

En février 2007, un hacker joue un mauvais tour aux automobilistes argentins. Une information comme quoi la distribution d’essence nationale serait paralysée par un pirate en Argentine est diffusée, y compris à l’international. Cependant, le même jour, cette même information sera démentie et aucune trace n’en restera. Le mystère est entier… Qui a lancé cette information ? Dans quel but ? Pourquoi avoir parlé de piratage ?

- L’espionnage industriel… à fond la caisse

2007 n’aura pas dérogé à la règle : le nombre de cas d’espionnage industriel ne diminue pas. L’une des formes les plus préoccupantes d’espionnage industriel pour l’entreprise est celle commise par ses propres employés. A ce sujet, Daniel Kaminsky souligne l’affaire qui a opposé, dans un premier temps, McLaren et Ferrari et, dans un second temps, Renault F1 et McLaren. Ces deux affaires en cours mettent en cause des fuites d’informations stratégiques par des employés. A ce jour, aucune décision de justice n’a été prononcée.

Pendant l’été 2007, Ferrari accuse McLaren-Mercedes d’espionnage. La Fédération Internationale de l’Automobile se saisit alors de l’affaire et obtient les preuves de cette fuite d’informations. Les conséquences sont dramatiques pour McLaren qui se retrouve exclu du Championnat du monde des constructeurs et contraint de payer une amende de 100 millions de dollars. Ne parlons pas de l’image ! L’incident est clos au niveau sportif mais le volet judiciaire est toujours en cours.

Le monde de la F1 n’est, cependant, pas au bout de ses surprises ! En décembre 2007, le Conseil Mondial de la FIA reconnaît Renault F1 coupable d’avoir enfreint l’article 151c du Code Sportif International en ayant eu accès à des documents appartenant à McLaren. Toutefois, en raison du nombre limité de documents en cause et n’ayant aucune preuve du quelconque intérêt de cette fuite pour Renault F1, aucune sanction n’a pour le moment été prononcée par la FIA à l’égard de Renault.

D’autres affaires d’espionnage industriel commis par des salariés ont également marquées l’actualité 2007, telles que le vol des secrets de fabrique chez DuPont ou encore chez Duracell. Gary Min, ancien chercheur en chimie chez DuPont (Etats-Unis), a été condamné en novembre 2007 à 18 mois de prison, 30.000 dollars d’amende et 14.500 dollars à payer à Dupont pour le vol de secrets de fabrication de la boîte. Edward Grande, ancien employé chez Duracell, a, quant à lui, été reconnu coupable en mai 2007 pour vol de secrets de fabrique et condamné à 5 ans de probation, 7.500 dollars d’amende et 200 heures de travaux d’intérêt général.

- Les réseaux sociaux : véritable mine d’or pour les hackers

Un réseau social sur Internet est un espace de rencontres et d’échanges. Ces réseaux sont extrêmement nombreux et de différentes natures. Certains ont un but professionnel, d’autres sont personnels (retrouvailles, rencontres, partage de goûts et de loisirs), et de plus en plus on en retrouve qui mixent les deux. Plus il y a d’utilisateurs et d’argent en jeu, plus ils attirent les internautes. Les renseignements que les utilisateurs donnent sur eux sont tellement nombreux que ces réseaux représentent une mine d’or pour les hackers. Les internautes sont souvent inconscients des risques qu’ils encourent en se mettant à nu. De quoi être inquiet quant à la croissance du nombre d’attaques ! Accès frauduleux, données personnelles et vie privée en ligne de mire, impostures et mauvaises rencontres… autant de risques liés à ces réseaux qui ont d’ores et déjà fait des victimes. En 2007, une jeune américaine de 13 ans met fin à ses jours suite à une idylle en ligne qui tourne mal avec un ami rencontré sur MySpace. Cet ami s’avèrera par la suite être une femme de 47 ans… Elle ne sera pas inculpée. En général, l’issue de ces attaques n’est heureusement pas aussi dramatique. Nombreux sont les internautes qui sont devenus en peu de temps accros à ces réseaux. Etaler sa vie privée est leur choix, mais ils le font trop souvent en sous estimant les risques.

Franck Veysset aborde, quant à lui, la sophistication des attaques observée au cours de l’année 2007.

- Un IFrame est un code de redirection qui permet d’afficher dans une page Web un cadre contenant du code HTML local ou distant. Il peut être utilisé de façon légitime ou être détourné. Il permet de rediriger l’utilisateur vers un site choisi. Ces attaques sont nombreuses et efficaces.

Au printemps 2007, en seulement deux mois, un grand nombre de serveurs Web a été corrompu. En juin, plus de 10.000 sites sont touchés, dont 80% en Italie. Plus de 80.000 se retrouvent infectés par la suite.

La victime visite un site légitime piégé et se retrouve redirigée silencieusement vers un Web hébergeant la page PHP de MPack (outil commercial de « piratage » développé et maintenu par un groupe de pirates russe, vendu entre 700 et 1000 $, simple à installer). Diverses attaques exploitant les failles de sécurité du navigateur de la victime s’enchaînent par la suite. D’autres outils similaires à MPack existent (IcePack, n404,…).

- StormWorm marquera les esprits. Apparu pour la première fois en 2007, il se déclinera tout au long de l’année sous différentes identités. Ce botnet, ciblant les systèmes Windows, se propage par mail invitant l’utilisateur à se connecter sur un site exploitant une faille et proposant des programmes attrayants. StormWorm n’est pas un botnet classique, c’est un P2P botnet. Le caractère dynamique de l’évolution du réseau rend le contrôle et le blocage du botnet très compliqué. Les concepteurs du botnet font de plus en plus preuve de professionnalisme. Pour contrer ce type évolué de botnet, une réponse générique s’impose.

- Domain Tasting : lorsque vous déposez un nom de domaine, vous avez cinq jours avant que le registrar ne soit facturé. Cette pratique fut, à l’origine, mise en place pour éviter les erreurs, mais se retrouve aujourd’hui fréquemment détournée. Ce phénomène a d’ailleurs explosé en 2007. On assiste, en effet, à une augmentation incroyable du nombre de noms de domaine éphémères, ayant certainement servi à commettre des opérations malveillantes.

Fabien Lang nous parle des manifestations les plus visibles de la cybercriminalité : carding, skimming et escroqueries sur Internet.

Le carding est un marché aux voleurs mondialisé. Il s’agit du piratage de cartes bancaires par diverses techniques matérielles, logicielles ou subversives aux fins d’obtenir et de revendre les données de cartes bancaires, de s’en servir pour effectuer des achats frauduleux, au préjudice du porteur légal. Le carding se décline en 3 étapes :
- le coding, qui n’est autre que le piratage des données
- le vending ou revente des données (numéros de cartes bancaires, informations sur le titulaire,…)
- enfin, le cashing qui regroupe les échanges financiers (escroqueries, blanchiment d’argent,…). Une fois ces informations vendues, il faut bien en retirer un quelconque bénéfice, de préférence en évitant tout soupçon. Pour ce faire, de nombreuses sociétés de ventes commerciales virtuelles voient le jour afin de générer de faux achats mais de véritables transactions. Et ceci pourra se faire notamment par l’intermédiaire de la Western Union, qui permet de transférer des fonds à des particuliers.

Deux affaires marquantes aux USA en sont la preuve.
- L’affaire Card System aux USA en 2005 : 70.000 numéros piratés et utilisés,
- Ou plus récemment, en 2007, l’affaire TJX, où 45 millions de numéros de carte avaient été piratés.

Le carding : un marché aux voleurs mondialisé

Non pas que la France soit plus intouchable que les Etats-Unis… elle n’a tout simplement pas l’obligation, en tout cas pour le moment, de déclarer qu’elle a subi un piratage. En 2007, l’OCLCTIC a identifié des ressortissants français s’adonnant au commerce de numéros de cartes bancaires. Le préjudice est estimé à environ 2 millions de dollars.

Le skimming est une criminalité essentiellement européenne (surtout roumaine et bulgare). Il s’agit du piratage de D.A.B. (Distributeur Automatique de Billets), à l’aide notamment de faux claviers et de micros-caméras. Le nombre de ces attaques ne cesse de croître : 520 D.A.B. piratés en 2006, contre 200 en 2005 et 80 en 2004. A l’heure actuelle, les banques ont agi et ce type d’affaire devrait progressivement diminuer.

D’une manière générale, la cybercriminalité connaît une forte croissance sur Internet. Face à ce phénomène, la prévention est indispensable et la coopération internationale plus que jamais nécessaire… "Des structures existent. Elles sont là pour répondre à vos besoins. N’hésitez pas à nous contacter. Ne rien dire en cas d’attaque, c’est laisser des criminels impunis !"

Les enjeux sécurité du SCADA

Pour conclure cet événement, Pascal Lointier évoque d’autres faits qui auront marqué les esprits en 2007 : la « cyber-guerre » en Estonie, suite au déplacement d’un monument à la mémoire des soldats russes. Cet événement a soulevé divers questionnements, tels que la préparation et la réactivité de l’Etat à ce type de manifestation. Il aborde également le thème des cyber-attaques « chinoises » qui ont eu lieu en 2007. Il faut toutefois être méfiant quant à l’origine de ces attaques, rien ne prouvant leur provenance exacte. Enfin, il met l’accent sur les enjeux de la sécurité du SCADA (Supervisory Control And Data Acquisition) qui fera d’ailleurs l’objet d’un prochain événement du CLUSIF.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants