Search
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CLUSIF : panorama de la cybercriminalité 2011

janvier 2012 par Emmanuelle Lamandé

2011 s’est avérée une année particulièrement riche en activités cybercriminelles : l’industrialisation des attaques se poursuit, l’hacktivisme monte en puissance, les malwares ont envahi la sphère mobile… Les pirates s’en prennent toujours massivement à ce que nous avons de plus sensible : données personnelles, bancaires, infrastructures vitales, équipements médicaux, systèmes militaires… Ils ont, de plus, compris que le chemin le plus court pour faire grand bruit était d’atteindre notre système de confiance en plein cœur, en ciblant directement les fournisseurs de solutions de sécurité et les autorités de certification.

2011 a été particulièrement riche en attaques et exploitations de failles de sécurité, constate Olivier Caleff, Responsable du CERT-Devoteam : Epsilon, Bercy, Sony, ou encore Areva… en ont fait les frais. L’année a également été marquée par la mise en péril de fondamentaux : RSA et Comodo en mars, DigiNotar en août, et KPN en novembre.

Mobilité : les menaces se précisent

2011 a, en outre, vu l’arrivée des malwares sur mobiles. Partie d’Asie, cette tendance devrait peu à peu s’étendre. On se souviendra cette année de GGTracker, qui abonne les utilisateurs à leur insu à un service de SMS surtaxés, et d’Android.Arspam, un virus propagandiste. L’outil de DDoS LOIC a également fait son entrée dans la sphère mobile, sur Android.
Les OS mobiles sont toujours aussi vulnérables, souligne Pierre Caron, Expert Sécurité chez Orange. Les failles d’Android sont multiples et permettent notamment de dérober des identifiants, d’installer des applications sans autorisation, d’accéder à la caméra… en gros de prendre le contrôle du smartphone. Toutefois, iOS n’est pas en reste : l’outil « sslsniff » a, par exemple, mis en exergue une importante vulnérabilité dans l’implémentation du SSL… Malgré ces vulnérabilités, aucun malware mobile ne se propage, à ce jour, par exploitation de faille OS.

En novembre 2011, le chercheur américain Trevor Eckart découvre sur son téléphone Android un « mouchard » du nom de Carrier IQ. Comme l’explique Pierre Caron, Carrier IQ est un « rootkit » pré-installé sur près de 150 millions de téléphones aux USA, de différentes marques (Apple, AT&T, Samsung, HTC, T-Mobile, Motorola, Sprint), sans le consentement préalable de l’utilisateur. Tel un outil d’espionnage, Carrier IQ enregistre les numéros de téléphones (SMS/voix), les frappes sur le clavier numérique, les URLs visitées… Autant dire que cette découverte a créé la polémique et continuera certainement à faire parler dans les mois à venir…

Après le GSM, c’est désormais le GPRS qui est pointé du doigt du côté des télécommunications, souligne Pierre Caron. Célèbre pour ses nombreuses démonstrations, Karsten Nohl a mis en exergue cette année les faiblesses du GPRS. Parmi les principaux écueils : la quasi-absence de chiffrement des données transitant sur ces réseaux. Beaucoup d’opérateurs utilisent, en effet, un chiffrement faible ; certains ne chiffrent même pas du tout.
HTC avait d’ores et déjà mis à mal la femtocell de Vodafone en 2009. Cette année, ce sont les femtocells de SFR qui se sont retrouvées au cœur des démonstrations d’attaques lors de la Black Hat Conference. Parmi les principales menaces de ce type d’attaque, on retrouve l’écoute passive des conversations et SMS ou encore l’usurpation d’identité.

Le trafic de cartes bancaires s’intensifie

2011 aura été un mauvais cru en termes de fuites d’informations, constate Pierre Caron. Après une accalmie, la tendance est repartie cette année à la hausse. Parmi les données les plus convoitées, on retrouve bien évidemment les informations bancaires.

Concernant la fraude bancaire, le skimming n’a pas en soit foncièrement évolué cette année, si ce n’est dans le perfectionnement des outils qui se veulent de plus en plus discrets. On retrouve aujourd’hui des kits de skimming créés par imprimante 3D, d’une haute qualité de fabrication et difficilement décelables.

Par contre, le trafic de cartes bancaires s’accélère sur Internet. La vente en ligne de cartes bancaires augmente et s’industrialise. Elle ne nécessite plus aujourd’hui de prise de contact préalable. Les cartes bancaires volées se retrouvent directement sur des boutiques en ligne. On est face à une cybercriminalité de masse. La France n’est pas épargnée par ce phénomène.

Toutefois, la lutte contre la fraude s’intensifie aussi. On se souviendra en 2011 de la décapitation des botnets Coreflood et Kelihos. Le malware à l’origine de Coreflood était un cheval de Troie bancaire, qui enregistrait les frappes et communications, volait les mots de passe, noms d’utilisateurs et autres informations financières. La lutte contre le trafic de cartes bancaires aura également été marquée par plusieurs arrestations notables. En Octobre par exemple, l’« opération Swiper » a permis l’inculpation de 111 personnes, responsables d’un préjudice estimé à 13 millions de dollars sur une période de 16 mois. Ce gang, à l’origine de cybercriminels, diversifiait au fil de l’eau ses activités : vol d’identité, de cartes bancaires, cambriolages, escroqueries, braquages…

Confiance sur Internet : les autorités de certification au cœur de la tourmente

L’année 2011 aura été marquée par la compromission de plusieurs autorités de certification. Comme l’explique Gérôme Billois, Manager Sécurité & Risk Management chez Solucom, ces structures dont la sécurité se doit d’être irréprochable, afin d’éviter la fabrication de faux certificats, ont montré leurs limites en 2011. Ainsi, ce sont successivement Comodo, en mars 2011, et DigiNotar, en août 2011, qui ont été mis à mal.

Si l’on prend le cas de DigiNotar, les premières attaques remontent au mois de juin et la fabrication des premiers faux certificats au 10 juillet dernier. Il faudra, cependant, attendre le 22 juillet pour que DigiNotar ne détecte une attaque, qu’elle gardera, de plus, sous silence, sans avertir les autorités. La découverte publique ne se fera qu’un mois plus tard, le 27 août. Pendant ce temps, ce ne sont pas moins de 531 faux certificats qui ont été fabriqués. Un scénario qui s’est avéré lourd de conséquences, avec un risque élevé de compromission de nombreux télé-services, une obligation de révocation des certificats et une utilisation des services numériques déconseillée aux Pays-Bas… Cette série d’attaques, associée au manque de réactivité de DigiNotar, aura causé la perte de l’autorité de certification qui a déposé le bilan le 20 septembre. L’auteur de cette attaque, Comodohacker, dit avoir agi pour des raisons politiques, au service de son pays, l’Iran. Son objectif était de permettre l’écoute des communications.

Mais au-delà de DigiNotar ou Comodo, c’est tout le modèle de tiers de confiance qui atteint ses limites. Une autorité défaillante suffit pour remettre en cause la confiance dans le système et, par là même, les fondamentaux.
Attaquer directement les fournisseurs de solution de sécurité (RSA, Google, DigiNotar…) marque une nouvelle tendance en 2011. Les cybercriminels ont compris qu’ils avaient plutôt intérêt à faire un double des clés que de forcer la serrure.

Ruptures de service : les accidents aussi

Pour Gérôme Billois, la montée croissante de la cybercriminalité et sa médiatisation ne doivent pas pour autant faire perdre de vue les enjeux et conséquences que peuvent avoir les accidents sur l’activité d’une entreprise. Car pendant que la cybercriminalité défraie la chronique, les accidents sont toujours autant présents, et leur impact est tout aussi fort, puisqu’ils portent atteinte à la disponibilité.

Deux exemples significatifs en 2011 illustrent bien l’ampleur et les conséquences possibles d’un accident :
- Le 12 mai 2011 à Vélizy, le chantier de construction du Tramway, reliant Châtillon à Vélizy, devient un véritable cauchemar pour certaines entreprises et opérateurs. Suite à un malencontreux « coup de pelleteuse », plusieurs réseaux de fibre optique ont été sectionnés, entraînant l’indisponibilité de nombreux services. Plusieurs opérateurs (Free, Verizon, Colt et SFR) ont été immédiatement impactés, le site de l’hébergeur Prosodie à Vélizy s’est retrouvé dans le noir, avec pour conséquence une interruption de services chez plusieurs de ses clients, dont Dior, Carrefour, le Ministère de la Défense… L’incident aura duré près de 8 heures.
- En octobre 2011, c’est RIM qui à son tour a connu une interruption de services majeure. L’incident débute le 10 octobre et touche en premier lieu de nombreux services en Europe, au Moyen Orient et en Afrique. Le 12, le problème s’étend aux Etats-Unis. Il faudra attendre le 13 pour un retour à la normale. Une défaillance en chaîne serait au cœur de la panne : un problème d’équipement de cœur de réseau dans un Data Center de Slough (UK) a entraîné un engorgement des systèmes et une saturation des services ; la base de données a été corrompue lors d’une bascule vers un site de secours…

Les accidents représentent une menace réelle, qu’il faut prendre au sérieux. Il est essentiel pour une entreprise de s’y préparer, à travers une évaluation des risques, la mise en place d’un PCA/PRA et d’une gestion de crise, qu’il convient de tester régulièrement.

Le Japon est un exemple très intéressant de réaction à une crise majeure. Suite au séisme qu’a connu le pays le 11 mars dernier, NTT a su mettre en œuvre une gestion de crise à la mesure de l’événement : 5000 personnes ont été mobilisées ; plus de 2000 téléphones spéciaux, une centaine de sites de chargement de portables, ainsi que des services de messagerie d’urgence ont été mis à disposition gratuitement… Après 18 jours de crise, la majorité des services du groupe étaient rétablis.

L’hacktivisme en 2011 : entre enfantillage et conscience politique

L’hacktivisme peut se classer, selon François Paget, Chercheur de Menaces au sein de McAfee Labs, en trois familles :
- Les Anonymous, qui militent pour un Internet libre. Ils attaquent le plus souvent en DDoS des sites gouvernementaux ou commerciaux, et divulguent des informations personnelles et confidentielles.
- Les « Cyber-Indignés » militent, quant à eux, autant dans la vie réelle que sur Internet. Ils utilisent les réseaux sociaux pour structurer leurs révoltes. En janvier 2011, certains hacktivistes ont rétabli l’accès au Web en Egypte, et ont d’ailleurs renouvelé leurs actions en Lybie et en Syrie au 2ème semestre 2011.
- Enfin, les « Cyber-Armées » soutiennent des régimes totalitaires et véhiculent des idées extrémistes. Il s’agit ici généralement de personnes patriotes et manipulées, qui attaquent en DDoS des blogs de dissidents…

Personne n’est aujourd’hui à l’abri de l’hacktivisme : politiques, entreprises, célébrités, forces de l’ordre... Il suffit parfois d’une prise de position d’un dirigeant d’entreprise qui déplaît pour devenir une cible. Sony, HBGary, ou encore le cabinet Stratfor en ont fait les frais en 2011. Les actions menées à l’encontre des forces de l’ordre se sont également multipliées, marquant une nouvelle tendance plus connue sous le terme de « Doxing ». Il s’agit de la publication de photos, de données personnelles et familiales… en représailles à une action menée par l’individu qui en est la victime. Le monde politique n’est pas épargné par le phénomène. Les tentatives d’attaques ou divulgations d’informations devraient d’ailleurs s’accentuer dans les prochains mois, étant donné le contexte électoral.

Les Anonymous se sont également attaqués à certains groupes criminels en 2011, au Mexique par exemple. Des prises de position qui peuvent s’avérer à double tranchant, les hacktivistes devenant eux-mêmes les cibles de certains criminels. Plusieurs d’entre eux se sont d’ailleurs fait assassiner cette année pour leurs actions.

La législation est-elle à la hauteur des enjeux ?

Au niveau juridique, plusieurs nouveaux textes de Loi ont fait leur entrée en 2011. Comme le souligne le Lieutenant-colonel Eric Freyssinet, Chef de la division de lutte contre la cybercriminalité - Gendarmerie nationale, la LOPPSI 2 est venue compléter l’arsenal, notamment en matière d’usurpation d’identité et de captation de données. L’Ordonnance du 24 août 2011 précise, quant à elle, l’obligation de notification des incidents de sécurité. Cette obligation ne concerne pour l’instant que les fournisseurs de services de communications électroniques accessibles au public, mais devrait à terme s’étendre à tous. Enfin, deux Directives européennes sont en travaux depuis deux ans, concernant la protection des mineurs et les attaques contre les systèmes informatiques.

Toutefois, malgré cet arsenal, les atteintes aux données personnelles vont bon train, sur les réseaux sociaux et les applications mobiles notamment. Les données personnelles et confidentielles continuent à être volées en masse. De quoi se demander si la législation est vraiment à la hauteur des enjeux ? A quand une réelle prise de conscience des professionnels qui traitent ces données sensibles ? Pour ce faire, faudrait-il déjà qu’ils soient capables de définir ce qui est sensible ou non dans leur entreprise… ce qui est encore trop souvent loin d’être le cas.

Il ne fait pas bon être malade de nos jours !

Les établissements de santé et les dispositifs médicaux ne sont pas épargnés par les malwares. Comme le souligne Eric Grospeiller, FSSI - Ministère du travail, de l’emploi et de la santé, il ne fait pas bon être malade de nos jours ! Conficker en a régulièrement fait la démonstration depuis 2009. En 2011, un hôpital près d’Atlanta a subi d’importantes perturbations en raison de la propagation rapide d’un ver. Une propagation facilitée par l’interconnexion des réseaux et un manque de supervision, qui n’aura toutefois pas de conséquences sur les patients.

Avis aux cardiaques et diabétiques ! Après les pacemakers en 2008, ce sont les pompes à insuline qui ont été prises pour cible cette année. Lors de la Black Hat Conference, Jay Radcliffe a, en effet, démontré la possibilité de prise de contrôle d’une pompe à insuline. Il a ainsi réussi à modifier les informations, afin de délivrer une dose mortelle. De manière générale, tous les dispositifs médicaux utilisant des technologies sans fils sont vulnérables et représentent une cible potentielle d’attaque.

Les transports d’urgence ne sont pas non plus épargnés. En 2011, les centres de communication d’Aucland, Wellington et Christchurch ont été touchés par un virus. Conséquence : des systèmes de radio et de messagerie indisponibles. Le service touché traite 90% des transports médicalisés.

Les infrastructures vitales en ligne de mire

Les infrastructures de production sont également en première ligne et doivent faire face à des menaces de type Stuxnet ou Duqu. L’industrie du pétrole connaît une recrudescence du nombre de cyberattaques sur ses infrastructures, les systèmes de traitement d’eau aussi. Ainsi, en 2011, à Springfield, une pompe de distribution d’eau a été détruite suite à une prise de contrôle de son système SCADA. Le cas n’est pas isolé. Peu de temps après, à Houston, un intrus a piraté le système et publié les captures d’écran a priori du système de supervision de la gestion de l’eau d’une partie de la ville.

La sphère militaire elle non plus n’est pas épargnée. Les systèmes de pilotage de certains drones militaires, dont Predator et Reaper, ont, en effet, été infectés par un virus, permettant d’enregistrer leurs actions.

Enfin, nous ne sommes pas au bout de nos surprises, puisqu’une étude réalisée par trois chercheurs sur les serrures IP a montré que les automates de gestion de l’ouverture et de la fermeture des portes de prison peuvent être pilotés depuis Internet. Une nouvelle qui devrait faire des heureux…

De manière générale, toutes les infrastructures connectées sont des cibles potentielles, par ciblage ou effet de bord. La mutualisation représente, en outre, une source de vulnérabilités supplémentaire. Pour l’instant, certaines de ces démonstrations restent « théoriques », mais de la théorie à la pratique, il n’y a parfois qu’un pas. Une chose est sûre : face à la gouvernance technologique et l’imagination débordante des cerveaux malveillants, le cru 2012 tiendra sans aucun doute toutes ses promesses !


Articles connexes:


Voir les articles précédents

    

Voir les articles suivants