Cyber-conflits, quelques clés de compréhension .La lutte contre la cybercriminalité s’inscrit

download Cyber-conflits, quelques clés de compréhension .La lutte contre la cybercriminalité s’inscrit

of 20

  • date post

    21-Sep-2018
  • Category

    Documents

  • view

    213
  • download

    0

Embed Size (px)

Transcript of Cyber-conflits, quelques clés de compréhension .La lutte contre la cybercriminalité s’inscrit

  • INHESJ/ ONDRP Rapport 2011

    Cyb

    ercrim

    inalit

    Cyber-conflits, quelques cls de comprhension

    Lobjectif de cet article est de fournir quelques cls de comprhension des cyber-conflits 1 en replaant la lutte contre la cybercriminalit dans un contexte plus large. Pour mesurer lampleur de cette forme de criminalit relativement jeune 2, ltude de quelques cas rels observs est instructive. Ces incidents, dont certains font lobjet denqutes criminelles confies aux services spcialiss, sont blanchis, si ncessaire, pour servir darchtypes des modes opratoires en perptuelle mutation. Ceci illustre dj la difficult particulire de la quantification en matire de cybercriminalit et de ltablissement de statistiques fiables. Pour largir linterprtation, des dfinitions prcisent les concepts principaux en essayant de dgager quelques caractristiques propres au cyberespace. Les difficults singulires de traitement lies des ambiguts propres lespace numrique sont soulignes travers quatre situations qui ont t fortement mdiatises. Cette partie fait appel des considrations plus techniques 3. La lutte contre la cybercriminalit sinscrit dans une politique globale de dfense et de scurit des systmes dinformation. Pour la dcrire, les missions principales de lAgence nationale de la scurit des systmes dinformation (ANSSI), service comptence nationale rattach au Secrtariat gnral de la dfense et de la scurit nationale, sont prsentes dans le cadre rnov de la cyber-stratgie nationale.

    Ltude de quelques cas rels observs est instructive

    Beaucoup de travaux essaient de quantifier la progression constate des cyber-conflits.

    Un premier comptage concerne soit la prolifration des outils malveillants (les armes du cyber-attaquant) soit laugmentation des failles 4 exploitables. Ainsi, un rapport rcent 5 parmi dautres, dnombre, en 2010, 60 millions de logiciels ou codes malveillants 6 en circulation, pour seulement 92 000 en 2005 (voir figure 1). La moiti de ces codes auraient t dvelopps durant la dernire anne. Cette progression, qui suit une loi exponentielle croissante, devra bien sinflchir, mais cela ne semble pas devoir tre encore le cas pour les prochaines annes. Il sagit l de chiffres dont lobjectif est parfois de faire peur pour stimuler le march des produits de scurit dautant plus quils proviennent dune entreprise qui fournit des services de scurit informatique. La possibilit de crer facilement des variantes partir de certains codes malveillants, cest--dire, pour lattaquant, de les personnaliser, biaise ce dnombrement. Le CERTA 7 a diffus 395 avis de vulnrabilit sur le premier semestre 2011, dont seulement 4 alertes. L aussi, il faut bien distinguer la porte dune vulnrabilit, qui nest pas la mme quand elle touche 90 % des machines individuelles ou un logiciel de niche.

    Un deuxime comptage, beaucoup plus dlicat, concerne les attaques elles-mmes 8. La victime, surtout quand cela touche son image, a des rticences comprhensibles les dclarer. Il faudrait aussi distinguer les tentatives qui ont russies ou ont t dtectes, de celles, plus professionnelles , si discrtes quelles passent inaperues, do limportance de lamlioration permanente des fonctions de dtection. Le plus intressant rside dans les volutions des proportions des diffrentes catgories recenses 9 (voir figure 2).

    Philippe WOLF, charg de mission auprs du Directeur Gnral et Luc VALLE, ingnieur au Centre oprationnel en Scurit des Systmes dInformation (COSSI),

    Agence Nationale de Scurit des Systmes dInformation (ANSSI)

    (1) Terme gnrique employ ici pour caractriser tout type dattaque dans le cyberespace.(2) On situe souvent le premier cyber-incident en 1978 o Kevin Mitnick, figure historique du hacking , pirate

    son premier rseau. La premire propagation dun ver informatique sur linternet est luvre de Robert T. Morris Jr. en 1988.

    (3) Philippe WOLF, Ambiguts et cyber-conflits , Colloque IMODEV Cybercriminalit, cybermenaces et cyberfraudes , Paris, 20 et 21 juin 2011.

    (4) Faille : vulnrabilit dans un systme informatique permettant un attaquant de porter atteinte son fonctionnement normal, la confidentialit ou lintgrit des donnes quil contient.

    (5) The Cyber-Crime Black-Market: Uncovered, http://press.pandasecurity.com/press-room/reports/(6) Un logiciel ou code malveillant (en anglais, malware) est un logiciel dvelopp dans le but de nuire un

    systme informatique. Les virus et les vers sont les deux exemples de logiciels malveillants les plus connus, mais il en existe beaucoup dautres.

    (7) Centre dexpertise gouvernementale de rponse et de traitement des attaques informatiques (au sein de lANSSI), http://www.certa.ssi.gouv.fr/

    (8) Security threat report 2011, http://www.sophos.com/medialibrary/Gated%20Assets/white%20papers/sophossecuritythreatreport2011wpna.pdf

    (9) 2010/2011 Computer Crime and Security Survey, http://analytics.informationweek.com/abstract/21/7377/Security/research-2010-2011-csi-survey.html

    7 8 7

  • INHESJ/ ONDRP Rapport 2011

    Cyb

    erc

    rim

    inal

    it

    7 8 8

    Philippe WOLF, Luc VALLE La criminalit en France : Rapport 2011

    Cyber-conflits Page 24/27 Cls de comprhension

    Illustrations possibles

    Figure 1 : volution du nombre de codes malveillants

    (Source : The Cyber-Crime Black-Market: Uncovered) Philippe WOLF, Luc VALLE La criminalit en France : Rapport 2011

    Cyber-conflits Page 25/27 Cls de comprhension

    Figure 2 : Typologie des incidents de scurit

    (Source : Menaces informatiques et pratiques de scurit en France )

    Figure 1. volution du nombre de codes malveillants.

    Figure 2. Typologie des incidents de scurit.

    Source : The Cyber-Crime Black-Market: Uncovered, Panda Security Press

    Source : Menaces informatiques et pratiques de scurit en France , CLUSIF

  • 7 8 9

    INHESJ/ ONDRP Rapport 2011

    Cyb

    ercrim

    inalit

    7 8 9

    Une analyse qualitative de quelques cas rels (voir ci-aprs) montre la difficult de ltablissement de mtriques partages. Une approche globale, qui essaie de caractriser les chemins dattaques emprunts par lagresseur et les probables erreurs commises par le dfenseur, est aujourdhui privilgie par les enqutes menes par des organismes professionnels 10. La qualit de linvestigation dpend aussi fortement dun certain nombre de bonnes conduites qui sont rappeles ici.

    Filoutage contre les usagers de ladministration

    Ladministration lectronique est une nouvelle cible pour les escrocs. Des campagnes successives de filoutage 11 ont cherch tromper les usagers de la tldclaration et du tlpaiement des impts. Ces campagnes influent dfavorablement sur ladmi-nistration lectronique. Les filoutages contre les usagers franais concernaient jusqualors les banques, puis les fournisseurs daccs lInternet. En 2008, un seul cas de filoutage contre le Trsor public avait t signal lANSSI. Les fraudeurs incitaient lusager naf demander un remboursement dimpt sur le site contrefait. Lautomne 2009 a vu un dferlement de vagues de filoutage. Elles se succdent sans relche en 2010 et 2011. Les premiers courriels taient rdigs en franais approximatif. Les progrs dans la rdaction sont constants. Le scnario part dun courriel en HTML (format de donnes des pages web) utilisant une fausse adresse du ministre, avec une Marianne en en-tte. Ce courriel indique sa victime que le fisc lui rembourse presque 200 euros (le montant augmente rgulirement) et quelle doit faire vite. Le prtendu formulaire est accessible par un lien hypertexte dont ladresse relle est masque.

    Ces courriels rassemblent des ingrdients de lingnierie sociale, que lon retrouve dans les canulars (hoaxes) : apparences de rfrences srieuses (Marianne, organisme, signature numrise), lment affectif (argent), urgence prtendue. Le site vers lequel pointe le lien demande la victime les rfrences et le code de sa carte bancaire. La charte graphique du portail des impts est dautant mieux imite que les lments graphiques sont directement pris sur ce dernier.

    Laction technique contre ces pourriels 12 est difficile. Les serveurs dmission ou de relais de ces messages sont souvent des machines compromises, des

    ordinateurs appartenant des botnets 13, situs partout travers le monde. La multiplicit des adresses IP de ces ordinateurs rend inefficace la tentative de grer une liste noire dadresses dmission de courriels proscrire en entre des rseaux. Seuls les liens dans les courriels peuvent donner un indice, au risque de rejeter des courriels lgitimes. La vigilance de lutilisateur reste la meilleure arme.

    La lutte passe par la fermeture la plus rapide possible des sites de filoutage, mais ces derniers sont gnralement situs ltranger. Celle-ci doit saccompagner de la prservation des indices, de manire ce que les enquteurs des services spcialiss puissent remonter aux commanditaires de ces attaques.

    Que faut-il compter ici ? Si lon sintresse aux victimes directes de lescroquerie potentielle, les chelles de grandeurs sont trs diffrentes entre : le nombre de courriels mis (difficile dterminer tant que le botnet nest pas dmantel) ; le nombre limit aux adresses de contribuables seulement (mais qui ne signalent pas systmatiquement) ; le nombre dadresses diffrentes ; aux contribuables diffrents, chacun pouvant tre destinataire sur plusieurs adresses ; les contribuables qui sont tombs dans le pige ; ceux qui de plus en ont fait part aux services comptents ; le nombre de vagues, chacune compte globalement, pourvu quon sache les distinguer... Il existe galement des victimes indirectes : les courriels frauduleux vers toutes les adresses lectroniques, valides ou invalides, encombrent inutilement les rseaux et les systmes de messagerie ; les ordinateurs partir desquels les courriels sont mis sont infects, donc leurs possesse