Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Panorama de la cybercriminalité du CLUSIF : l’industrie du malware ne connait pas la crise !

janvier 2017 par Marc Jacob

La nouvelle édition du panorama de la cybercriminalité réalisé par le CLUSIF a démontré une fois de plus l’ingéniosité des pirates. Cette année encore, ils ont fait feu de tout bois commettre leurs méfaits, de la blockchain au Smartphones en passant par le braquage organisé des banque, les objets connectés, sans compter bien sûr les ransomwares qui ont une fois de plus fait de nombreuses victimes tant au niveau des entreprises de toute taille que des particuliers. Au final, l’industrie des malwares est une affaire qui ne connait pas la crise !

Emmanuel Germain, le Directeur Adjoint de l’ANSSI

C’est Emmanuel Germain, le Directeur Adjoint de l’ANSSI qui a ouvert cette nouvelle édition du panorama de la cybercriminalité. En préambule, il a rappelé les missions de l’ANSSI. Selon lui, depuis cet été, il y a eu un doublement des incidents. On est ainsi, passé de 2 à 4 incidents avérés par semaine. Cette tendance devrait se poursuivre. Il a insisté sur l’importance des dépôts de plaintes y compris par les particuliers. Toutefois, il considère qu’il y a tout de même des solutions à ces attaques. En effet, 80% d’entre elles peuvent être réglées par le respect des bonnes règles de conduite préconisé par l’ANSSI, avec entre autre une plus grande rigueur dans la gestion des réseaux. Il a rappelé que des solutions techniques sont disponibles sur le marché dont certaines bénéficient d’un label de confiance. Au final, il a lancé un message plutôt optimiste tout en étant conscient du travail à effectuer.

L’équipe du panorama 2017

Blockchain : une technologie vraiment inviolable ?

Gérôme Billois et Garance Mathias ont fait un point sur la sécurité de la blockchain. En guise d’introduction Gérome Billois a rappelé que c’est une technologie de stockage et de traitements des données décentralisées sans aucune autorité de contrôle. Elle repose sur des principes d’inviolabilité car une fois inscrite dans la base on ne peut pas la modifier. Cependant, elle a montré ses faiblesses par exemple avec l’attaque 51 qui a fait la démonstration de l’existence de défauts de conception. En fait, la blockchain est vulnérable par le biais de son écosystème, les clés privées étant stockées sur des ordinateurs.... En outre, il a cité l’attaque sur Bitfinex qui a été piraté par une attaque sur les API pour échanger des informations de sécurité. Bitfinex a perdu 70 millions de $. Cette perte a été répartie entre tous les clients. Gérome Billois a décrit l’attaque 51%. Elle arrive lorsqu’un attaquant détient la majorité de la puissance de calcul des membres du réseau. Un groupe s’est même spécialisé dans cette attaque : Krypton. Pour effectuer leur attaque, les pirates louent des ressources de façon à être plus important que la puissance de calcul de la blockchain licite.

Enfin, il a analysé les vulnérabilités du fait d’erreur de programmation. Il a cité le cas de DAO, un système d’investissement participatif. Un Bug sur les technologies Ethereum utilisées par DAO permettait de mener des actions de façon récursive. Cette vulnérabilité a été utilisée pour détourner plus de 50 millions de $. De ce fait, plusieurs scénarios se sont posés aux concepteurs de DAO : ne rien faire, faire un Hard Fork ou encore un Soft Fork pour bloquer les fonds. C’est au final le Hard Fork qui a été choisi car il a permis de revenir en arrière et rétablir la position antérieure. Au final cette technologie est très controversée pour différente raison.

Garance Mathias a montré que la blockchain pose un certain nombre de questions juridiques. Déjà le « smart contract », n’est pas un contrat au sens juridique. Ceci implique de rechercher les responsabilités, les garanties, les preuves... En fait, quelle confiance peut-on avoir dans cette technologie. Au niveau juridique, la blockchain s’apparente aux « minibons » dont la réglementation a été créée par une ordonnance du 28 avril 2016. En Europe, il n’existe pas de réglementation de même qu’aux États-Unis. On attend de voir les usages pour réguler le secteur.

Attaque sur les objets connectés encore des proof of concept

Hervé Schauer et Fabien Cozic d’Arca Conseil ont traité de la sécurité des objets connectés. Selon, Hervé Schauer, il y a encore pas ou peu d’attaques sur ces objets. Par contre, on trouve de plus en plus de proof of concept. 72% des vols de voitures sont réalisés par des « mouse jacking ». Ce type d’attaque survient du fait de la faiblesse des système d’ouverture électronique des voitures. Le problème est que ce type de vol n’est pas prise en compte par les assurances car il n’y a pas d’effraction. Hervé Schauer a, en outre, mentionné les interceptions de codes télécoms qui eux aussi ne sont pas suffisamment sécurisé. Sans compter la mauvaise sécurisation des TGU des véhicules accessibles par internet. Sur la Nissan Leaf, par exemple, avec le numéro du véhicule gravé sur le pare-brise, on peut se connecter au SI de ce dernier et récupérer toutes les informations sur les trajets effectués... quant au Tesla SI les failles de 2015 ont été corrigées, des injections de code sont possible via de faux points d’accès Wifi qui permettent de prendre le contrôle de la voiture. Dans la Jeep Cherokee une nouvelle attaque en locale est possible pour prendre le contrôle de la voiture avec par exemple une désactivation complète du freinage.

Par ailleurs, en 2016 des cas de prise de contrôle de drone militaire dont le code est WEP ont été effectués. Quant aux caméras sur IP, elles ont servi à constituer des réseau de botnets. Ainsi, par exemple, 25.000 caméras ont constitué un bot en 2016.

Il a été démontré par des chercheurs de nombreuses faiblesses dans les objets connectés. Dans ce florilège, il faut mentionner les ampoules « intelligentes » qui peuvent permettre par leur contrôle d’exfiltrer des données, de générer un black-out... pour les jouets, comme il n’y a pas d’authentification il est possible par exemple à des tiers de parler aux enfants.... les bracelets connectés posent des problèmes de diffusion d’information dans le Cloud hors de l’Europe. Les interphones aussi peuvent être piratés de même que les vibromasseurs, les téléviseurs, les pigeons qui ont des capteurs de pollution…

Fabien Cozic pour sa part à présenter plus particulièrement les DDOS avec l’attaque sur Krebs avec 655 Gbit/s/s, d’OVH 1, 1 Tbit/s/s et enfin l’attaque sur l’hébergeur DYN DNS qui a été le sujet d’une attaques de 1.2 Tbit/s/s. En fait, cet hébergeur avait pour clients Amazon, Netflix, Twitter, PayPal, Spotify... qui de fait ont vu leur site respectif tombé suite à cette attaque. Les attaquants n’ont pas été trouvés. Plusieurs hypothèses court encore sur les motifs de cette attaque parmi lesquels celle d’un joueur de PlayStation déçu qui aurait loué le botnet MIRAI, un malware open source apparu en septembre 2016. Il se sert de caméras IP mal protégées et de routeurs domestiques. Ce botnet est capable de by passer les firewalls car les adresses IP des caméras sont valides. Ce même botnet aurait coupé la quasi-totalité de l’Internet du Liberia.

Pour Fabien Cozic, il semblerait que des pirates essaieraient de tester les vulnérabilités d’un Etat...

Les élections américaines perturbées par les pirates

Loïc Guezo a traité de la cyber-diplomatie. Cette année les élections américaine ont généré plusieurs attaques dès le mois de juin avec BEARS et Guccifer. En juillet Weakileaks a publié 20.000 mails. En août, des données personnelles sont publiées. En septembre Vladimir Poutine déclare ne rien avoir à faire avec ces piratages. Pour arriver fin décembre à l’expulsion de 35 diplomates russes. On a senti le vent d’une nouvelle guerre froide planer entre les Etats-Unis et la Russie.

WikiLeaks a en outre publié les 60.000 courriels de John Podesta directeur de la campagne d’Hilary Clinton. Généralement toutes ces attaques ont commencées par une campagne de phishing. Il semblerait que cette attaque ait été due à une erreur d’un administrateur qui a laissé passer un mail comme légitime. Dans cette affaire, la Maison Blanche a réagi faiblement à cette attaque.

Toujours concernant les élections américaines, il semble que l’autorité de certification des machines électronique à voter aient été piratées. Par ailleurs, un certain nombre de machines à voter auraient été piratées.

Enfin, Loïc Guezo pointe la cyber dissémination des attaques avec même des proposition d’achat d’outil d’attaques américains par un groupe a des pirates chinois et russes.... En France, le ministre de La Défense a annoncé le renforcement de la stratégie de cybersécurité. Par ailleurs, des attaques sur les infrastructures critiques de l’Arabie Saoudite auraient été menées. Enfin, il a rappelé que l’Allemagne a dénoncé des attaques de la Russie durant la dernière campagne électorale. De ce fait, l’ANSSI a sensibilisé les responsables des partis politiques contre les risque de cyberattaques.

La communauté underground en pleine expansion

Adrien Petit a mis l’accent sur les nouvelles pratiques de la cybercommunauté underground. Les principales communautés se trouvent en Amérique du nord, En France, au Brésil, en Allemagne, en Russie et en Chine. Chacune de ces communautés s’est spécialisée. Ainsi, les russes, les allemands et les chinois proposent des malwares plus ou moins évolués. Les Brésiliens se sont spécialisés dans la finance. Les américains sont plutôt liés au banditisme classique : drogues, faux médicaments, armes.... En France retrouve les mêmes types de spécialité qu’aux États Unis.

Dans l’underground, on trouve des marchés ou des forums restrictifs où il faut faire ses preuves ou payer un droit d’entrée pour y accéder. Ces forums permettent d’échanger des informations, trouver des outils... il a décrit le système Escrow qui est un intermédiaire de transactions.

Pour la communauté francophone, la confiance s’est affaiblie suite à l’Exit Scam (le vol de l’argent de la plateforme) d’un des principaux acteurs. Ainsi, pour revenir à une certaine confiance dans ces plateformes underground un renforcement des conditions d’inscription a été effectué. De plus, des espaces privés ont été créés. La communauté francophone est en pleine mutation avec de plus en plus de malwares francophones. Il remarque une confirmation de la suprématie de la plateforme d’Aphabay. En outre, il note l’introduction de la cryptomonnaie Monero. Il affirme qu’il y a une interconnexion ente toutes les plateformes underground.

Attaques sur les Smartphones en pleines croissance

Puis, Adrien Petit a abordé le problème des malwares pour les smartphones avec une accentuation des menaces. Parmi les principaux malwares il note les premiers ransomwares pour Android. Par contre, il y en a peu sur Apple. Cette tendance s’explique par les parts de marché plus faible pour Apple, mais aussi par les contrôles des applications sur l’AppStore.

Il a cité entre autre Mazar qui fonctionne sur Android. Ce malware crée en 2014, s’est sans cesse adapté aux mises à jour de l’OS. En outre, il a à améliorer ces actions malfaisantes pour être toujours plus performants. Les pirates font en plus des malwares sur mesure afin d’étendre leur business modèle. Là encore les attaques se diffusent soit via un lien, soit par de vraies fausses applications.

Frédéric Fraisse a décrit Viking Horde une application de jeu qui génère de la fraude, mais aussi peut injecter sa victime dans un botnet pour faire du DDoS. Si le smartphone est mode super utilisateur, il permet de compromette des sites web, pour extraire des données, de s’intégrer dans un réseau de botnet pour générer du DDoS, du Spam... il peut se connecter sur le réseau wifi de la Maison pour effectuer ce même types d’attaques. Les criminels ciblent un public peu ou pas sensibilisés par exemple les jeunes enfants, les adolescents. Ils jouent sur les champs émotionnels qui réduisent les comportements méfiants. Il a donné des indices de compromission :

-  Si le mode super utilisateur est activé,
-  Si les droits des applications incitent par exemple à activer le mode super utilisateur,
-  Si il y a une consommation anormale de la batterie.

Sur IOS il faut tout de même vérifier les niveaux de droits, regarder les avis sur l’AppStore....

En fait, il a conclu sur le fait que les pirates utilisent toujours l’humain pour réaliser leurs méfaits.

Le braquage de banque virtuel en pleine explosion

Gérôme Billois a présenté les attaques sur les banques qui se sont accru cette année. Les criminels ont ciblés cette année à la fois le grand public, les professionnels, les DAB, les TPE. En 2016, on a vu l’émergence des Insert Skimmer pour les DAB. Le criminel insert dans la fente ou l’on insère la carte bancaire une surcouche associée à une caméra. Il a cité l’attaque de la banque en ligne Tesco qui s’est fait dérobé 2,5millions de £....

Les cybercriminels s’introduisent au fond du SI pour modifier les montants des comptes en banques comme au Mali. Au Qatar une banque s’est volée 1.4 Go de données, en Afrique du Sud de fausses cartes bancaires ont été créés pour faire des retraits au Japon. Enfin, au Bangladesh l’arnaque de la Bank Of Bangladesh a permis e voler 81 militons de dollars. Dans ce cas, les pirates ont débuté leur attaque en mai 2015 et s’est terminé en février 2016. Ils ont choisi un jour férié dans ce pays. La fraude a été en fait découverte par hasard. Cette attaque a induit la démission du président de la banque. Il signale que le réseau de la banque avait un niveau de sécurité faible. Les pirates ont entre autre utilisé un malware spécifiquement crée pour rendre inefficace les logiciels antifraudes. D’autres banques dans le monde aurait été visées comme en Équateur, aux Etats-Unis... cela a conduit à un renforcement de la législation bancaire qui s’apparente à la LPM en France.

Le ransomware une affaire en pleine croissance

Le Colonel Eric Freyssinet a pour sa part présenté les rançongiciels. Il note une explosion de ces logiciels entre 2015 et 2016. Ces menaces surviennent surtout par les emails associés à une pièce jointe ou un lien. Selon les enquêtes, il semble que plus de la moitié des victimes paient la rançon soit selon le FBI près d’un milliard de dollars. Dans les entreprises, plus de 70% paient la rançon. Il a cité plusieurs de ces logiciels comme Petya, KeRanger pour IOS... les téléviseurs aussi ont subi ce type d’attaques comme avec Flocker. Popcorn Time a une démarche original en proposant à la cible d’infecter deux amis... un autre demandait de lire deux articles sur la sécurité pour obtenir la clé... et en 2017 les ransomwares continuent leurs actions avec des cibles plus variées.

Il a mis en avant la nécessité d’avoir des outils de déchiffrement, des sauvegardes, de sensibiliser les utilisateurs... et surtout de ne pas payer ! Il prédit une intensification des ransomwares et des attaques sur les objets connectés personnels et industriels.




Voir les articles précédents

    

Voir les articles suivants