En introduction, Stéphanie Kayser a rappelé que G Data fête cette année ces trente ans puisque la firme a été fondée en 1985 à Bochum en Allemagne. Aujourd’hui, la société compte 500 personnes réparties dans 90 pays. Son offre d’antimalware va du particulier aux entreprises et protège tout type d’OS : Windows Mac et Linux.

Paul Rascagnères

Le Blackmarket : une activité rentable pour les pirates

En préambule Paul Rascagnères a expliqué pourquoi G Data s’intéresse au Blackmarket. Cette connaissance permet de connaître les tendances, le marché… Toutefois son étude s’est limitée à ne pas acheter de produits et ne rien faire d’illégale.

Selon cette étude, le Blackmarket est constitué tout d’abord d’une infrastructure technique et une place de marché où on trouve les produits et services : de l’achat d’outils de diffusion du spam, malwares, jusqu’à la drogue et les armes.

Généralement, les attaquants n’ont pas toutes les connaissances. Ils vont donc travailler en réseau. Pour arriver à leurs fins, les attaquants vont trouver dans le Blackmarket l’ensemble des outils et services dont ils ont besoin. Les principales place de marché sont SilkRoad Reloaded, DeepBaý Pandora...

Les pirates utilisent généralement Tor ou I2P afin, pour naviguer de façon anonyme. Sur certaine place de marché, le SAV est assuré ce qui augmente le prix des produits vendus. Les prix vont généralement de 150$ à 5000$. Par exemple, les Ransomwares sont proposés à partir de 150$ pour un Bot le prix du logiciel est à partir de 5000$. Il est aussi possible de payer le service par exemple pour infecter 1000 machines le prix est de 70$ pour une attaque en DDOS le tarif commence à partir de 100$...

Les données personnelles sont en fait les plus ciblées. En France, plus de 2600 cas sont répertoriés par mois dont 1700 ont des impacts financiers. Parmi les données les plus convoitées, on a tout d’abord les adresse mail, puis les comptes mail et enfin les données bancaires.

Au niveau des tarifs, il commence à partir de 70$ pour des données complètes, les comptes bancaires ou Paypal sont proposés à 50$, pour les comptes mails ils sont vendu par 1000 pour quelques dizaines de $. Sur certains marchés, le prix du compte bancaires ou Paypal diffère en fonction du solde du compte. Il est aussi possible d’acheter des armes : pour un pistolet neuf est vendu à partir de 1200$... on peut aussi y acquérir de la drogue. On peut aussi trouver des faux papier d’identité pour un prix à partir de 1000$ pour une carte d’identité, un permis de conduire pour 1200 $, des passeports...

Au. Niveau des monnaies virtuelles on en trouve actuellement plus de 100 différentes. Elles sont souvent anonymes. Le cours du Bitcoin est actuellement de 238$. Les Bitcoins sont transformables en € par des ATM, y compris en France, qui permettent de retirer de l’argent. En Russie, une banque permet moyennant un pourcentage de transférer de l’argent sur son compte personnel. Un autre moyen de transformer son argent virtuel est d’utiliser un site de jeu…

Éric Freyssinet

Les Botnets : une source de revenus en pleine essor

Puis Éric Freyssinet, Président du comité d’organisation de la Botconf a présenté les activités des pirates en matière de botnet. Le botnet est la prise de contrôle d’ordinateurs par un pirate ou un groupe de pirate informatique. Les pirates utilisent ces réseaux pour différents usages, comme le vol de données, l’envoi de spams, la prise de commande contrôle.... Ils constituent une grande partie de l’infrastructure criminelle sur internet. Eric Freyssinet explique qu’à l’avenir les botnets vont s’attaquer aux objets connecte même s’il n’y a pas de démonstration aujourd’hui. En effet, ses objets sont déjà très présents et le seront encore plus sur les réseaux des particulières et des entreprises. Ils pourront devenir de bon moyens pour débuter une attaque informatique.

Par ailleurs, les terminaux de points de ventes sont de plus en plus cibles pour faire partie de réseaux de Botnet. Quant aux téléphones mobiles le principal problème est d’installer le malware sur le téléphone via un logiciel. Au début, l’attaque débute généralement par le déploiement sur le téléphone d’une application. Ce processus sera sans doute utiliser pour l’installation de malware sur les objets connectes comme les réfrigérateurs.

La fraude au clic se développe de plus en plus actuellement. Pour les Cryptolockers ils se déploient depuis déjà deux ans en ciblant les entreprises et sont passés sur les particuliers en demandant des rançons de l’ordre de 200 à 300€. Parmi les botnets on trouve aussi les downloader qui permettent de réinjecter des machines en installant de nouveaux botnets.

Cette répartition des botnets est assez stable aujourd’hui. Ils sont multi usages de l’espionnage au vol de données. Ces réseaux permettent de la délinquance de masse.

Les modes d’infection les plus classiques sont les Drive by Download, les JavaScript malveillants sur des sites web ou des bannières publicitaires. Ces dernières permettent de cibler les utilisateurs grâce a leurs contenus. Une fois le réseau constitue les pirates proposent des services via des sites de type Exploit Kits. Ce type de service est loué environ 1500$ par an. Ce marché est très segmenté avec des spécialistes de la gestion des bannières, de la constitution de réseau, d’envoi de malwares, les gestionnaires d’infrastructures... Le problème est que les délinquants bougent très vites et souvent utilisent des hébergeurs légitimes qui louent leur serveurs a la semaine. Donc les enquêtes sont très difficiles, il faut aller très vites.

La technique de Waterholing permet de cibler quelques entreprises par la compromission de site précis ou vont se connecter des utilisateurs intéresses par le sujet. Selon Éric de nombreuses PME sont attaquées par ce type de malwares.

Éric Freyssinet estime que les voitures connectées vont sans doute est prochainement ciblées par les pirates du fait des modes de communication qu’elles utilisent : Wi-Fi et Bluetooth généralement.

Il remarque que les développeurs de plateforme d’exploit sont aujourd’hui visés par les polices comme par exemple en Russie avec l’arrestation du pirate Dimitri Fedorov en 2013. Toutefois, les plateformes se remontent très vite, il a mis en avant l’importance de la collaboration non seulement avec les polices mais aussi avec les éditeurs d’antivirus.
En conclusion, il a rappelé la date de la Botconf du 2 au 4 décembre www.botconf.eu qui va se dérouler à Paris.

Des démonstrations de piratage de carte bancaire, de compte bancaire ont été réalisées par Paul Rascagnères et Ralf Benzmüller.

Alizé Cornet

La journée c’est conclue par le témoignage d’Alizé Cornet, la championne française de tennis. Actuellement elle a plusieurs milliers d’abonnés sur Twitter et Facebook. Du fait de sa notoriété, elle a eu de très nombreux problèmes d’usurpation d’identité sur Facebook surtout depuis 2008. Chaque année elle est obligée de contacter Facebook pour faire fermer des comptes à son nom ouvert par des personnes malveillantes. Pour enlever une page Facebook il lui faut environ un mois en moyenne.

A cause d’une de ces fausses pages Facebook, une personne en usurpant son identité a fait son interview par téléphone avec un journaliste de Nice Matin. Une fois l’article paru d’Alizé Cornet s’est aperçue qu’une page entière dans Nice Matin était consacrée à sa pseudo interview ou des informations sur sa carrière, sa vie privée étaient évoquées.

Quant aux emails, elle reçoit sans cesse des demandes de connexions, des personnes qui essaient d’usurper son compte mail.... Le problème se pose surtout lorsqu’elle est en déplacement à l’étranger où souvent il lui est très difficile d’accéder à son propre compte mail.

Elle est de plus en plus méfiante suite à un autre problème avec une autre joueuse qu’elle avait rencontré sur le circuit. En effet, elle a été contactée sur le web par une personne qui se faisait passer pour cette autre joueuse avec laquelle elle a entretenu une relation épistolaire sur le web. Elle s’en est aperçue car la joueuse en question lui demandait des informations confidentielles sur les prochains tournois. De plus, elle a été contactée par l’agent de cette dernière pour qu’elle arrête d’avoir des relations avec cette personne.

Suite à ces différentes mauvaises expériences, elle reconnaît qu’il est très important de faire de la veille sur internet. Pour cela elle a une équipe qui surveille le web. Elle change tous les deux à trois mois ses mots de passe. Elle précise que ses mots de passe sont toujours très complexes. De plus, elle a certifié sa page Facebook. Par contre pour son compte personnel, il est plus compliqué à sécuriser.