Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CLUSIF : panorama de la cybercriminalité 2012

janvier 2013 par Emmanuelle Lamandé

Aucune surprise en 2012 : les activités cybercriminelles ont à nouveau largement investi la scène médiatique, avec une actualité haute en couleurs ! Au menu : explosion du nombre de binaires malveillants sur les mobiles, attaques ciblées et botnets en tous genres, structuration du blackmarket avec l’arrivée massive des offres de type « Hack as a Service »… Les Etats, quant à eux, affirment aujourd’hui clairement leurs stratégies en matière de cybersécurité, au travers d’une démarche « décomplexée ».

En 2011, plusieurs points avaient été mis en avant lors du panorama du CLUSIF, souligne François Paget, Chercheur de Menaces – McAfee Labs, à commencer par la mobilité. Cette tendance n’a fait que se confirmer l’an passé, puisque le nombre de binaires malveillants a explosé ces derniers mois sur les mobiles. Le cas le plus marquant en France de l’année 2012 restera l’infection de 17 000 Smartphones par le désormais célèbre Dylan C. L’Hacktivisme avait également été pointé du doigt comme l’une des tendances fortes de l’année. François Paget remarque que celui-ci, et notamment le mouvement Anonymous, s’est globalement dispersé en 2012. Il note, toutefois, le dépôt récent d’une pétition auprès de la Maison Blanche visant à légaliser les attaques DDoS. On annonçait aussi l’an passé la création prochaine d’un centre européen de lutte contre la cybercriminalité. C’est chose faite, puisque l’EC3 (European Cybercrime Center) vient d’être officiellement inauguré le 11 janvier dernier dans les locaux d’Europol à la Haye. Enfin, la vraisemblance du Hacking biomédical n’a fait que se confirmer avec la démonstration du piratage d’un stimulateur cardiaque par Barnaby Jack, expert en sécurité informatique chez IO Active, lors du congrès Breakpoint 2012. Installé à une dizaine de mètres d’un stimulateur cardiaque, et muni uniquement d’un ordinateur portable, Barnaby Jack a réussi à lui faire envoyer plusieurs décharges de 830 volts, ce qui, s’il avait été porté par un être humain aurait provoqué une crise cardiaque…

Gérôme Billois, Solucom

2012 : ni la fin du monde, ni la fin des accidents…

L’année écoulée a, comme chaque année, connu son lot d’incidents, constate Gérôme Billois, Manager Sécurité et Risk Management – Solucom. Deux d’entre eux ont plus particulièrement retenu son attention : ceux ayant touché Knight Capital et Amazon.

Knight Capital est une compagnie de courtage, spécialisée dans le « Trading haute fréquence ». Ce dernier consiste à acheter au moins cher et de revendre au plus offrant toutes les microsecondes pour dégager une faible marge de très nombreuses fois. Cette entreprise est l’un des poids lourds de Wall Street, puisqu’elle gère environ 15% des actions traitées chaque jour.
Le 6 août 2012, un nouveau logiciel de trading en phase de test s’est malencontreusement retrouvé mis en production, alors qu’il faisait tout le contraire de ce qu’il aurait dû : acheter au plus cher et vendre au moins cher. L’entreprise s’est retrouvée à perdre 15 cents par transaction, sachant que 2 400 transaction sont opérées par minute... En seulement 45 minutes, ce ne sont pas moins de 4,5 milliards de dollars d’actions qui ont été achetées. L’incident aura coûté, au final, près de 440 millions de dollars de pertes en moins d’une heure à la société Knight Capital, qui frôle de peu la banqueroute. En janvier 2013, Getco, son concurrent direct, annonçait le rachat prochain de l’entreprise.
Cette affaire place également Knight Capital sur le podium des entreprises ayant perdu le plus suite à un incident, puisqu’elle arrive en 3ème position, juste derrière le Black-out aux USA en 2003 (6 milliards de dollars de perte en 9h d’interruption) et le Crash d’Ariane 5 en 1996 (un bug informatique a entraîné la perte de 500 millions de dollars en quelques secondes).

De son côté, Amazon a connu plusieurs incidents en 2012 : un problème de mise à jour d’équipements réseaux en avril, une panne électrique en juin, un bug logiciel en octobre, sans oublier le lancement d’un script sur la plateforme de production par un développeur en décembre. Résultat des courses : un Cloud tombe à terre et c’est toute la net-économie qui vacille ! En effet, c’est un effet de chaîne qui s’est produit, Amazon étant utilisé de manière sous-jacente par de nombreux services (Dropbox, Instagram, Fast Company...). Il faut donc faire très attention au risque systémique, et comme l’explique Gérôme Billois, ne pas « mettre tous ses œufs dans le même Cloud », voire pas dans le Cloud du tout !

Ces cas d’incidents ne sont toutefois pas exhaustifs, car ils ont été multiples en 2012. D’autres cas ont d’ailleurs largement marqué l’actualité l’an passé, comme le Black-out en Inde, la panne géante d’Orange... « 2012 nous montre encore à quel point nous sommes interdépendants avec tous ces systèmes (informatiques, télécoms, électriques...). Le mieux est de se préparer autant que faire ce peut à toute type d’incidents, et de sans cesse tester et retester ces systèmes », conclut-il.

Etats : un rapport à l’offensif décomplexé

Pour Barbara Louis-Sidney, CEIS, 2012 aura marqué un renforcement des stratégies en matière de cybersécurité, et parfois même leur publication officielle, par exemple en Iran. La création d’unités militaires dédiées aux cyberopérations est également clairement mise en avant. L’Iran envisagerait, en effet, la création d’un « Cyber Command », le Japon et la Turquie aussi. Certains Etats affirment, de leurs côtés, considérer le cyberespace comme un champ de bataille à part entière (Israël…), etc. Les Etats-Unis, quant à eux, prônent une approche décomplexée du « champ cyber » et du passage à « l’offensif » ! On a d’ailleurs assisté en 2012 à une surenchère dans l’affirmation de l’acquisition de capacités offensives (ex : Japon, USA, Israël, Inde, Chine, Corée du Nord…). Les USA évoquent même l’éventualité d’une stratégie de riposte, voire de cyberattaques préventives, car défendre ne suffit plus.

La cybersécurité devient une activité à part entière et de premier ordre, et nécessite donc de multiples compétences. Aussi, de nombreuses initiatives voient le jour dans certains pays, afin d’essayer de pallier les différentes carences en la matière : les formations se font de plus en plus nombreuses, le recrutement s’accélère, de nouvelles réserves opérationnelles sont créées, la recherche est boostée… On peut dire que la cybersécurité représente sans aucun doute un emploi d’avenir !

« Toutefois, malgré ces différentes annonces et la surenchère, la discrétion reste de mise », constate-t-elle. Les Etats affirment disposer ou développer des capacités offensives, mais il n’y a toujours pas de cyberattaque de grande ampleur officiellement assumée par un Etat. La revendication d’une cyberattaque ne sera-t-elle pas, d’ailleurs, la prochaine étape ?

Pierre Caron, Orange Labs, et Eric Freyssinet, Gendarmerie Nationale/STRJD

Attaques ciblées : des codes malfaisants qui en disent long sur leurs auteurs…

L’année 2012 a également amené son lot d’attaques ciblées, remarque Pierre Caron, Responsable de l’équipe Sécurité des Réseaux - Orange Labs, puisqu’elles ont été aussi nombreuses que variées. On se souviendra notamment de l’attaque dont a été victime Aramco. Toutefois, il constate qu’il n’existe pas véritablement de spécificités relatives à ce type d’attaque. Aucune certitude n’existe, en effet, concernant les commanditaires, les cibles ou les méthodes utilisées… les différents scénarios observés étant multiples.

Dans une grande majorité de cas, il reste, de plus, difficile d’associer l’attaque à un commanditaire précis, et par là même de savoir contre qui se défendre. Plusieurs techniques permettraient pourtant aujourd’hui de remonter jusqu’à la source de l’attaque, sans aller forcément jusqu’au « piratage du pirate », comme ce fut le cas du CERT géorgien remontant la filière de Georbot.

Certains experts ont, en effet, mis en avant, lors du Chaos Computer Club 2012, la stylométrie (« Stylometry and Online Underground Markets ») comme technique applicable au code assembleur. Il serait ainsi possible de remonter jusqu’à l’auteur du code en fonction de sa façon de coder.

Autre piste intéressante : le clustering DNS/IP/AS. Le concept : chaque attaque fait appel à des domaines et des IP spécifiques pour la diffusion de codes malveillants, leur pilotage, etc. Dans de nombreux cas, les criminels réutilisent tout ou partie de l’infrastructure d’une attaque pour une autre attaque. Il est donc ainsi possible, grâce à ces similitudes, d’identifier l’auteur de l’attaque (cf. travaux de Joe Stewart (Dell SecureWorks) sur l’identification des pirates chinois impliqués dans des APT). De manière générale, il s’avère très intéressant d’analyser les codes malfaisants des attaquants, car ceux-ci regorgent d’informations sur leurs auteurs, constate Pierre Caron.

Chaque attaque ciblée étant différente, il n’existe pas, selon lui, de contre-mesure infaillible pour les entreprises. L’objectif sera, toutefois, de retarder autant que faire se peut l’intrusion, d’accélérer sa détection, mais aussi la réaction.

Hack as a Service : les offres pros enfin accessibles à tous…

2012 a sans conteste été l’année de la maturité de l’offre « Hack as a Service », observe Eric Grospeiller, FSSI du Ministère du Travail, de l’Emploi et de la Santé. Louer un pirate, des ressources, ou encore des services… font désormais partie d’une offre très structurée, basée sur un modèle commercial complet et opérationnel. Si l’offre devient aussi « sérieuse », c’est que la demande est de plus en plus forte : les clients se multiplient, quels qu’ils soient, et tous les systèmes mafieux ont largement flairé le filon. La surface d’attaque évolue en permanence, les données, notamment à caractère personnel, ont de plus en plus de valeur marchande… ce qui en fait un marché toujours plus rentable !

De véritables boutiques en ligne ont d’ailleurs vu le jour, délaissant peu à peu les espaces privés. Ces structures disposent même aujourd’hui d’une organisation qui ferait presque pâlir n’importe quelle entreprise : système de management, Ressources Humaines, R&D, communication… Alors, à quand les sociétés « légales » ? On pourrait presque se poser la question…

Quoi qu’il en soit, embaucher un pirate est aujourd’hui à la portée de tous, d’autant que les tarifs sont dorénavant très attractifs… Y a pas à dire, il fait bon être pirate de nos jours !

Les botnets à toutes les sauces

Pour ce qui est des botnets, Eric Freyssinet, Chef de la division de lutte contre la cybercriminalité – Gendarmerie Nationale/STRJD, en distingue plusieurs catégories : ceux visant à voler des informations (bancaires ou espionnage), le spam, les DDoS, les RAT (Remote Administration Tool), les Ransomwares (ou Rançongiciels)… Ces derniers ont pour particularité de bloquer l’ordinateur des victimes et de réclamer le paiement d’une rançon. Ce type de logiciels malveillants a véritablement explosé en 2012. D’ailleurs, pour tenter de s’en prémunir, une page de prévention (http://stopransomware.fr/) a été créée il y a quelques semaines.

Parmi les autres cas de botnets ayant défrayé la chronique en 2012, il cite entre autres :
- Sality scannant tout l’IPv4 pour cartographier les serveurs VoIP (02/2011, publié en 12/2012) ;
- XDocCrypt/Dorifel ciblant les Pays-Bas, diffusé via un autre botnet : Citadel (08/2012) ;
- Sykipot ciblant les certificats d’identification stockés sur carte à puce, etc.

L’année aura, cependant, vu aussi quelques coups d’éclat du côté des opérations de lutte contre les botnets, avec par exemple l’Opération b70, menée par Microsoft en septembre 2012, qui a conduit au démantèlement du botnet Nitol. Ce fut également le cas de l’Opération « Ghost Click » qui a permis le démantèlement de DNS Changer au mois de juillet. Il note, enfin, la création récente (début janvier 2013) de l’AC DC (Advanced Cyber Defence Centre).

Mobilité : la ruée vers l’or version 3G

Tendance incontournable de cette année 2012, la mobilité a attiré toutes les convoitises. On a ainsi pu voir une explosion du nombre de malwares sur Smartphones, constate Fabien Cozic, Consultant en cybercriminalité - CERT-LEXSI. Le nombre de logiciels malveillants a littéralement explosé ces derniers mois, avec le passage de 50 000 à 350 000 souches découvertes. Même iOS n’est plus épargné par ce phénomène. Il cite, par exemple, Finfisher qui peut aussi bien prendre le contrôle d’un Windows Phone, d’un Android, d’un Symbian et d’un iOS. Finfisher offre à l’attaquant la possibilité d’écouter les conversations, de localiser l’appareil… Toutefois, Android reste la plateforme de prédilection des cybercriminels (ex : botnet SpamSoldier qui sévit sur Android). L’Infection se fait généralement via les applications (notamment les jeux), mais aussi le « Repack » d’applications légitimes sur les marchés officiels, spécialement Android. Le marché d’applications Android ne dispose pas encore d’un système efficace de vérification, Google Bouncer étant vulnérable (Jon Oberheide & Charlie Miller, Juin 2012). On observe également le développement de ransomwares sur Smartphones, sans oublier l’infection via QR Code qui est aujourd’hui très tendance, souligne-t-il.

Autre élément marquant de cette année 2012 : la mise en avant des défaillances de la technologie NFC, notamment dans le cadre des transactions bancaires. Il souligne, entre autres, la possibilité de concevoir un appareil pour lire les flux de données lors des phases actives de la puce, mais aussi la possibilité de pousser un malware sur Android par tag NFC.

Au final, on ne fait qu’assister à l’application sur Smartphones des modes opératoires bien connus et utilisés sur Internet. Pour lui, l’année 2013 ne devrait que confirmer cette tendance, avec une accélération des infections.

Nicolas Caproni, BSSI Conseil & Audit

La Sécurité au cœur de tous les fantasmes

Pour conclure ce panorama, force est de constater que la sécurité alimente toujours les fantasmes, souligne Nicolas Caproni, Consultant en Sécurité des SI - BSSI Conseil & Audit. Aussi, est-elle fréquemment l’objet d’exagérations, par les médias notamment, ou de désinformations. Buzz et intox ont ainsi, comme chaque année, occupé la scène médiatique en 2012. Ce phénomène tend, selon lui, à parasiter la réalité des cybermenaces et décrédibiliser l’action des équipes sécurité.

D’autres sujets ont, quant à eux, fait polémique. C’est le cas du « doxage ». Ce phénomène consiste en quelque sorte à « faire justice soi-même » sur la Toile, comme les Anonymous qui traquent les pédophiles sur Internet, Facebook qui démasque les auteurs de Koobface… Mais quelle légitimité ont ces acteurs dans cette lutte ? Ces actions ne perturbent-elles pas plus qu’autre chose l’action des autorités en place ? Cette approche plutôt « offensive » a rouvert le débat en 2012 autour d’une éventuelle « légitime défense numérique » ou « sécurité offensive »… Il s’avère toutefois que la légitime défense se prête plutôt mal au contexte « cyber », et qu’il reste encore à ce jour interdit de pirater un hacker !

Enfin, parmi les tendances à suivre en 2013, il note plusieurs points de vigilance ! Il cite notamment un retour en force des Ransomwares, y compris sur les Smartphones et tablettes, l’arrivée en France des malwares sur Android, l’infection massive via les QR Codes, mais aussi de nouvelles vagues de chantage et d’extorsion ! Sans oublier le reste bien sûr… De quoi présager une année 2013 extrêmement fertile pour les cybercriminels !


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants