Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

GIROP : les modèles économiques de la cybercriminalité à la loupe

mars 2009 par Emmanuelle Lamandé

Le Cercle d’Intelligence Economique du MEDEF de l’Ouest Parisien (GIROP) organisait hier son premier atelier sécurité sur le thème « la cybercriminalité, étude des modèles économiques de quatre arnaques très actuelles ». Pour animer ces ateliers, le GIROP a fait appel à Gérard Péliks, Expert en sécurité chez EADS et Directeur de l’atelier sécurité du Forum Atena, qui nous a ainsi expliqué le « pourquoi », le « avec et contre qui » et le « comment » des Botnets, du Phishing et dérivés, du Scam 419 ou encore du Pump & Dump.

Internet a changé la donne de la criminalité. La toile a transformé le monde en un village global. L’effet amplificateur d’Internet a pour conséquence que tout le monde se retrouve menacé. De plus, les effets ne sont malheureusement pas que virtuels. Les incidences sont bel et bien réelles. Un hoax est un canular ou une rumeur infondée circulant sur Internet. Laurie, une adolescente rentrée un peu plus tard que prévu chez elle, en a été victime. En peu de temps, sa soi-disant « disparition » a fait le tour du globe. Elle se serait bien passée de cette publicité. Un autre type de cas : un salarié Michelin a été licencié pour avoir critiqué son employeur sur Internet, via les réseaux sociaux. Sur Internet, vous n’avez le droit ni à l’anonymat, ni à l’oubli. Vous y laissez des traces et vous ne savez jamais quand et comment elles seront exploitées.

La cyberguerre n’est pas si virtuelle que cela puisque les conséquences sont parfois très lourdes dans le monde réel. Deux exemples significatifs ont marqué dernièrement les esprits : l’Estonie et la Géorgie. L’Estonie est le pays le plus avancé en Europe sur la toile (vote électronique, banque en ligne, quasiment toutes les administrations se trouvent en ligne). Suite à une attaque en déni de service, le pays s’est retrouvé complètement bloqué. La cause de cette attaque : le déplacement d’une statut érigée en mémoire de la seconde guerre mondiale. Les russes ont décidé d’attaquer par l’intermédiaire de botnets. 50 pays se sont, ainsi, mis en même temps à attaquer l’Estonie, y compris la France et Monaco. Plus récemment, les serveurs de l’armée géorgienne ont été attaqués avant l’assaut mené par les russes. L’armée géorgienne avançait, en conséquent, à l’aveugle. Les conséquences en ont été que bien plus lourdes puisque des géorgiens sont morts en raison de cette attaque.

Le temps d’infection moyen d’un PC sous Windows, directement connecté à Internet sans antivirus à jour et sans firewall personnel, serait de 4 minutes en 2009

Nous sommes dans un monde dangereux et instable, qui doit faire face à une montée du terrorisme et une situation économique perturbée. Le besoin de sécurité est impérieux, de manière à pouvoir assurer la confidentialité des informations, leur intégrité, leur authenticité et leur disponibilité.

De nos jours, ce qui motive les hackers, c’est l’argent. Dans ce modèle économique, trois facteurs sont indissociables : les biens, les menaces et les vulnérabilités. Ces derniers impliquent des risques qui se gèrent et nécessitent des contre-mesures. D’après le SANS Institute (www.sans.org), le temps d’infection moyen d’un PC sous Windows, directement connecté à Internet sans antivirus à jour et sans firewall personnel, était, en 2003, de 40 minutes, en 2004, de 20 minutes et, en 2009, de 4 minutes. Cependant, la plupart du temps, vous ne vous rendez même pas compte que vous êtes infectés. L’objectif aujourd’hui du virus, ver, ou autre malware, est de rester invisible ; ce n’est pas de détruire les informations mais de faire de l’argent.

Le phishing

Le phishing est né de la combinaison du Phreaker et du Fishing. Vous recevez de faux mails qui ont pour objectif de vous faire aller sur de faux sites Web afin que vous y donniez vos véritables coordonnées bancaires. Si vous recevez un mail de votre banque vous incitant à cliquer sur un lien, surtout ne cliquez pas, ne répondez pas et appelez votre banque pour les prévenir. Jamais une banque ne vous enverra un mail avec un lien vous incitant à vous connecter sur leur site. Donc, si vous recevez ce type de mail, dites vous que c’est forcément du phishing. Ne donnez pas d’informations vous concernant à quelqu’un qui n’a pas besoin de le savoir. Dans le monde réel, iriez-vous donner à un étranger votre nom, votre adresse, votre numéro de carte bancaire, … Vous répondriez naturellement par la négative alors pourquoi le faites vous de manière si naturelle sur Internet ?

D’autres variantes ont depuis vu le jour, qui sont encore plus imparables que le phishing : le pharming (attaque sur les noms de domaines) et le clickjacking (la victime est amenée à cliquer sur des liens dangereux sans s’en apercevoir).

Dans ce « business model », la transaction entre la victime et le cracker n’est pas directe sinon l’attaque de ce dernier serait trop visible. C’est pourquoi il fait appel à des mules ou « transfert managers », qui servent d’intermédiaires aux transactions. Le prédateur crédite régulièrement de petites sommes sur le compte de la mule. Cette dernière va retirer l’argent en liquide toutes les semaines. Il se garde environ 8% et envoie les 92% restant au cracker, via mandat chèque ou via Western Union. Cette banque, qui n’est pas la seule d’ailleurs, a presque été faite pour cela. C’est la banque préférée des crackers puisqu’elle ne laisse aucune trace. Le principal risque pour la mule est de se faire prendre par le banquier. Elle se retrouverait, en conséquent, interdit bancaire, et le cracker qui n’en aurait plus l’utilité viderait son compte avant de se trouver un autre « pigeon ». En outre, une mule qui ne jouerait pas le jeu serait automatiquement catégorisée sur le forum des crackers et ne pourrait donc plus exercer.

Les botnets

Il s’agit de PC contaminés devenus des zombies. Ils obéissent au maître du botnet. Les botnets permettent de réaliser des attaques DDOS (Distributed Deny of Service), qui mettent à mal le serveur Web de la victime qui se retrouve avec des milliers, voire millions, de sollicitations. Un ordinateur devient un botnet par différents moyens : un virus, un ver, un exécutable, la visite d’un site Web compromis. Plus d’un site Web sur 3 auraient des pages compromises à l’heure actuelle.

Au dessus de toutes ces attaques se trouve le commanditaire du botnet. Vous pouvez, en effet, louer ou acheter des botnets. Ils servent aux attaques en déni de service, à envoyer des mails qui deviennent du spam. 200 milliards de spams seraient envoyés par jour. En tête du classement des botnets, on retrouve Srizbi. Avec 315.000 machines en moyenne, il serait à l’origine de 60 milliards de spams par jour. Viennent ensuite les botnets Bobax, Rustock, Cutwail, Storm, Grum, … 1% des ordinateurs pourraient être des botnets en ce moment.

La fraude nigériane ou scam 419

La fraude nigériane est une sollicitation par courriel, à l’origine en provenance du Nigeria, promettant une importante somme d’argent en échange d’une aide financière. Faisant appel à votre « humanité » et à la possibilité de gagner de l’argent « facilement », vous vous retrouvez rapidement pris au piège dans une spirale infernale. Pour que vous touchiez l’argent, il faut en envoyer au préalable, toujours et encore… Mais ce n’est jamais suffisant. Généralement, les victimes se rendent compte, à force, de l’arnaque et décide d’y mettre un terme. Elles se seront, tout de même, fait arnaquer de quelques centaines ou milliers de dollars. Mais dans certains cas, cela va plus loin et se termine de manière tragique. Certaines victimes se sont rendues sur place, ont été enlevées, voire tuées. La fraude nigériane est, en effet, à l’origine de plusieurs morts, comme quoi le monde virtuel a de véritables conséquences dans la vie réelle.

Le « pump & dump »

Le « pump & dump » utilise les mécanismes normaux de la bourse. La technique consiste, pour l’attaquant, à investir, en bourse, sur les titres de sociétés n’ayant aucune valeur. Par un envoi massif de mails, il recommande l’achat de ces actions. A force de spam, de plus en plus de personnes investissent, ce qui donne de la valeur à l’action. En effet, plus la demande augmente, plus le cours de la bourse s’envole. Le cybercriminel revend ses actions quand elles ont atteint un niveau conséquent, et ne donne plus de nouvelles aux victimes. Au bout d’un moment, celles-ci commencent à paniquer et revendent leurs actions qui n’ont plus alors grande valeur. L’attaquant, lui, pendant ce temps est déjà passé à sa nouvelle arnaque.

Le coût du cybercrime, en 2008, serait de 1000 milliards de dollars

Pour conclure, Gérard Peliks nous donne un aperçu des menaces à venir : les botnets de PC zombies généralisés, le phishing plus sophistiqué et personnalisé, les pages Web infectées, les attaques sur les réseaux sociaux, le Vishing (VoIP + phishing), le Spit (Spam over IP Telephony), les attaques sur le SCADA… Les attaques sont aujourd’hui ciblées, feutrées, et non plus des attaques massives, sauf dans le cas de cyberguerre.

Selon le Computer Security Institute, la moyenne des pertes en 2008 aux USA par entreprise, pour 522 entreprises qui ont répondu à l’enquête, serait de 300.000 dollars. Le coût du cybercrime par an, en 2008, serait de 1000 milliards de dollars.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants