Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CLUSIF : panorama de la cybercriminalité 2010

janvier 2011 par Emmanuelle Lamandé

Comme à son habitude, le CLUSIF dresse au mois de janvier un panorama des principales tendances cybercriminelles de l’année écoulée. Au programme 2010 : une montée en puissance de l’hacktivisme, un exemple concret de cyberattaque industrielle, ou encore des logiciels malveillants de plus en plus "mobiles", …

Stuxnet ou cyberattaque industrielle : de la théorie à la pratique

En juin 2010, un éditeur anti-virus biélorusse découvre une nouvelle menace, du nom de Stuxnet. Pour Jean-Michel Doan, Analyste Cybercriminalité – LEXSI, cette menace, qui semble ne cibler que les infrastructures industrielles Siemens, se distingue par un mode de propagation assez particulier, principalement en local (via des périphériques de stockage amovibles, des dossiers partagés ou imprimantes partagées). L’objectif de Stuxnet est de modifier le comportement d’un processus industriel donné, celui des contrôleurs Siemens Simatic S7-315 ou S7-417. Il s’agit donc d’une opération de sabotage ciblée, qui opère avec grande discrétion… sans compter, bien sûr, sur l’effet boule de neige médiatique, cette menace ayant défrayé la chronique en 2010. C’était la première fois qu’une cyberattaque industrielle était rendue publique. De nombreuses pistes et hypothèses ont d’ailleurs été envisagées, toutefois sans jamais vraiment faire éclater la vérité sur cette menace insidieuse. Nous ne savons d’ailleurs toujours pas, à l’heure actuelle, si l’objectif de Stuxnet a été atteint, la cible pouvant être différente ou multiple. De plus, Stuxnet sera probablement ré-exploité ; reste à savoir par qui et contre qui… Cette menace pose une nouvelle fois la problématique de sécurité des systèmes SCADA. Une sécurité rendue de plus en plus difficile, ces systèmes étant de plus en plus connectés vers l’extérieur.

Montée en puissance de l’hacktivisme

2010 aura été marquée par une montée en puissance de l’hacktivisme qui s’organise, comme ce fut le cas pour la cybercriminalité il y a quelques années, explique François Paget, Chercheur de menaces chez McAfee Labs. Savant mélange de hacking et d’activisme, l’hacktivisme a vu le jour en 1996. Toutefois, il aura fallu attendre 2007 et les actions successives en Estonie et en Géorgie pour que la prise de conscience soit belle et bien réelle. Ces types d’actions se sont multipliés en 2010, avec au minimum un cas recensé chaque mois. En la matière, l’année 2010 s’est d’ailleurs terminée sur les chapeaux de roue avec l’affaire Wikileaks et ses défenseurs, le groupe « Anonymous ». Ce dernier prône la liberté d’expression absolue, le culte de l’anonymat, et agit contre la censure du Net. Un certain nombre d’actions ont d’ailleurs été menées au mois de décembre dernier contre les opposants de Wikileaks. Dans cette histoire, la frontière entre hacktivisme et cybercriminalité reste floue. Pour François Paget, nous sommes aujourd’hui devant un phénomène majeur, sous certains aspects dangereux, qui risque de s’amplifier dans les prochaines années.

2010 : l’année du logiciel malveillant pour mobile ?

Pour le Lieutenant-colonel Eric Freyssinet, Chef de la division de lutte contre la cybercriminalité - Gendarmerie nationale, Service technique de recherches judiciaires et de documentation, 2010 aura été une année charnière en matière de sécurité mobile. Les mobiles sont aujourd’hui beaucoup plus puissants, connectés et surtout de plus en plus indiscrets. Quantités de données transitent sur ces appareils, savant mélange d’ordinateurs et de téléphones, qui servent d’ailleurs plus à naviguer qu’à téléphoner ! Le partage et la diffusion d’informations personnelles, via ces « ordiphones », sont aujourd’hui des problématiques majeures. Les mobiles représentent un nouvel univers de risques à prendre en compte.

Les protocoles de communication GSM avaient déjà été mis à mal lors du Chaos Communication Congress de 2009. Rebelote en 2010 ! Cette année, Karsten Nohl et Sylvain Munaut ont démontré, à l’aide de quelques téléphones standards, la capture et le décryptage quasiment en temps réel d’une conversation téléphonique entre eux deux. Cette démonstration pose une nouvelle fois la problématique du niveau de sécurité proposé par les différents opérateurs.

Sur les téléphones eux-mêmes, plusieurs vulnérabilités Android ont été observées en 2010. Celles-ci sont souvent liées aux failles linux, et mettent en exergue la problématique des mises à jour de sécurité par les fabricants de téléphone.

De manière générale, on observe une croissance exponentielle du nombre d’attaques sur mobiles. On a également vu apparaître, en juin 2010, les botnets sur mobile. John Oberheide a, en effet, montré qu’on pouvait créer un botnet à base d’android. Toutefois, toutes les plateformes sont concernées. Côté sécurité, le marché s’est également fortement développé, puisque chaque éditeur d’AV propose aujourd’hui une offre mobile. En 2011, de plus en plus anti-virus seront d’ailleurs installés sur les téléphones mobiles.

Une année sans précédent en matière de coordination de la lutte contre les botnets

Comme le rappelle Pierre Caron, Expert Sécurité chez Orange Labs, Networks and Carriers, les botnets sont principalement utilisés pour envoyer du spam, réaliser des DDoS, générer des liens publicitaires, capter de l’information ou encore dissimuler l’adresse d’un site frauduleux. Parmi les botnets qui ont marqué l’année 2010, on retiendra Bredolab, Mariposa, Conficker, mais aussi les botnets bancaires qui ont le vent en poupe. Sur l’année, 77% du spam mondial provient d’ailleurs de botnets. Toutefois, 2010 aura également été une année sans précédent en matière de coordination de la lutte contre les botnets. On se souviendra, en effet, de la décapitation du botnet Mariposa en mars 2010, suite à l’action conjointe de la Garde civile espagnole, de Panda Security et de Defence Intelligence. Mais aussi de celle de Bredolab le 25 octobre 2010, grâce à la collaboration du Dutch National Crime Squad, de Fox-IT et du CERT gouvernemental néerlandais. Concernant les botnets Zeus, la fermeture des portes de l’opérateur kazakh TROYAK, au mois de mars dernier, a entrainé dans sa chute la moitié des serveurs de contrôle de Zeus recensés. Toutefois, les cybercriminels ont réagi très vite à cette annonce, en proposant une offre de formation en ligne pour maîtriser Zeus. Au mois d’octobre, 116 personnes exploitant Zeus ont été arrêtées au Royaume-Uni, aux Etats-Unis et en Ukraine. Néanmoins, la condamnation de Victor Pleshchuk, cerveau du gang, est loin d’être probante ou décourageante de ce type d’actes cybercriminels, puisque ce dernier évite la case « prison » et n’est condamné qu’à 4 ans de probation par la justice russe.

Le volume de spams a globalement diminué sur l’année 2010, notamment au dernier trimestre ; une baisse accentuée par la fermeture du programme d’affiliation Spamit en octobre dernier. De plus, de nouvelles initiatives allant dans ce sens voient le jour. Aux Pays-Bas par exemple, 14 fournisseurs d’accès (soit 98% du marché de l’accès à Internet grand public du pays) ont mis en place un système de détection et de mise en quarantaine des abonnés infectés. Depuis, ce type d’initiative se répand dans d’autres pays, comme en Allemagne qui a lancé au mois de septembre un programme de notification des infections aux abonnés à Internet.

Jeux d’argent en ligne : peu de cybercriminalité à prévoir en France

Les jeux d’argent en ligne sont bien connus à l’étranger pour attirer les arnaques en tous genres : usurpation d’identité, de site, trucage des probabilités, faux intermédiaires, monnaie virtuelle, … Pour éviter de tels écueils, l’ouverture officielle des jeux en ligne en France courant 2010 a été placée sous la vigilance de l’ARJEL. Cette Autorité de Régulation des Jeux en Ligne assure la protection des consommateurs et des populations vulnérables. Comme nous l’explique Hervé Schauer, Consultant - Hervé Schauer Consultants, elle impose la mise en œuvre de mesures de sécurité strictes, allant de l’audit de sécurité jusqu’à la mise en place d’un coffre fort électronique, ce qui rend la cybercriminalité très difficile en France. Pour ces raisons, peu de cybercriminalité reste à prévoir sur notre territoire.

2011 : le début de la cohabitation IPv4/IPv6

2011 devrait, en principe, arriver au bout des adresses IPv4 disponibles. Même si cela fait près de 17 ans qu’on nous promet IPv6, 2011 devrait certainement marquer le début de la cohabitation entre les deux protocoles. Toutefois, pour Hervé Schauer, des difficultés sont à prévoir en fin d’année, car autant les infrastructures sont généralement prêtes pour IPv6 (moteur, système d’exploitation, …), autant peu d’applications le sont à ce jour. De plus, beaucoup de gens vont se retrouver en IPv6 alors que leurs outils de sécurité sont en IPv4, ce qui pose de réelles problématiques de sécurité. En IPv6, tout est ouvert. Ainsi, des ponts qui ne sont plus exploités depuis des années vont se retrouver ouverts. En outre, les pare-feux des PME-PMI ne protégeront pas toujours en IPv6. A l’heure actuelle, IPv6 est principalement maîtrisé par les cybercriminels. Des attaques sont donc à prévoir…


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants