Pour poser la problématique, David Bizeul, Responsable du CERT de La Société Générale, a, dans un premier temps, mis en exergue les menaces et types d’incidents liés à la cybercriminalité, vécue en interne par ses équipes dédiées. L’activité du CERT s’articule autour de trois axes : les incidents, la veille des vulnérabilités et la veille technologique.
Il distingue trois types d’incidents dans le monde bancaire : les incidents IT, les incidents liés à la protection des données, la cybercriminalité, qu’il définit comme la fraude mettant à profit l’usage d’Internet. En théorie, les entreprises pensent être protégées contre ces menaces car elles ont mis en œuvre une politique de sécurité, mais dans la pratique, c’est loin d’être le cas. Une bonne gestion des incidents de sécurité est la résultante de trois facteurs : une politique de sécurité (permet de détecter les incidents et de les remonter aux équipes dédiées), un bon outillage (assure le traitement des incidents) et l’implication des acteurs (à travers une communication adaptée des informations).

Selon lui, les incidents de sécurité IT sont le plus souvent liés à une application laxiste des politiques de sécurité, une mauvaise anticipation des menaces, une défaillance dans le processus de gestion de crise ou encore à une intégration insuffisante de la sécurité dans les projets et réflexions. En cas d’attaque virale, il convient de se poser les questions suivantes : les correctifs sont-ils vraiment bien installés ? Connaissez-vous tous les vecteurs de propagation ? Etes-vous capables de mettre en pratique votre plan de gestion de crise ? Les acteurs connaissent-ils les règles de sécurité ? Les principales attaques observées sont les intrusions, les malwares et virus, le défacement ou encore le déni de service.

Pour ce qui est des incidents de sécurité de l’information via Internet, le risque s’opère le plus souvent via les réseaux sociaux, les Webmails, ou encore la gestion documentaire Internet. Les cas d’usurpation d’identité, de fuite d’informations, d’intelligence économique et de racket sont les plus fréquents. La détection pourra, entre autres, être facilitée par des outils de surveillance Internet, une sensibilisation des utilisateurs. En ce qui concerne les incidents liés à la cybercriminalité, il relève, enfin, trois principaux types de cas : les escroqueries (phishing, scam, fausse banque), les malwares et keyloggers, et le vol de trafic.

Les hébergeurs Bulletproof, par Gabriel Campana et Alexandre Gazet (équipe R&D de Sogeti)

Les hébergeurs bulletproof offrent des services d’hébergement classique, tout en garantissant à leurs clients l’anonymat et la qualité de service. Les services sont généralement destinés à des activités criminelles : stockage de code malicieux, serveurs d’upload de données volées, serveurs de commande (C&C) de botnets, campagnes de spam, … Un hébergeur Bulletproof exerce donc des activités illégales avec la particularité de ne pas prendre en compte les plaintes qui lui ont été adressés. Deux catégories se distinguent : les hébergeurs passifs (a priori classique, qui reste passif envers les plaintes) et actifs (le service est explicite et coûte plus cher car c’est un service à valeur ajoutée). Les pays où sont localisés les hébergeurs sont extrêmement variés, et pas comme on pourrait le penser uniquement en Chine ou en Russie.
Parmi les plus célèbres, on retiendra l’hébergeur russe RBN (Russian Business Network), un fournisseur de services criminels qui a été actif pendant 3 ans, et McColo, un hébergeur de serveurs et de botnets qui serait responsable de 50 à 70% du spam envoyé dans le monde. Suite à de nombreuses plaintes, McColo a fermé en novembre dernier. Le spam a, de ce fait, sensiblement diminué, avant de trouver de nouvelles voies de propagation...

Gabriel Campana et Alexandre Gazet ont choisi de détailler l’offre de l’hébergeur Nano, sis en Lettonie à Riga. Géré par Jefim Gasel, alias « treck », cet hébergeur propose des services d’apparence classique avec des prix relativement bas. Afin de bien référencer ces domaines, les opérateurs de Nano ont recours à des techniques de « black SEO » (Search Engine Optimization). Il s’agit de techniques d’exploitation abusive des biais des moteurs de recherche, permettant un référencement optimal et un trafic plus important. Différentes techniques de Black SEO existent :
– le cloacking : le contenu présenté au moteur de recherche et à l’utilisateur est différent,
– le link farm : de multiples sites ou pages se référencent mutuellement,
– le keyword stuffing : une page est truffée de mots clé qui seront ainsi bien référencés.

Ils ont pu trouver sur Nano un certain nombre de faux blogs menant vers des sites illégaux de vente de médicaments, ou encore de faux sites imitant l’interface de Youtube et destinés à la distribution de malwares. En conclusion, ils en retiennent que l’activité de Nano est très structurée, en grande partie automatisée et génératrice de revenus. C’est une activité flexible et volatile. Nano n’offre pas vraiment de Black SEO, mais reste passif quant au contenu hébergé.

Damien Aumaitre, Christophe Devaux et Julien Lenoir (équipe R&D de Sogeti) ont, quant à eux, choisi d’analyser le botnet Sality.

Certains virus sont développés avec des techniques industrielles et s’organisent en réseaux de machines infectées : les botnets. Un botnet peut être défini comme un ensemble de machines compromises à l’insu de l’utilisateur, et contrôlées par un ou plusieurs serveurs qu’on appelle serveur CC (« Command and Control »). Contrôlables à distance, les botnets permettent de réaliser du spam, du déni de service, de la fraude aux clics, du blackhat SEO, ou encore voler des informations personnelles. Les botnets ont une surface mouvante. Il est donc très difficile de retrouver le serveur de contrôle.

En pratique, une machine devient compromise suite à une infection par un malware. Une fois installé sur le système d’exploitation, le malware va récupérer un lanceur qui va lui-même récupérer un malware qui transforme alors la machine en « zombie », prête à recevoir des ordres du serveur CC. Sality, le malware analysé, se compose de quatre éléments :
– Psyche, le spammeur : son rôle est d’envoyer le spam (10 Go de logs d’email sur le serveur en 5 jours, soit 2.800.000 spams par heure pendant 5 jours),
– Putmuk, le voleur de comptes ftp, il déchiffre les mots de passe stockés par des clients ftp,
– Banker : son rôle est de récupérer des informations bancaires
– FakeAlert : fournisseur de scareware dont l’objectif est de faire acheter à l’utilisateur un faux anti-virus.

En conclusion de leur analyse, ils ont pu remonter jusqu’aux propriétaires du botnet. Les compétences techniques apparaissent limitées puisqu’ils recrutent des développeurs sur le Russian Software Developer Network. Ils ont plus un profil de manager. De plus, le contact avec eux est facile, puisqu’ils ne se cachent même pas. Quant au bilan comptable de la mise en place de ce botnet, le résultat est positif : les coûts (développement des malwares, accès aux distributeurs de malwares, location de serveurs) sont inférieurs aux sources de profits (vente de spam, de données personnelles, de faux anti-virus). C’est une activité très rentable et pas suffisamment dangereuse pour que les gens s’y intéressent.