Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CLUSIF : panorama de la cybercriminalité 2013

janvier 2014 par Emmanuelle Lamandé

L’année 2013 a été particulièrement rythmée dans les médias par les révélations d’Edward Snowden quant aux programmes de surveillance mis en place par la NSA. L’affaire PRISM ne doit toutefois pas venir occulter les nombreux autres événements survenus l’an passé. En effet, malgré quelques arrestations notables, les cybercriminels se sont encore une fois avérés insatiables en termes de nouvelles techniques d’attaques et restent plus réactifs et dangereux que jamais !

2013 ou le « PRISM » déformant de l’actualité…

Deux événements majeurs ont rythmé l’année 2013, observe Gérôme Billois, Senior Manager chez Solucom. Tout d’abord, la publication du rapport APT1 en février dernier a marqué la première mise en cause détaillée d’une équipe d’attaquants chinois, probablement issue de l’armée, disposant de moyens très importants. Ce rapport n’a fait que confirmer ce que la communauté de la sécurité observe au quotidien : la volonté des attaquants de s’installer dans les Systèmes d’Information dans la durée, à des fins d’espionnage économique et politique.
La mise en lumière par Edward Snowden de l’ampleur de la machine à espionner qu’est la NSA a également défrayé régulièrement la chronique cette année. En soi, cette surveillance généralisée n’est pas une véritable surprise pour la communauté de la sécurité ; ce qui l’est plus par contre réside dans son envergure et son industrialisation. En effet, les capacités de collectes et d’analyses sont démesurément larges, les budgets alloués colossaux et les capacités d’interventions ciblées massivement industrialisées, reposant sur tout un arsenal de services d’armes numériques. Pourtant, ce mastodonte est lui-même vulnérable, comme l’ont démontré les fuites de données dont a victime la NSA. Au final, cet épisode qui a fait grand bruit ne devrait-il pas être perçu comme une opportunité pour les responsables sécurité au regard de la mise en lumière de la réalité des menaces, se demande-t-il.

Toutefois, ces deux épisodes majeurs ne doivent pas occulter les nombreux autres événements survenus en 2013. En effet, certaines méthodes d’attaques ont plus particulièrement marqué les tendances de l’année. Parmi elles, on retrouve notamment :
- Les attaques de type « waterholing » : cette méthode, également appelée « du point d’eau » consiste à piéger un site Web visité par les cibles. Afin de compromettre le site Web souhaité, l’attaquant y dépose quelque code malveillant, attend les visites et l’infection des postes, puis n’a plus qu’à exploiter les données collectées. Le Ministère du Travail américain en a, par exemple, fait les frais l’an passé.
- Les attaques « destructives » ou « incapacitantes » : l’objectif de ce type d’attaque est de déstabiliser une organisation en détruisant ses données et/ou ses postes de travail. Pour ce faire, l’attaquant va déployer un malware « destructif », qui va effacer les données et/ou les disques durs des postes de travail, ou bien chiffrer leur contenu (ex. CryptoLocker). A titre d’exemple, l’attaque Jokra a visé la Corée du Sud en mars dernier, impactant plus de 35 000 postes, au travers du malware DarkSeoul.
- Les attaques des applications métiers : le but est ici de voler des actifs précis dans le SI, afin de réaliser des fraudes ou actions malveillantes métiers, telles que la réalisation de virements, le changement de plafonds de retraits, la collecte d’informations clés…
- Sans oublier les attaques visant la vie privée : l’objectif est de cibler les moyens de communication personnels des employés (e-mails, messageries instantanées, réseaux sociaux ou encore sites de stockage…) pour voler de l’information ou mieux connaître sa cible. Parmi les exemples de l’année, on peut citer le cas d’Evernote (vol de 5 millions de mots de passe), ou encore d’Adobe, avec la compromission de 38 millions de comptes.

2013 nous aura donc rappelé que les menaces étatiques sont bien réelles et prennent de l’ampleur, même si elles restent un type d’attaque parmi d’autres. En effet, les méthodes d’attaques se multiplient et se diversifient, sans compter qu’elles visent de plus en plus les applications métiers des entreprises.

Malgré quelques arrestations, les cybercriminels gagnent du terrain, y compris dans le monde réel...

La lutte contre ces activités cybercriminelles a, elle aussi, gagné du terrain en 2013. Les forces de l’ordre et les acteurs de la SSI ont, en effet, redoublé d’efforts pour contrer l’évolution de la cybercriminalité. Et ces derniers ont payé, puisque de nombreuses arrestations ont eu lieu cette année, souligne Fabien Cozic, Consultant senior en cybercriminalité chez CERT-LEXSI. Parmi elles, on retrouve notamment celles de Dmitry FedoRov Paunch (Blackhole & Cool), Nikita Kuzmin (Gozni), Hamza Bendellaj aka Bx1 (Zeus & SpyEye), Sven Olaf (DDoS de Spamhaus), ou encore Ross Ulbricht aka Dread (Silkroad). Toutefois, les effets de ces arrestations n’ont eu qu’un impact limité et temporaire sur la tenue de ces activités. Effectivement, personne n’étant irremplaçable, elles ont pour la plupart repris assez rapidement ou laissé place à de nouvelles méthodes.

Par contre, du côté de l’hacktivisme newbie, les arrestations et les condamnations, parfois très lourdes, de certains leaders (Topiary, Jeremy Hammond, Lauri Love, Mattew Flannery...) se sont avérées dissuasives et ont eu pour effet de freiner le mouvement. Toutefois, les procédés employés par les hacktivistes ont largement été repris et améliorés par les cybercriminels.

Autre tendance qui donne du fil à retordre aux enquêteurs : la cybercriminalité gagne peu à peu du terrain dans le monde réel. Les criminels traditionnels ont, ainsi, de plus en plus recours à des moyens numériques et services cybercriminels pour mener à bien leurs méfaits. Cette évolution a la particularité d’accroître à la fois les opportunités pour les cybercriminels et les criminels traditionnels, qui trouvent là de nouveaux profits. « On observe effectivement une entraide grandissante entre groupes criminels et cybercriminels », constate Éric Freyssinet, Chef de la division de lutte contre la cybercriminalité - Gendarmerie Nationale/STRJD. Symantec révélait en août dernier le cas de « Francophoned ». Des groupes criminels agissant depuis Israël effectuent du social engineering afin d’obtenir des virements, qu’ils combinent, grâce à l’aide de cybercriminels, avec de l’espionnage par virus informatique, via l’Ukraine.

Du côté des malwares, ceux sévissant sur mobiles sont en nette progression, reprend Fabien Cozic. Dans 93% des cas, l’infection primaire se fait via des liens frauduleux, diffusés notamment par SMS. Les botnets mobiles se développent, comme par exemple Spam Soldier, Obad... 99% d’entre eux touchent, toutefois, à ce jour la plateforme Android. L’infection via le marché applicatif est, quant à elle, en baisse, grâce aux dispositifs de vérification mis en place par Android et Apple. L’ingénierie sociale reste aujourd’hui la clé de la compromission mobile.

Boom des ransomwares

Autre fait marquant de l’année : le boom des ransomwares, notamment avec CryptoLocker. Le principe est simple : le ransomware chiffre les fichiers, disques durs et serveurs de sa cible, verrouillant ainsi le poste victime, puis exige une rançon en échange de la clé de déchiffrement. Le règlement peut même désormais se faire en monnaies virtuelles ou cartes prépayées. « Le problème est que nous avons actuellement très peu de dépôts de plainte sur ces rançongiciels », déplore Éric Freyssinet.

De nouveaux services se développent en ligne sur le « darknet », comme par exemple la possibilité désormais de réaliser des tests d’intrusion soi-même. Sans compter que l’offre se professionnalise tous les jours un peu plus. Il suffit de voir l’offre proposée par le groupe chinois Hidden Lynx, mis en lumière par Symantec, pour s’en rendre compte. Enfin, le piratage de DAB par le port USB, mis en avant par des chercheurs lors du CCC, ou les attaques contre les commerces de proximité (ex. Target), sont à surveiller de près. De manière générale, il apparaît certain qu’en 2013 les attaques se sont professionnalisées et l’implication du crime organisé s’est confirmée, conclut-il.

L’actualité a également été marquée par les monnaies virtuelles, et notamment les célèbres Bitcoins, complètent Barbara Louis-Sidney, Consultante en cybercriminalité chez CEIS, et Garance Mathias, Avocat à la Cour - Cabinet d’Avocats Mathias. Les plateformes d’échanges mises en place furent, en effet, l’an dernier, l’un des terrains de jeu favori des cybercriminels, qui tirent largement profit de ces outils flexibles, convertibles en dollars, anonymes et hors du champ de contrôle des autorités. L’utilisation d’une monnaie virtuelle sur Internet n’est pas aujourd’hui réglementée et devra être mieux encadrée à l’avenir si elle ne veut pas servir directement les intérêts cybercriminels.

La législation aussi évolue...

Diane Mullenex, Avocat à la Cour - Cabinet Pinsent Masons, souligne, pour sa part, le danger du caractère international des cyberattaques et la difficulté de mettre en œuvre des procédures répressives à l’échelle internationale ? Le paradis cybercriminel existe-t-il pour autant sur terre ? Quelles sont les stratégies des Etats pour en obtenir la clé ? Le droit international doit encore faire face aujourd’hui à des approches législatives divergentes selon les pays, pour le plus grand bonheur des cybercriminels. Qu’il s’agisse de la recevabilité de la preuve, de la notion d’infraction ou de la conception des droits fondamentaux et de la vie privée, les approches s’avèrent extrêmement disparates d’un pays à l’autre. Autant de facteurs qui rendent difficiles actuellement l’investigation à l’échelle internationale et la coopération transfrontalières entre les polices nationales. Se pose, en outre, la question de la gouvernance de l’Internet, et de l’équilibre entre libertés fondamentales et sécurité de l’information. L’Internet doit-il et peut-il vraiment être régulé ? Quel régime international appliquer ? Doit-il suivre le modèle retenu pour l’« Antarctique » ou les « fonds sous-marins » ? L’appel à la mise en place d’une coalition multi-acteurs pour la gouvernance de l’Internet, lors de la déclaration de Montevideo sur l’avenir de la coopération pour l’Internet, est-il la solution ? La « Convention de Budapest », adoptée le 23 novembre 2001, compte, à l’heure actuelle, 41 pays adhérents (dont 36 européens). Même si elle souligne une démarche positive, son effectivité reste aujourd’hui limitée. D’autres axes doivent donc être pensés et de nouvelles actions pour lutter contre la cybercriminalité doivent être mises en œuvre, notamment au niveau de la coopération entre les autorités internationales, et de l’harmonisation des réglementations et des procédures de lutte contre la cybercriminalité. De nouvelles initiatives en termes de gouvernance d’Internet seront peut-être évoquées en avril prochain à São Paulo lors de la conférence « Global Multistakeholder Meeting on the Future of Internet Governance », conclut-elle.

Qu’en est-il en France et en Europe ? De quel arsenal juridique disposons-nous pour faire face à la cybercriminalité ? L’année 2013 a été particulièrement riche en projets au niveau de l’Union Européenne, souligne Garance Mathias, Avocat à la Cour - Cabinet d’Avocats Mathias, notamment avec l’annonce de son plan de cybersécurité pour protéger l’Internet ouvert et les libertés en ligne. Outre la création de l’EC3 (Centre européen de lutte contre la cybercriminalité) en janvier 2013 à La Haye, l’UE a présenté en février dernier sa stratégie de cybersécurité, visant à développer un cyberespace ouvert, sûr et sécurisé. On notera également la proposition de Directive concernant les mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information (SRI) dans l’Union (février 2013), le Règlement européen « data breach » (entré en vigueur le 25 août), la Directive du 12 août relative aux attaques contre les systèmes d’information, le Paquet sur la « Protection des données personnelles », mais aussi la proposition de Directive sur le « Secret des affaires » (présentée en novembre dernier)... Du côté français, on se souviendra en 2013 de la diffusion du Livre blanc sur la Défense et la Sécurité nationale le 29 avril, ainsi que de la Loi n°2013-1168 relative à la programmation militaire 2014-2019, qui a fait couler beaucoup d’encre, notamment au regard de son article 20 (ex. article 13) relatif à l’accès administratif aux données de connexion.

Objets connectés, mobilité... à surveiller de près en 2014

Enfin, objets connectés, réseaux sociaux, accidents et mobilité ont aussi été au cœur de l’actualité en 2013, complète Gérôme Billois, et devraient d’ailleurs monter en puissance en 2014. Comme chaque année, 2013 a connu son lot d’accidents, principalement des câbles sectionnés, des bugs logiciels, mais aussi quelques accidents plus atypiques : le Cloud de Facebook a, par exemple, créé un véritable nuage, et une averse sur les serveurs, dans le Data Center suite à une défaillance ; la Formule 1 de Mark Webber s’est retrouvée clouée au sol à Barcelone suite à la défaillance d’une mise à jour ayant entraîné un problème d’unités de calcul ; ou encore la Station Spatiale internationale qui ne communiquait plus qu’avec la Russie suite à la défaillance d’une mise à jour du système de communication. Il insiste, ainsi, sur l’importance de prévoir les incidents, même lorsque tout a été testé.

Les objets, quant à eux, sont de plus en plus connectés, mais recèlent aussi toujours plus de vulnérabilités. Ainsi, des objets aussi disparates que certaines ampoules (Philips Hue Blackout), caméras (Foscam hack), voitures (Toyota ECU hack) ou les fameuses Google Glass (Jailbreak) ont désormais un point commun : ils sont vulnérables, et donc piratables. Sans compter que les premiers cas graves ont été observés en 2013, mettant pour la première fois en cause les fabricants. En effet, la vulnérabilité du système de gestion embarqué et d’accélération d’un modèle de voiture Toyota fut reconnue à l’origine d’accidents aux USA.

Les réseaux sociaux sont, de leur côté, toujours fréquemment usurpés. L’Associated Press en a, par exemple, fait les frais l’an passé, avec la fausse annonce de l’explosion de la Maison Blanche. Ce « canular » a eu un impact considérable sur le cours de la Bourse. Le compte Twitter de Burger King a, pour sa part, été rhabillé aux couleurs de Mac Donald’s...

Enfin, les menaces liées à la mobilité se précisent. Les malwares sont de plus en plus sophistiqués : Obad.a se rapproche des malwares Windows. On observe également des attaques ciblées « applicatives », avec le cas de Chuli.a par exemple, où des activistes tibétains se sont retrouvés visés sur Android. Sans oublier les attaques « physiques » : MacTans et son faux chargeur vise les iPhones et iPads. Force est de constater que les périphériques mobiles restent un domaine en fort développement pour les activités cybercriminelles.

Autant de sujets clés en 2013, à surveiller de très près en 2014 !


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants