Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CLUSIF : panorama de la cybercriminalité 2008

janvier 2009 par Emmanuelle Lamandé

Comme à l’habitude, le Clusif a réuni, pour la 8ème édition de son panorama de la cybercriminalité, des experts d’horizons divers. A tour de rôle, ils nous font part des principaux événements qui auront marqué les esprits en 2008.

L’année 2008 a dû faire face à de nombreuses menaces déjà connues : spam, phishing, botnet, social engineering ou encore typosquatting. Les faux emails et sites miroir, quant à eux, se sont multipliés. Cependant, même les attaques classiques évoluent. François Paget, Chercheur de Menaces, McAfee Avert Labs, prend l’exemple du scam. Le type de message reste le même qu’avant, cependant, en 2005, on recevait les scams par email, aujourd’hui on les reçoit via des réseaux sociaux, comme LinkedIn. L’attaquant adapte donc ses techniques aux nouvelles pratiques des utilisateurs.

Web 2.0 et réseaux sociaux sont devenus des vecteurs privilégiés d’échanges d’informations. Aujourd’hui, tout se partage (informations privées et professionnelles, photos, films, …). Le risque de ce type de pratique est conséquent pour l’individu, qui peut se retrouver victime de l’e-reputation. Les amis d’aujourd’hui ne seront pas forcément mes amis de demain. Qu’il s’agisse de vengeance ou autre bassesse, on retrouve fréquemment des informations, photos ou vidéos mises en ligne dans l’intention de nuire. Un député suisse en a fait les frais l’an passé. Après avoir rompu avec sa maîtresse, cette dernière a publié en ligne une vidéo compromettante prise avec son téléphone portable. Son mandat politique en a subi les conséquences, sans parler de sa réputation. Le risque est également présent pour les entreprises et ses salariés. En mars 2008, un salarié de l’usine Michelin de Cholet a été licencié et un autre mis à pied pour avoir critiqué leurs conditions de travail sur un site Internet. La diffusion d’informations sensibles sur la toile s’avère nuisible pour une entreprise et son savoir-faire, d’autant que la diffusion sur Internet est complètement démultipliée. Le problème est, d’ailleurs, similaire concernant la propagande, les appels à violence, l’activisme, la désinformation, ou encore l’aide au terrorisme.

Twitter est un outil de réseau social et de microblogging, qui permet à l’utilisateur de signaler à son réseau « ce qu’il est en train de faire ». Ses partisans voient avec Twitter un moyen de faire circuler et d’avoir accès à l’information de manière dynamique. Son utilisation a d’ores et déjà commencé à se faire à titre malveillant en diffusant rapidement des informations sensibles.

Dans le futur, les mondes virtuels et les réseaux sociaux seront amenés à se rapprocher. Les gens dévoilent des pans entiers de leur vie privée sans même réfléchir aux conséquences. Pourtant, conclut-il, il ne faut omettre que les offres de réseautage sont fondées sur un modèle économique, avec, en conséquent, des fins mercantiles.

Pour Franck Veysset, Expert Senior, Orange Labs, l’aspect électronique est de plus en plus fréquent en ce qui concerne le piratage. Les systèmes RFID posent d’importants problèmes de sécurité. La crypto est nécessaire pour en assurer la confidentialité et la non clonabilité. Cependant, la contrainte liée à l’aspect matériel est forte en raison du nombre, et, de ce fait, du coût.

Le matériel NXP Mifare Classic a dû faire face en 2008 à son faible niveau de sécurité puisque ses algorithmes de cryptages ont été cassés à plusieurs reprises. Ce qui n’est pas sans poser problème puisque les cartes Mifare Classic sont largement utilisées dans les systèmes de transports publics ou encore de badges d’identification. Le clonage de systèmes RFID est possible et représente un sérieux problème de sécurité une fois que toutes les cartes ont été distribuées aux utilisateurs, puisque la solution serait de remplacer les clés de tout le monde...

Le clonage de passeports est un problème conséquent. Fin septembre 2008, Elvis Prestley fut aperçu à l’aéroport d’Amsterdam. Le THC (The Hacker’s Choice) a ainsi démontré les faiblesses du passeport RFID. Seulement dix des quelques 45 pays qui ont adopté le passeport électronique se sont, à l’heure actuelle, enregistrés dans le Public Key Directory, réduisant à néant l’utilité de la clé.

« Pour autant, Internet n’est pas prêt de s’effondrer. SHA-1 doit, cependant, immédiatement supplanter MD5, qui est en fin de vie. SHA-3 devrait, quant à lui, arriver en 2012 » conclut-il son intervention.

Contrefaçon, hébergements malhonnêtes, fausses loteries, …, autant d’actes criminels qui ont continué de sévir sur le net en 2008, souligne le Lieutenant-colonel Éric Freyssinet, Chargé des projets cybercriminalité - Direction générale de la gendarmerie nationale / Sous-direction de la police judiciaire. Les « ransomware » auront également fait parler d’eux, avec notamment le cas des vers chinois pour GSM, du type Kiazha-A. Ces virus prennent vos données en otage et ne les libèrent qu’une fois l’argent versé à son auteur. Dans ce cas, l’utilisateur allumant son GSM se retrouve menacé par un message du style « prépare 10 euros en crédit jeu ou ton GSM ne fonctionnera plus ».

La vente de services criminels en ligne est, en outre, un phénomène grandissant. Par exemple, « pour 80 dollars pour 24 heures, vous pouvez nuire à votre concurrent par une attaque en déni de service ». Pour l’instant, ce type de pratiques reste un peu underground mais devrait, à terme, se démocratiser. De plus, personne n’est à l’abri. On notera, cependant, en 2008, la mise en place d’une plate-forme de signalement sur Internet : www.internet-signalement.gouv.fr

Hervé Schauer, Consultant HSC, aborde les problèmes qui peuvent être liés à la surmédiatisation des failles de sécurité, comme ce fut le cas en 2008 avec la faille DNS et TCP par exemple. La couverture et la concentration des médias sur certains sujets sont parfois disproportionnées. 2008 aura, ainsi, connu plusieurs buzz médiatiques : faille DNS, TCP, le lundi noir des virus annoncé par différents éditeurs, Elcomsoft, …

Pourtant, il existe, selon lui, de véritables failles qui n’ont pas été relevées à leur juste niveau. A ce titre, il soulignera les failles suivantes :
- Mifare Classic, en ce qui concerne la sécurité physique (évoqué précédemment).
- Certains avis Microsoft n’ont pas été suffisamment relayés, comme l’avis MS08-067.
- Les failles côté client sont, selon lui, les plus graves car tout le monde est concerné. Il s’agit donc de failles dont l’application du correctif est beaucoup plus importante que la moyenne.

Pascal Lointier, Conseiller Sécurité de l’Information, AIG Europe, et Président du Clusif, aborde, pour conclure, quelques cas d’école qui auront marqué les esprits en 2008 :
- Au mois de juillet, en raison d’un différend avec sa direction informatique, un administrateur réseau a piraté les mots de passe d’accès au réseau WAN de la ville de San Francisco.
- Même scénario en novembre dans le New Jersey, l’administrateur réseau a été renvoyé et a installé, de ce fait, plusieurs backdoors.
- En 2008, la chaîne de magasins d’alimentation américaine Hannaford a été victime d’une fraude informatique qui a vu les données confidentielles de plus de quatre millions de ses clients subtilisées. Un logiciel espion interceptait les données de cartes de crédit et de guichet des clients, au moment où elles étaient transmises aux banques par les établissements pour approbation. Pourtant, cette société était conforme à la norme PCI-DSS. Depuis, la norme a été modifiée dans l’urgence.
- A Saint-Louis, en novembre, la société de gestion d’assurances-maladie Express Script est victime d’un chantage. Les pirates ayant dérobé les informations personnelles et médicales de ses clients menaçaient de publier sur Internet les données médicales de millions d’Américains. Ils dévoilaient, dans la lettre de chantage, les informations de 75 patients. Express Script proposait 1 million de dollars de récompense pour toute information permettant d’arrêter les pirates, ce qui nous laisse imaginer le montant de la rançon…
- Au niveau des infrastructures, il notera en 2008 la coupure de câbles sous-marins sur une même période, laissant envisager une théorie du complot. Jusque là le phénomène s’est avéré accidentel, qu’en sera-t-il le jour où ce sera la résultante d’actions malveillantes ?
- Trois hôpitaux de Londres ont dû arrêter leur réseau informatique pendant au moins deux jours suite à une contamination virale accidentelle. 5.000 Pc ont été exposés. Aucune conséquence corporelle n’est à déplorer cette fois-ci.
- Enfin, on se souviendra du déraillement de 4 wagons d’un tramway en Pologne par un adolescent de 14 ans, qui avait pris le contrôle du système de signalisation et d’aiguillage. Une douzaine de personnes furent légèrement blessées. C’était un gamin, mais ça pourrait très bien être la résultante d’une personne mal intentionnée.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants