Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Le Cercle de la Sécurité : failles de sécurité, une économie souterraine de plus en plus organisée

juin 2008 par Emmanuelle Lamandé

Les failles de sécurité sont devenues au fil du temps une véritable mine d’or pour de nombreuses organisations criminelles. Cette économie souterraine, de plus en plus organisée et structurée, générerait d’ailleurs aujourd’hui plus d’argent que la drogue. Petit retour sur cette subreptice organisation lors du dernier dîner-débat du Cercle de la Sécurité, qui avait réuni à l’occasion : Eric Domage, European Research Manager Security Products & Solutions, IDC EMEA, François Paget, Chercheur au sein de l’AVERT (McAfee), Myriam Quéméner, Magistrat, Substitut Général au service criminel de la Cour d’appel de Versailles, et Joël Ferry, Colonel de Gendarmerie, Commandant de la section Recherches de Versailles.

Selon une étude réalisée par IDC, le volume de dépenses en termes de sécurité est plus important, aujourd’hui, dans le domaine du service (50,3%) que du software (41%). Ce phénomène révèle, pour Eric Domage, une certaine maturation du marché. Accroissement considérable du parc informatique, surtout mobile, que ce soit dans la sphère privée ou professionnelle, éclatement des frontières, avalanche réglementaire, et une menace toujours plus experte,…, autant de facteurs qui expliquent cette croissance, même si cette dernière est en recul.

L’insécurité IT est aujourd’hui un problème d’entreprise, plus d’informatique. Les solutions de SSI doivent apporter des réponses business, non techniques. Les grands désastres IT ont éduqué les leaders économiques. Ils comprennent mieux les impacts de tels incidents. Il est donc nécessaire de trouver la valeur business des solutions. Cependant, les PME, qui représentent en moyenne 60% du marché, ont une vision limitée de leurs dépenses en sécurité et comprennent moyennement les dangers. Elles ont, en conséquent, un besoin fort de conseil et de support. C’est pourquoi nous assistons à une orientation forte vers les Vars et les intégrateurs de proximité, qui apportent plus facilement une continuité de services. Toutefois, il ne faut pas oublier, comme le rappelle Eric Domage, que les solutions sont faillibles et qu’aucun fournisseur de SSI ne peut prétendre à l’exhaustivité. La complexité de la menace (IT et réglementaire) oblige, en outre, une recombinaison permanente des projets et solutions.

La cybercriminalité générerait aujourd’hui plus de chiffre que la drogue

Au cours de son intervention, François Paget s’est interrogé sur la manière dont s’échangent et se vendent les programmes malveillants sur Internet ? Le crime organisé a aujourd’hui pris la main sur tout ce qui est programme malveillant. Nombreux sont les sites légitimes qui sont piégés. L’offre d’outils d’attaque est abondante et les attaques sont de plus en plus sophistiquées.

Parmi les offres de services, on retrouve, entre autres, la location de botnets, ces robots qui permettent une prise de contrôle à distance. Vous pouvez disposer du nombre de robots souhaités, et ce pendant le temps désiré. Ensuite, soit c’est vous qui lancez l’attaque, soit ils le font à votre place. C’est un véritable « hack-shop ».

Des données personnelles sont également en vente sur la Toile. On vous propose directement des accès bancaires. Par exemple, un compte en banque crédité de 30.000 euros à la BNP se négocie 2.000 euros. Toutefois, il peut être moins dangereux de revendre un accès à un compte que de l’utiliser soi-même directement.

- Credit Card with Change of Billing (COBs) : ce type d’offre permet une totale prise de contrôle du compte piraté. Vous pouvez même obtenir la totalité des informations, « full infoz », concernant une personne qui sont nécessaires en vue d’une usurpation d’identité (adresse, téléphone, sécurité sociale,…).
- CC Dumps : informations disponibles sur la piste magnétique de la carte de crédit. Un simple dump ne coûte qu’environ 10 cents.
- Skimming/ Carding : une fois les dumps en votre possession, il vous faut recopier les données sur de fausses cartes.

Vous trouverez également des sociétés qui spamment pour vous, des ventes de vulnérabilité « zero-day », ou par exemple le fameux « ebay de la vulnérabilité », WabiSabiLabi. Il existe, de plus, des circuits financiers parallèles, tels que E-gold, Webmoney, Western Union. Obligé de constater, comme le souligne François Paget, que « les criminels ont évolué plus vite que les internautes ».

Cyberdélinquance, un milieu de plus en plus structuré et organisé

Selon une étude américaine, présentée par Myriam Quéméner et Joël Ferry, l’essentiel des fraudes ont pour origine l’entreprise. Les difficultés résultent le plus souvent d’un défaut de sécurité de l’entreprise ou d’un salarié, généralement de par l’appât du gain (crime organisé, concurrence,…) ou pour des motivations personnelles (recrutement, vengeance,…). Nous assistons, selon eux, à une montée en puissance des organisations criminelles. Le milieu des cyberdélinquants est, d’ailleurs, de plus en plus structuré et organisé. On y retrouve de la main d’œuvre de base, comme, par exemple, les kids (Europe de l’Est), les codeurs (Europe Centrale), les drops qui transforment l’argent virtuel en argent réel (Indonésie, Malaisie, Bolivie), ou encore les mules qui gèrent les transactions avec la victime (Europe de l’Ouest).

Myriam Quéméner et Joël Ferry observent une mondialisation et une segmentation des échanges, une augmentation de l’usurpation d’identités et un accroissement des attaques contre les sites gouvernementaux. Les entreprises sont davantage visées mais très peu déposent plainte. Pourtant, il existe une plateforme de dépôt de plainte mise en place par l’OCLCTIC. Un projet européen est également en cours. La loi interdit, d’ores et déjà, tout courrier électronique de prospection directe non consentie. La création d’une contravention de 4è classe contre le spam est, quant à elle, envisagée. « La fraude informatique rapporte beaucoup d’argent, mais nous ne nous en rendons pas vraiment compte. Le problème provient des moyens mis en œuvre pour lutter contre ce phénomène et du financement de ces déploiements. Cependant notre législation n’a rien à envier à l’étranger » concluent-ils.


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants