Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Panorama de la Cybercriminalité 2018 du CLUSIF : Encore une année riche en événement

janvier 2018 par Marc Jacob

Cette année le panorama de la Cybercriminalité du CLUSIF a mis en évidence que les pirates n’ont pas chômé. Entre les rasomwares, les vulnérabilités sur les PC, Smartphone et autres outils, les IoT… leur terrain de jeu s’est agrandi entrainant des attaques en tout genre. La police n’est toutefois pas restée les bras croisés et grâce à la collaboration internationale quelques arrestations ont pu avoir lieu…

Loïc Guezo a rappelé que le groupe qui élabore le panorama de la cybercriminalité du Clusif est constitué d’une trentaine de membres qui travaillent durant un an en collectant et sélectionnant les faits les plus marquants. Pour rappel, le principe du panorama est élaboré uniquement sur des sources ouvertes.

Les « Attaques destructives » à l’affiche

Hervé Schauer revient sur WannaCry et NotPetya, les deux logiciels malfaisants non-ciblés qui ont fait l’actualité en 2017 par leurs destructions massives.

Pour les comprendre Hervé Schauer a fait un léger retour arrière.

"Petya sont une série de rançongiciels apparus depuis mars 2016, ils ont changé la donne en chiffrant bas-niveau contrairement à leur prédécesseurs qui chiffraient les documents."

"Egalement en 2016 durant l’été, un groupe de pirates dénommé Shadow Brokers annoncent avoir dérobé à l’Equation Group des outils d’attaque." Equation Group est le centre cyber-espionnage de haut-niveau de la NSA. "Le 13 août 2016 les Shadow Brokers mettent en téléchargement une liste d’outils de piratage, la plupart obsolètes, et mettent en vente les meilleurs outils pour un million de bitcoins."

Poursuivant l’historique "En 2017 apparait un nouveau rançongiciel PetWrap, une profonde amélioration faite à partir de Petya qui est commercialisée en mode "ransomware as a service" où le distributeur partage les bénéfices avec les auteurs." en notant "Le plus intéressant est que PetWrap utilise aussi un service RDP vulnérable pour se propager."

Puis en avril 2017 les Shadow Brokers diffusent une nouvelle série d’outils "qui auront une forte incidence sur l’avènement d’une nouvelle génération de rançongiciels, avec les outils exploitant les failles de sécurité sur le partage de fichier sur tous les Windows, permettant une exécution fiable de commandes à distance" explique Hervé Schauer.

Pour rappel Microsoft avait publié les correctifs de sécurité pour le partage de fichiers (SMB), mais il poursuit : "c’est là qu’est apparu WannaCry, un ver qui se propage grâce à l’exploitation de la faille sur SMB, appelée EternalBlue". WannaCry cherche notamment à se propager sur les adresses IP locales, Hervé Schauer rappelle "une fois qu’il est dans un réseau il va très vite, il fait peur, au point de se retrouver en plein week-end au journal de 20h du dimanche soir !". Dès le samedi l’ordre d’arrêt d’urgence (killswitch) a été activé fortuitement, et Hervé Schauer rappelle que "pas grand monde n’a de partage de fichier windows ouvert en direct sur internet donc les conséquences ne sont pas aussi importantes que la médiatisation le laissait entendre". Par contre, il se félicite de l’effet sur les professionnels : cellules de crises et déploiement des correctifs de sécurité plus rapide que jamais.

Il poursuit "Un mois et demi après le 27 juin nous avons NotPetya, introduit par un des deux logiciels de comptabilité ukrainien. NotPetya combine la stratégie de propagation de PetWrap, le chiffrement de la dernière version de Petya, plus deux codes d’exploitation issus du vol des Shadow Brokers à la NSA". Mais d’ajouter "Surprise, l’identifiant de la victime est aléatoire et la clé de chiffrement est supprimée à la fin de l’opération ! NotPetya n’est en fait pas un rançongiciel mais un "wiper", un destructeur, il est impossible de récupérer ses données en clair". Il en déduit que l’aspect rançongiciel ne servait qu’à brouiller les pistes.

Hervé Schauer conclut en rappelant que "NotPetya semble bien plus virulent que WannaCry mais au final il a fait moins de dégats car il était plus ciblé, les entreprises victimes ne l’ont été que via leur filiale ukrainienne".

Apple, Microsoft, Intel ... à la peine en 2017

Gérôme Billois a mis en avant les « attaques via des tierces parties ». En premier lieu, il a mentionné la vulnérabilité d’Apple qui permet de prendre la main en tant qu’administrateur de façon extrêmement simple sans mot de passe. Il a aussi ajouté la vulnérabilité qui permet en demandant l’indice (en cas d’oubli du mot de passe) d’obtenir le mot de passe en clair. Quand à Windows il n’a pas été en reste non plus. L’attaque Krack permettait, quant à elle, de s’insérer dans les communications et de les écouter en clair, sans compter bien sûr celle d’Intel qui permet de prendre le contrôle de la machine. Il a rappelé aussi les deux vulnérabilités Meltdown et Spectre qui concerne plusieurs milliards de processeurs et donc quasiment tous les ordinateurs du monde. Par contre, il note que les correctifs de sécurité ne sont pas toujours fiable de chez Microsoft, Apple ou encore Intel.

Il a souligné le piégeage des progiciels comme celui de Medoc ou encore C.Cleaner qui contenait un code malveillant et ciblait des entreprises. Les pirates sont arrivés à leur fin dans 18 organisations. Il y a eu aussi le cas de pirates qui ont ciblé des infogérants dans 15 pays. Ces tendances devraient se renforcer en 2018. Il va falloir pour cette année en plus surveiller les fournisseurs.

Gestion de crises et communications ne font pas bon ménage

Erwan Brouder présenté la gestion de crise et les erreurs de communications en mentionnant plusieurs exemples.

Il a cité le cas d’Equifax qui a commis plusieurs erreurs de communications : la première est que les utilisateurs ne savaient qu’Equifax avaient leur donnés, il utilisait des certificats auto signés, les clients ont été hameçonnés. Sans compter que les actionnaires ont revendus leurs actions avant l’annonce du piratage. Les conséquences ont été une perte de confiance qui a conduit à la démission du PDG.

Pour le cas Uber, 57millions de données ont été volées. Les premières erreurs consistent en la dissimulation de l’attaque, les mesures prises par l’entreprise ne sont pas claires. Il y a eu suite à cela une perte de confiance des clients et une perte de la capitalisation boursière de l’entreprise. Elle a subi une perte de l’image de marque qui a conduit au licenciement du PDG et de son adjoint.

Le Cloud toujours à la peine...

Michael Jacques a présenté les vecteurs d’attaque dans le Cloud. En 2017 de nombreuses organisations ont subi des attaques avec par exemple la NSA. L’équipe d’UpGuard a mis en avant l’exposition des serveurs suite à de mauvaises configurations. Quant à Uber ce qui est intéressant c’est que l’accès au GitHub a permis de récupérer 50 millions de compte.

Le cas de Deloitte, les pirates ont pris la main sur la messagerie car il y avait un manque de robustesse avec en particulier du fait de la gestion des comptes à privilège, les changements de passe.

...Et les IoT sous le feu des attaques

Franck Veysset a traité du sujet des IoT. En 2017, Mirai avait été évoqué, de même que les problèmes de sécurité sur les jouets ou encore ceux des voitures connectés. En 2017 cette tendance s’est poursuivi avec plusieurs vagues d’attaques. Certains ont utilisé des réseaux de botnets dont un a utilisé des 0 days en particulier sur les routeurs Huawei. IoTroop un réseau de botnet assez sophistiqué avec une architecture très élaborée.

Pour l’avenir, il a été demandé par certains hommes politiques de faire des mis à jour plus régulière, des mots de passe modifiables... mais cette demande de régulation est reste lettre morte aux États Unis comme en Europe. Franck Veysset a cité qu’en mars dernier la NSA a été mis en défaut car elle écoutait les communications. Chez certains fournisseurs de téléphone des services d’écoutes ont été mis en place pour vérifier le bon fonctionnement des téléphones portables... En outre, il a cité le cas de serrures de garages connectées qui suite à un bug dont un client s’était plaint, l’administrateur avait bloqué la serrure de son client mécontent. De plus, les bugs sur les serrures connectées de tout type se sont multipliés cette année avec des impact plus ou moins important comme chez Google, ou dans le domaine de l’automobile.

Les élections polluées par les pirates institutionnels

Loïc Guezo s’est penché sur les élections et le piratage. Aux Etats-Unis le rapport de la NSA montre clairement que la Russie a été impliquée dans la pollution des élections présidentielles par des rumeurs. Dans le cadre des élections de 2017, Tweeter a été mis en cause pour des problèmes de propagande non contrôlée. Pour le hacking d’Etat, la Russie a été directement impliqué tant aux Etats-Unis qu’en France. Le mouvement « En Marche » a directement visé par la Russie par du Spearphishing mais aussi par des opérations de rumeurs. À quelques heures de l’arrêt de la campagne un « Macroleaks » a été mis à jour.

En Allemagne, avant les élections, il y a eu beaucoup de crainte, mais en fait il ne s’est rien passé. Par contre, il a été mis à jour que le vote électronique est piratable. Pour le vote sur le Brexit, il semble que le cyber n’est pas eu de véritable influence. Enfin, selon les conclusions de différents experts, Wannacry aurait été lancé par la Corée et Notpety par la Russie.

Ransomware : payer n’st pas la bonne solution

Garance Mathias a abordé le sujet des ramsomwares vue par le droit. Elle a rappelé que l’article 323-3-1 du code pénal permet à la victime de se défendre. Sans compter le problème de perte de données à caractère personnel.

Pour l’extorsion de fond engendré plusieurs articles du code pénal sont concernés avec l’extorsion, le chantage, la remise de fond sous contrainte. Sans compter d’autre délits associés, comme le recel, le blanchiment d’argent...

La réponse face à ces attaques commence par le dépôt de plainte avec constitution de partie civile.

Luc Vignancourt a abordé le point de vue de l’assurance si on ne paie pas la rançon il y a plusieurs risques. L’assurance prendra en charge la plupart des dommages l’impacts sur les coûts de gestion de crises et la responsabilité civile.

Le Bitcoin source de pertes financières gigantesques

Gérôme Billois a présenté l’impact du Bitcoin. Son engouement a conduit à une explosion de l’intérêt des pirates. Ils ont visés les mineurs comme dans le cas de NiceHash qui a perdu près de 64 millions de $. Les plateformes d’échanges sont aussi touchées comme Zcoin qui a eu une pénalité de 600.000 $ de même avec la faille dans Parity qui a perdu 30 millions de $. Il note des attaques très simples comme pour COINDASH dont le site web a été piraté qui a perdu 7 millions de $ siphonnés. « Enigmatique » pour sa part a vu le compte du CIO piraté et a perdu ainsi 600 milles $. Enfin les utilisateurs ont vu leur portefeuille visé par les pirates. Ils ont créé un malware capable de voler les codes des utilisateurs et de détourner de l’argent. De plus, les utilisateurs ont aussi pu générer à leur insu des crypto monnaies par le détournement de leur puissance informatique.

Le 4 novembre 2017 à New York une personne qui se vantait de son portefeuille de cryptomonaie a été attaqué physiquement pour que les voleurs puissent entrer chez lui et lui voler son argent virtuel.

Quelques arrestations en 2017

Frédéric Fraises du Ministère de l’Intérieur a cité Alphabay un site du darkweb qui propose plus de 600 000 produits illicites. En Allemagne 2 administrateurs d’Alphabay ont été arrêtés puis le fondateur de ce site Alexandre Cazes a été aussi arrêté. Puis ce sont les fondateurs d’Hansa qui ont été arrêtés.

Pour Mirai qui avait compromis plus de 100.000 IoT a vu ces 3 créateurs arrêtés. Ils ont plaidé coupable. Le créateur d’Andromeda/Gamarue a été aussi arrêté le 5 décembre dernier.

Il a aussi cité le cas de Malware Tech qui après avoir stoppé Wannacry a été arrêté car il avait créé il y a plusieurs un malware bancaire nommé Kronos.

Pour Le phishing, des pirates ont détourné des comptes clients de CD Discount.

Quant à OxyMonster il a été arrêté aux Etats-Unis car il est soupçonné d’être un administrateur de DreamMarket.

En conclusion la police renforce sa coopération internationale.

Bien d’autres sujets auraient pu être traités...

Gérôme Billois a conclu ce panorama en rappelant que de nombreux autres sujets auraient pu être traités comme celui d3s système industriel avec la sortie de Triton qui visait des systèmes de sûreté de fonctionnement. Un autre sujet est le sujet du Hackback c’est à dire la légitime défense dans le cyber. Sans compter le WhatsAps, le darkweb...

Jérôme Notion le directeur général du GIP Acyma qui édite la plateforme www.cybermalveillance.gouv.fr dont les cibles sont les particuliers, les entreprises et les collectives qui ne sont pas des OIV. La plateforme proposée de l’assistance aux victimes, de la prévention et de la sensibilisation et la creati9n d’un observatoire de la menace numérique. La plateforme propose aussi une liste de prestataires références qui compte plus de 1400 entreprises.

Le GIP est regroupé en 3 collèges outre les membres de l’Etat, utilisateurs, prestataires et offreurs de solutions.




Voir les articles précédents

    

Voir les articles suivants