2

3

La cybercriminalit au Maroc, 2010

Tous droits rservs, y compris droits de reproduction

totale ou partielle sous toutes formes.

Dpt lgal : 2010 MO 1585

ISBN : 978-9954-9072-0-7

4

A mon fils Ismail

5

Remerciements Ce livre naura pas t possible sans le soutien de plusieurs personnes. Mes penses vont notamment

:

- Jean-Guy RENS, auteur du livre Lempire invisible et prsident de lassociation canadienne

des technologies avances qui ma fait part de ses prcieux conseils tout au long de la

rdaction de ce livre.

- Mohamed CHAWKI, auteur du livre Combattre la cybercriminalit et prsident de

lassociation internationale de lutte contre la cybercriminalit qui a accept de rdiger la

prface de ce livre.

- Nabil OUCHN, co-fondateur de Netpeas et expert en scurit qui a apport sa contribution et

son tmoignage sur lunivers de lUnderground marocain.

- Tous les consultants scurit de la socit DATAPROTECT, notamment Hamza HAROUCHI et

Othmane CHAFCHAOUNI qui mont soutenu tout au long de ce travail.

- Tous mes anciens collgues de BT NET2S avec qui jai partag des moments forts pendant

plus de trois ans. Je pense notamment mon quipe scurit. Rabii AMZERIN, Younes

BOURRAS, Younes ZAKIDDINE et Mohamed Amine LEMFADLI.

Je vous remercie tous !

6

Table des matires

Prface ................................................................................................................................ 12

Introduction ....................................................................................................................... 14

Chapitre 1 : Dmystification de la cybercriminalit ........................................................... 16

1. La cybercriminalit : concepts et enjeux .................................................................... 17

1.1 La cybercriminalit : Un nouveau concept ......................................................................17

1.2 La cybercriminalit : Une activit en pleine croissance ....................................................17

1.3 La cybercriminalit : Une activit rentable ......................................................................18

1.4 La cybercriminalit : Une activit facile ..........................................................................20

1.5 La cybercriminalit : Une activit faible risque .............................................................20

1.6 La cybercriminalit : Une activit organise ....................................................................20

2. Dmystification de la notion de la scurit de linformation ...................................... 21

2.1 La scurit nest pas seulement un enjeu technologique .................................................21

2.2 Ltre humain est le maillon faible de la chane de la scurit ..........................................23

2.3 Les incidents de scurit ne viennent pas juste de lexterne ............................................25

2.4 La scurit, ce nest pas juste la confidentialit ..............................................................26

2.5 Faire de la scurit, cest tre ferm dans un environnement compltement ouvert .......

...................................................................................................................................28

2.6 La fin de la scurit primtrique ..................................................................................29

2.7 Lexploit dune vulnrabilit est de plus en plus rapide ....................................................31

2.8 Assurer la scurit de son SI est de plus en plus une contrainte rglementaire.................32

2.8.1 Les accords de Ble II ..............................................................................................32

2.8.2 PCI DSS ...................................................................................................................33

2.8.3 Sarbanes Oxley ........................................................................................................34

2.9 Le RSSI : un nouveau mtier ........................................................................................35

2.10 La scurit est une question de gouvernance .................................................................37

2.10.1 ISO 27001 .........................................................................................................37

2.10.2 ISO 27002 ........................................................................................................39

Chapitre 2 : Les multiples visages de la cybercriminalit .................................................. 42

1. Lordinateur comme moyen ou cible dactes cybercriminels ...................................... 43

1.1 Latteinte la confidentialit .........................................................................................43

7

1.1.1 Lattaque virale ........................................................................................................44

1.1.2 Le Phishing ..............................................................................................................48

1.2 Latteinte la disponibilit .............................................................................................51

1.2.1 Le DoS et le DDoS ....................................................................................................51

1.3 Latteinte lintgrit ....................................................................................................56

1.3.1 Dfacement des sites web ........................................................................................57

1.4 Latteinte la preuve ....................................................................................................59

1.4.1 Latteinte logique ......................................................................................................59

1.4.2 Latteinte physique ...................................................................................................59

1.5 Les outils utiliss ..........................................................................................................60

1.5.1 Le Botnet .................................................................................................................60

1.5.2 Le Keylogger ............................................................................................................64

1.5.3 Le Rootkit ................................................................................................................65

2. Lordinateur comme facilitateur dactes cybercriminels ............................................ 66

2.1 Lescroquerie ................................................................................................................66

2.2 La fraude la carte bancaire .........................................................................................68

2.3 Le blanchiment dargent ...............................................................................................71

2.4 Le cyberterrorisme .......................................................................................................76

2.5 La pdophilie sur linternet ............................................................................................80

Chapitre 3 : Lcosystme de la cybercriminalit au Maroc ............................................... 84

1. Lunivers Underground ............................................................................................... 85

1.1 Les acteurs de lunivers Underground ............................................................................86

1.1.1 Le hacker .................................................................................................................86

1.1.2 Les black hat hackers ...............................................................................................86

1.1.3 Les script kiddies ................................................................................................87

1.1.4 Les phreakers ..........................................................................................................87

1.1.5 Les carders ..............................................................................................................88

1.1.6 Les crackers .............................................................................................................88

1.1.7 Les hacktivistes ........................................................................................................88

1.2 Quelques mythes entourant lunivers Underground .........................................................89

1.2.1 Le cyberdlinquant est-il un expert informatique ? ......................................................89

1.2.2 Le cyberdlinquant est-il quelquun dorganis ? .........................................................89

1.2.3 Le cyberdlinquant est-il un introverti ? .....................................................................90

1.3 Les principales motivations des acteurs de lunivers Underground ....................................91

1.3.1 La curiosit intellectuelle ...........................................................................................91

1.3.2 LEgo .......................................................................................................................91

1.3.3 Lidologie ...............................................................................................................92

8

1.3.4 Largent ...................................................................................................................93

2. Les diteurs, constructeurs, intgrateurs, distributeurs, cabinets conseils, hbergeurs

et les cybercafs. ................................................................................................................ 95

2.1 Les diteurs et les constructeurs ...................................................................................95

2.2 Les intgrateurs et les distributeurs ...............................................................................96

2.3 Les cabinets conseil ......................................................................................................97

2.4 Les hbergeurs ............................................................................................................97

2.4.1 Le recours aux hbergeurs dits bulletproof .................................................................97

2.5 Le cybercaf ................................................................................................................99

3. Les centres de recherche et de formation ................................................................ 100

3.1 La recherche .............................................................................................................. 100

3.2 La formation .............................................................................................................. 101

3.2.1 Lenseignement acadmique ................................................................................... 101

3.2.2 Les certifications en scurit ................................................................................... 101

4. Les organes institutionnels dinvestigation, de rpression et de veille .................... 103

4.1 Linvestigation et la rpression .................................................................................... 103

4.2 La veille et le signalement ........................................................................................... 108

4.2.1 La veille ................................................................................................................. 108

4.2.2 Le signalement ....................................................................................................... 109

5. Les acteurs institutionnels internationaux .................................................................. 110

Chapitre 4 : Larsenal juridique face la cybercriminalit au Maroc ............................... 112

1. La loi n07-03 compltant le code pnal en ce qui concerne les infractions relatives

aux systmes de traitement automatis des donnes ..................................................... 113

1.1 Les intrusions ............................................................................................................. 114

1.1.1 Laccs frauduleux dans un STAD ............................................................................ 114

1.1.2 Le maintien frauduleux dans un STAD ..................................................................... 116

1.2 Les atteintes .............................................................................................................. 117

1.2.1 Les atteintes au fonctionnement d'un STAD ............................................................. 117

1.2.2 Les atteintes aux donnes ....................................................................................... 118

2. La loi 53-05 relative lchange lectronique de donnes juridiques ..................... 119

2.1 La preuve .................................................................................................................. 119

2.1.1 La redfinition de la preuve littrale ......................................................................... 119

2.1.2 La conscration de la force probante de lcrit lectronique ....................................... 120

2.2 La signature lectronique ............................................................................................ 120

2.2.1 La reconnaissance juridique de la signature lectronique .......................................... 121

2.2.2 Les prestataires de services de certification .............................................................. 122

9

3. La loi n09-08 relative la protection des personnes physiques lgard du

traitement des donnes caractre personnel ................................................................ 125

3.1 La nature des donnes protger ............................................................................... 125

3.2 Les droits de la personne concerne ............................................................................ 126

3.2.1 Le droit linformation ............................................................................................ 127

3.2.2 Le droit daccs ...................................................................................................... 127

3.2.3 Le droit de rectification ........................................................................................... 127

3.2.4 Le droit dopposition ............................................................................................... 127

3.3 Les obligations du responsable du traitement ............................................................... 128

3.3.1 Dclaration pralable .............................................................................................. 128

3.3.2 Autorisation pralable ............................................................................................. 129

3.3.3 Obligation de confidentialit et de scurit des traitements et de secret professionnel 129

Chapitre 5 : Vers la confiance numrique au Maroc ......................................................... 132

1. LEtat de lart des tentatives tatiques pour garantir la confiance numrique ..............

.................................................................................................................................. 133

1.1 Lexemple des Etats-Unis ............................................................................................ 133

1.2 Lexemple de la France ............................................................................................... 135

2. La confiance numrique au Maroc ............................................................................ 135

2.1 Le renforcement du cadre lgislatif .............................................................................. 136

2.1.1 Protger les personnes physiques lgard des traitements de donnes caractre

personnel ........................................................................................................................... 137

2.1.2 Favoriser la dmatrialisation des transactions lectroniques .................................... 137

2.1.3 Soutenir le dveloppement du commerce lectronique.............................................. 138

2.2 Mise en place des structures organisationnelles appropries.......................................... 140

2.2.1 Mettre en place le Comit de la Scurit des Systmes dInformation ........................ 140

2.2.2 Mettre en place le ma-CERT .................................................................................... 141

2.2.3 Mettre en place un tiers de confiance ...................................................................... 145

2.2.4 Mettre en place la commission nationale de la protection des donnes personnelles ... 145

2.2.5 Dvelopper des sites de back-up ............................................................................. 145

2.3 Promotion dune culture de scurit ............................................................................. 146

2.3.1 Mettre en uvre un programme de sensibilisation et de communication sur la SSI .... 146

2.3.2 Mettre en place des formations sur la SSI destination des lves ingnieurs ............ 147

2.3.3 Mettre en place des formations destination des professions juridiques .................... 148

2.3.4 Dfinir une charte des sites marchands .................................................................... 149

Conclusion Gnrale ......................................................................................................... 150

Bibliographie .................................................................................................................... 152

Ouvrages ........................................................................................................................... 152

10

Rapports ........................................................................................................................... 153

Sites utiles ........................................................................................................................ 154

Table des illustrations

Figure 1 : Les trois dimensions de la scurit .................................................................................22

Figure 2 : Un exemple de la faille humaine ....................................................................................24

Figure 3 : Top 10 des vulnrabilits applicatives .............................................................................30

Figure 4 : Le cycle de vie de la vulnrabilit ...................................................................................31

Figure 5 : Les rles, les objectifs et les chantiers du RSSI ...............................................................36

Figure 6 : Le modle PDCA ...........................................................................................................37

Figure 7 : Les 11 chapitres de la norme ISO 27002 ........................................................................40

Figure 8 : L'volution du nombre de virus ......................................................................................45

Figure 9 : Les vecteurs d'infection virale ........................................................................................46

Figure 10 : 10 ans de lutte antivirale .............................................................................................47

Figure 11 : Lvolution des attaques DDoS .....................................................................................54

Figure 12 : La structure d'un Botnet ..............................................................................................61

Figure 13 : Lvolution du nombre de PC zombies durant le 1er semestre 2009 ................................62

Figure 14 : Les principaux pays responsables de la cration des zombies .........................................63

Figure 15 : L'ampleur du phnomne du SPAM ..............................................................................64

Figure 16 : Exemple de blanchiment d'argent via une mule .............................................................74

Figure 17 : Rexpdition de marchandises "douteuses" par une mule ..............................................75

11

12

Prface

La cybercriminalit fait partie des conduites les plus odieuses que lon ait pu imaginer. Hlas,

lapparition de nouvelles technologies comme celle de linternet a permis lamplification de ce

phnomne insupportable, au point que cette infraction est devenue lune des sources

majeures de profits pour les organisations criminelles. Au Maroc des nouvelles lois ont t

promulgues, et des nouvelles organisations ont t cres pour combattre les cyberdlits.

Ds lors, lutilit dun ouvrage sur les nouveaux dveloppements de cette forme de

criminalit au Maroc ne saurait tre conteste.

Cest cette tche que M. El Azzouzi sest attel. Compte tenu de toutes ses qualits, celui-ci

tait particulirement bien plac pour raliser ce travail. En effet, dune part M. El Azzouzi a

men plusieurs missions daudit et de recherche dans le domaine de la cyberscurit. Dautre

part, aprs un parcours qui la ramen grer des projets denvergure en scurit au

Canada et au Maroc, il dispose aujourdhui dun retour dexprience riche et vari dans le

domaine de la scurit de linformation.

De faon trs structure, lauteur tudie en plusieurs parties le phnomne de la

cybercriminalit au Maroc. Ainsi, il a notamment envisag dlucider les multiples visages de

la cybercriminalit tout en prenant soin de dcortiquer lcosystme qui gravite autour de ce

phnomne et ce sans ngliger les aspects juridiques et lgislatifs.

Compte tenu de la qualit du contenu apport par lauteur, on ne peut que recommander

trs fort la lecture de ce livre crit par un expert international qui a consacr plusieurs

annes ltude du phnomne de la cybercriminalit.

Mohamed CHAWKI

Conseiller dEtat adjoint

Prsident de lAILCC, France

13

14

Introduction

Linternet a transform le monde en un village plantaire. Il amliore la productivit des

entreprises, rvolutionne les mthodes de travail et rend possible lmergence de nouveaux

modles daffaires permettant de communiquer, ngocier, changer et de commercialiser en

temps rel. En ce sens, son apport est capital pour nos socits. Il est devenu au fil des

temps si indispensable que peu dorganisations et de particuliers peuvent sen passer

aujourdhui. Or cette rvolution a galement rendu possibles de nouvelles formes de

criminalit lies au cyberespace. En effet, linternet na pas t dvelopp, ds le dpart, de

manire scurise. Ses multiples composants matriels, logiciels et protocolaires taient et

demeurent empreints de nombreuses failles de scurit qui peuvent avoir en cas

dexploitation des consquences bien relles. Ce qui a favoris lmergence des

comportements dviants dans le cyberespace. La cybercriminalit est ainsi ne.

Lanonymat que procure le cyberespace, la vulgarisation des techniques dattaques,

ladoption grande chelle du web 2.0 ont acclr la croissance des actes cybercriminels

ces dernires annes. En 2009, la cybercriminalit a gnr plusieurs milliards de dollars

selon une rcente tude de Symantec. Pas tonnant de voir de plus en plus dadeptes sy

intresser. Lattractivit du phnomne est telle que des milliers dinternautes, en qute

dargent facile, nhsitent pas franchir le pas. En effet, en cette priode de marasme

conomique, l'argent honnte est plus difficile gagner. De plus en plus d'individus sont

attirs par le monde de la fraude pour arrondir leurs fins du mois. Ainsi, le cybercriminel de

dimanche fait son apparition dans lcosystme qui gravite autour de la cybercriminalit.

Finie donc lpoque o les actes de dviance dans le cyberespace ne sont que les uvres

des acteurs en qute de reconnaissance sociale. Aujourdhui, la cybercriminalit est une

activit quon pratique dabord pour lappt du gain. Pour attirer lattention de son auteur,

une opration cybercriminelle doit gnrer de largent. Ceci a permis une reconfiguration de

lcosystme li la cybercriminalit. En effet, si avant lessentiel des actes de dviance tait

15

perptr par des individus experts en scurit certes, mais dsorganiss et souvent

introvertis, aujourdhui lconomie souterraine de la cybercriminalit obit des rgles de

rationalit conomique exigeant un travail en quipe, une organisation efficace et une

spcialisation outrance. En outre, il nest pas ncessaire dtre un surdou en informatique

pour se lancer dans la cybercriminalit. De nombreux forums proposent des packages

complets permettant mme un profane de perptrer des actes cybercriminels. Il nest pas

rare de constater par exemple quune attaque virale a t conue par une quipe compose

par plusieurs programmeurs qui ne se sont probablement jamais vu rellement et exploite

par dautres individus ayant rcuprs le programme malveillant en contre partie dun service

ou de largent. Certains groupes, pour faire valoir leurs produits, vont jusqu proposer un

engagement de rsultat et un service aprs vente 24h/24h et 7j/7j.

Avec cette menace grandissante qui devient plus visible pour les masses, les forces de lordre

dans le monde entier redoublent d'efforts pour combattre la cybercriminalit. Bien que la

coordination internationale soit entrave par une approche globale inexistante, les structures

de partage des informations et des ressources s'amliorent et un certain nombre

d'arrestations et de procs ont eu lieu en 2009.

Au Maroc, la cybercriminalit, qui tait jusqu une date rcente un phnomne marginal,

attire de plus en plus lattention des pouvoirs publics. De nouvelles lois ont t promulgues,

de nouvelles organisations ont t cres et un programme ambitieux de confiance

numrique propos dans le cadre de la stratgie Maroc Numeric 2013 a t lanc. Ainsi,

la culture de scurit, bien quelle nest que dans un tat embryonnaire, commence

sinstaller non seulement dans les institutions publiques et privs mais aussi dans lesprit de

tout un chacun.

16

Chapitre 1 : Dmystification de la

cybercriminalit

Dans les rvolutions, il y a deux sortes de gens :

ceux qui les font et ceux qui en profitent

Napolon Bonaparte

Aot 2005 : les serveurs de Microsoft, CNN, ABC, du New York Times et de plus d'une

centaine d'entreprises amricaines sont attaqus par le virus Zotob, provoquant des dgts

valus plusieurs dizaines de millions de dollars. Une enqute rondement mene au niveau

international aboutit quelques semaines plus tard larrestation de Farid Essebar, alias

Diab10, un jeune cyberpirate marocain qui agissait depuis un cybercaf. Les journaux parlent

de cyber-diable et de gnie informatique . Cette image de ladolescent cherchant

dsesprment exploiter une vulnrabilit dun serveur lointain ne doit pas nous induire en

erreur.

Les cyberpirates qui font la une sont des amateurs qui se font prendre plus ou moins

rapidement. Cest dailleurs pour cela que leurs noms se retrouvent sur la place publique. Le

vritable danger vient plutt de nouveaux groupes trs structurs qui sont lorigine dune

vritable industrie de la cybercriminalit. Celle-ci simpose dsormais comme un mtier

part. Elle dispose, certes de ses propres spcificits. Cependant, linstar de lactivit

conomique conventionnelle, elle obit de plus en plus aux logiques conomiques de la

croissance, de la rentabilit financire, de la gestion des risques, de lorganisation et de la

division du travail.

17

1. La cybercriminalit : concepts et enjeux

1.1 La cybercriminalit : Un nouveau concept

Il nexiste pas de dfinition universelle pour le terme cybercriminalit. Celui-ci est utilis

gnralement pour dcrire l'activit criminelle dans laquelle le systme ou le rseau

informatique est une partie essentielle du crime. Il est galement employ pour dcrire des

activits criminelles traditionnelles dans lesquelles les ordinateurs ou les rseaux sont utiliss

pour raliser une activit illicite. Dans le premier cas, les technologies sont la cible de

lattaque. Dans le second, elles en sont le vecteur.

1.2 La cybercriminalit : Une activit en pleine croissance

Grce notamment la diffusion sur le Web de nouveaux services et outils sadressant une

population mondiale de plus en plus dispose les adopter, la croissance des actes

cybercriminels sest particulirement acclre ces trois dernires annes. Cette tendance

samplifie rapidement depuis la vogue du Web 2.0, notamment les rseaux sociaux qui ont

atteint un niveau de popularit lev parmi les sites Web. Ils sont devenus des vecteurs

privilgis de propagation de programmes malveillants et de courrier indsirable. Lefficacit

dune telle diffusion est denviron 10%. Ce qui est bien suprieure l'efficacit des mthodes

classiques de diffusion des programmes malveillants par courrier lectronique1. Autre, les

rseaux sociaux, les nouveaux services affrents aux blogs, aux forums, aux wikis,

YouTube, Twitter, etc sont lorigine de la croissance dattaques. En effet, tous ces

services en ligne jouent sur la confiance tablie entre les membres dun mme rseau, la

facilit de tlchargement, de publication et dautres techniques dchange des informations,

qui rendent leurs utilisateurs vulnrables aux infections de logiciels malveillants2. Ces

nouveaux services ont donn une ampleur sans prcdent certaines formes de fraude, qui

se sont particulirement panouies sur linternet. Les moyens techniques modernes

permettant une rptition quasiment linfini dans lespace et dans le temps de ces activits.

Laugmentation du nombre des serveurs clandestins qui permettent aux organisations

criminelles de vendre des informations voles (donnes personnelles mises par les

1 Baromtre annuel sur la cybercriminalit en 2008 par Kaspersky Lab. 2 Eugne Kaspersky Dfis de la cybercriminalit , dossier Cybercriminalit, une guerre perdue ?

Documentation franaise. Hiver 2008-2009

18

gouvernements, cartes de crdit ou dbit, numros didentification personnels, numros de

comptes bancaires, listes dadresses courriel) pour faciliter le vol didentit dmontre

clairement la croissance dont rjouit lactivit cybercriminelle. Les Etats-Unis, lAllemagne et

la Sude viennent en tte de la liste des pays qui hbergent des serveurs clandestins, avec

des pourcentages respectifs de 69 %, 12 % et 9 % de ce march3. Le Maroc peut galement

tre une source de cybercriminalit. Ce qui sest pass avec le jeune marocain de 18 ans qui

a conu le virus Zotob est une preuve concluante que la menace peut maner de votre

voisin immdiat. Depuis un cybercaf du quartier Yacoub Mansour Rabat, Farid Essebar a

mis hors fonctionnement le site des deux chanes amricaines CNN & ABC, et celui du journal

New York Times, du Boeing, et de laroport de San Francisco.

Rappelons quen cette priode de marasme conomique, les attaques cybercriminelles sont

censes connatre une forte hausse. En effet, il est reconnu que les priodes de

ralentissement conomique sont systmatiquement caractrises par des augmentations de

la criminalit. Les experts de lditeur de solutions de scurit PANDA4 ont mme tabli une

corrlation intressante entre lactivit cybercriminelle et la conjoncture conomique5. Les

licenciements dans le secteur des technologies de l'information et l'abandon de projets dans

le secteur entranent un brusque mouvement ascendant de lactivit criminelle en gnral,

et lon doit sattendre dans le ralentissement actuel une forte croissance de lactivit

cybercriminelle.

1.3 La cybercriminalit : Une activit rentable

Pour attirer lattention de son auteur, une opration cybercriminelle devrait dsormais

gnrer du revenu. La cybercriminalit est devenue au fil des temps une activit

extrmement profitable. Des sommes importantes ont t dtournes avec succs. Rien

quen 2008, la cybercriminalit a cot 1.000 milliards de dollars daprs une tude de

McAfee6 prsente au forum de Davos. Certaines sources estiment que la cybercriminalit a

3 Symantec Internet Security Threat Report, 2007 4 http://www.pandasecurity.com/ 5 http://www.mag-securs.com/spip.php?article12038 6 La scurit des conomies de linformation prsente par lditeur McAfee au Forum conomique mondial de

Davos. http://www.lemonde.fr

19

dpass le commerce illgal de la drogue en termes de profits en 2007. Voici quelques

exemples dactions cybercriminelles perptres en 20077.

Janvier 2007 : Des pirates russes, avec laide dintermdiaires sudois, auraient

dtourn 800 000 euros de la banque sudoise Nordea.

Fvrier 2007 : La police brsilienne arrte 41 pirates pour avoir utilis un cheval de

Troie pour voler les accs des comptes bancaires et dtourner 4,74 millions de

dollars.

Fvrier 2007 : Dix-sept membres du Gang de fraudeurs dinternet sont arrts en

Turquie aprs avoir vol plus de 500 000 dollars.

Fvrier 2007 : Li Jun est arrt pour stre servi du virus Panda burning Incense

pour le vol de comptes daccs utilisateurs de jeux en ligne et de messagerie

instantane. Les ventes de son programme malveillant auraient rapport prs de

13 000 dollars.

Mars 2007 : Cinq ressortissants dEurope de lEst sont emprisonns au Royaume-Uni

pour une fraude la carte bancaire. Ils auraient drob 1,7 million de livres.

Juin 2007 : 150 cybercriminels sont arrts en Italie. Ils sont accuss davoir

bombard des utilisateurs italiens avec des faux messages qui leur auraient rapport

1,25 million deuros sous forme de gains frauduleux.

Juin 2007 : Des cyberdlinquants russes sont accuss davoir utilis un cheval de

Troie pour voler 500 000 dollars dans des banques de Turquie.

Aot 2007 : Maxim Yastremsky (alias Maksik ) est arrt en Turquie. Il est accus

davoir empoch 10 millions de dollars aprs le vol didentificateurs.

Septembre 2007 : Gregory Kopiloff est condamn aux Etats-Unis pour avoir utilis les

logiciels de partage de fichiers (P2P) Limewire et Soulseek pour collecter des donnes

quil employait pour usurpation didentit. Il aurait gagn des milliers de dollars par la

commercialisation de donnes voles.

Ces exemples montrent bien le caractre rentable des activits cybercriminelles. Les cas

dinfraction perptres dans une perspective dappt du gain sont dsormais monnaie

courante dans le cyberespace. La cybercriminalit est depuis quelques annes une source de

rmunration, une activit que lon pratique dabord pour largent.

7 Eugne Kaspersky, dossier Cybercriminalit, une guerre perdue ? Documentation franaise. Hiver 2008-

2009

20

1.4 La cybercriminalit : Une activit facile

Avec la vulgarisation des modes opratoires cybercriminels sur linternet, aujourdhui il nest

pas ncessaire de disposer de comptences techniques pour lancer une opration

cybercriminelle. Le niveau dexpertise technique requis pour un projet cybercriminel na plus

du sens du moment o il est possible aujourdhui dacheter librement les logiciels espions les

plus labors ainsi que les donnes collectes par ces mmes logiciels : informations

bancaires et informations personnelles suffisantes pour acheter en ligne ou transfrer des

fonds. En outre, il est aussi possible de commander un acte cybercriminel ponctuellement

auprs de prestataires spcialiss qui viennent chacun apporter leur part dexpertise dans

lopration, chaque maillon gnrant des bnfices dont le montant rpond uniquement aux

lois de loffre et de la demande, la raret dune comptence augmentant les prix en

consquence.

Il existe de nombreuses ressources disponibles permettant de mettre au point des solutions

compltes. Ces solutions vont de lusage de la simple vulnrabilit, jusqu lemploi des

chevaux de Troie permettant dautomatiser des rseaux dordinateurs ou botnets8 .

1.5 La cybercriminalit : Une activit faible risque

Linternet est parfaitement adapt lactivit frauduleuse (anonymat, faibles barrires

lentre, difficults dapplication de la loi des juridictions multiples), et donc, compar la

perptration dun crime traditionnel les cots sont plus faibles et il est beaucoup moins

probable dtre arrt. Il sagit donc dune activit faible risque compar aux chances de

russite. Dans le monde rel, la dimension psychologique avec la prise de risques concrets

du crime assure un certain effet de dissuasion. Mais dans le monde virtuel, les criminels ne

sont jamais directement en contact avec leurs victimes ni avec les diffrentes socits quils

dcident dattaquer.

1.6 La cybercriminalit : Une activit organise

Une tude conjointe entre le CERT et le FBI dmontre que dans 81% des incidents recenss

dans les entreprises, les attaquants avaient planifi leur action lavance. Il ne sagit donc

nullement doprations lances au hasard. La russite dun acte cybercriminel exige une

discipline de fer en amont, durant et en aval de toute opration cybercriminelle. Cette

8 Un botnet est un rseau dordinateurs zombies contrls linsu de leurs propritaires

21

discipline a comme pr requis de base, un travail en quipe dont les membres ne se sont

probablement jamais rencontrs rellement. Ce travail dquipe engage une segmentation et

une spcialisation outrance dans les diffrents maillons de la chane cybercriminelle. Ainsi

au lieu de matriser lensemble de la chane des oprations, les cyberdlinquants se

concentrent sur lun de ses maillons, afin de le matriser la perfection, ce qui permet de

rduire considrablement leurs prises de risques. Analysons lcosystme qui gravite autour

par exemple des chevaux de troie. Souvent, ils sont conus par des dveloppeurs de

logiciels, qui en gnral nexploitent plus par eux-mmes leurs crations. Ils concentrent

leurs efforts sur linnovation technologique ncessaire la conception de ces codes

malicieux, et sorganisent en micro-entreprises de deux ou trois dveloppeurs, comprenant

une cellule de support technique et un commercial charg de dvelopper les dbouchs

conomiques du groupe. Ces dveloppeurs vendent leurs crations comme de vritables

produits, packags avec une documentation utilisateur dans la langue de leurs clients.

Certains groupes proposent mme un support client 24/24 et offrent mme une garantie de

non dtection du malware par lantivirus9.

2. Dmystification de la notion de la scurit de linformation

Pour mieux comprendre le phnomne de la cybercriminalit, il est important de sattarder

sur la notion de la scurit de linformation. En effet, le phnomne tient son expansion

linscurit qui entoure lutilisation des technologies dinformation. Or la scurit est un

concept qui est souvent mal compris. Do la ncessit de lever le voile sur cette notion afin

de mieux en comprendre les enjeux.

2.1 La scurit nest pas seulement un enjeu technologique

Pour de nombreuses organisations, assurer la scurit du systme dinformation (SI) se

limite la mise en place dun pare feu et dun antivirus. Or, ces dispositifs ne sont pas dune

grande utilit quand il sagit par exemple dattaques type Ingnierie sociale10 qui connat

ces dernires annes une volution spectaculaire. En effet, ds fois pour avoir une

information aussi critique soit-elle, il suffit de la demander. Inutile de se lancer dans des 9 Jol Rivire Criminalit et Internet, une arnaque bon march , dossier Cybercriminalit, une guerre

perdue ? Documentation franaise. Hiver 2008-2009 10 L'ingnierie sociale (social engineering en anglais) est une forme d'escroquerie utilise en informatique pour

obtenir un bien ou une information. Cette pratique exploite l'aspect humain et social de la structure laquelle est

li le systme informatique vis. Utilisant ses connaissances, son charisme, l'imposture ou le culot, le pirate abuse

de la confiance, l'ignorance ou la crdulit de personnes possdant ce qu'il tente d'obtenir.

22

attaques sophistiques ayant comme pr-requis un background technique volu. Il suffit de

prendre son tlphone et dappeler. Au bout de fil vous avez un interlocuteur qui nest pas

sensibilis aux risques lis la diffusion de linformation. Face ce genre de menaces, la

protection physique et logique du SI, aussi robuste soit-elle, ne sert rien.

La dimension organisationnelle de la scurit est souvent nglige. Si des organisations

comme la CIA, le FBI ou le Pentagone ont fait lobjet dattaques, ce nest surtout pas par

manque de moyens techniques de protection. Ces organisations disposent de moyens

colossaux pour assurer un niveau de scurit adquat. La faille est plutt organisationnelle,

voir humaine.

Certes, investir en matire technologique est invitable pour mettre en place les outils

ncessaires la prvention, dtection et correction des failles de scurit. Cependant,

laspect organisationnel qui consiste mettre en place une politique de scurit de

linformation, une charte dutilisation des ressources et lensemble des processus et

procdures oprationnels permettant dassurer un niveau de scurit minimal est aussi

important voir vital pour lorganisation. Dailleurs, souvent lors des audits de scurit, nous

constatons que le volet technologique est plus ou moins matris. La nature des failles que

nous identifions est plutt organisationnelle. Labsence de politique de scurit, le manque

de formalisation du mode opratoire de la sauvegarde, le manque de linventaire des actifs

critiques sont quelques exemples de lacunes en matire de scurit organisationnelle.

Figure 1 : Les trois dimensions de la scurit

23

Le dpart dun employ

Le dpart volontaire ou forc dun employ est un vnement qui peut avoir lieu dans

nimporte quelle organisation. Avons-nous eu le rflexe de verrouiller tous les comptes

auxquels lemploy avait accs. Avons-nous supprim son compte de messagerie. Avons-

nous procd la rcupration de tous les actifs dont lorganisation est propritaire (badge,

tlphone, ordinateur portable, etc). Ce qui est mis en vidence ici, cest la formalisation

de la gestion des dparts. Cest un aspect purement organisationnel de la scurit qui fait

impliquer le dpartement de gestion des ressources humaines et le dpartement de systme

dinformation. Entre les deux entits, il faudra mettre en place une procdure de gestion des

dparts de telle sorte ce que lors de chaque dpart ou de changement de poste, un

mcanisme instantan se dclenche pour verrouiller ou changer tous les comptes auxquels

lemploy avait accs. Combien danciens collaborateurs continuent toujours utiliser, ds

fois mme des fins illicites, leur compte de messagerie et ce aprs avoir quitt

lorganisation depuis des mois voir mme depuis des annes.

2.2 Ltre humain est le maillon faible de la chane de la scurit

La dimension humaine est aussi prendre au srieux. Pour se protger des attaques

traditionnelles de type phishing11 par exemple, il faut sensibiliser lutilisateur. Aucune

technologie ne permettra lorganisation de se prmunir totalement contre ce type

dattaques. Seule une campagne de sensibilisation donnera les effets dsirables. Les experts

de scurit sont unanimes pour qualifier ltre humain de maillon faible de la chane de

scurit. Les pirates, lont bien compris. Ils orientent souvent leurs techniques de

rcupration dinformations vers cette perspective. Kevin Mitnick12, lun des clbres pirates

informatiques qui a publi plusieurs livres sur les techniques de hacking na t autre quun

11 Le phishing, appel en franais lhameonnage, est une technique utilise par des fraudeurs pour obtenir des

renseignements personnels dans le but de perptrer une usurpation d'identit. La technique consiste faire croire

la victime qu'elle s'adresse un tiers de confiance banque, administration, etc. afin de lui soutirer des

renseignements personnels : mot de passe, numro de carte de crdit, date de naissance, etc.. Le phishing peut

se faire par courrier lectronique, par des sites web falsifis ou autres moyens lectroniques. 12 Kevin David Mitnick est un ancien pirate informatique amricain. Il se faisait appeler le Condor en rfrence

au film de Sydney Pollack Les Trois Jours du condor . Il est clbre notamment pour avoir accd illgalement

aux bases de donnes des clients de Pacific Bell, ainsi qu'aux systmes de Fujitsu, Motorola, Nokia et Sun

Microsystems. Il est le premier pirate informatique avoir figur dans la liste des dix criminels les plus recherchs

par le FBI aux Etats-Unis.

24

surdou en matire dingnierie sociale qui consiste exploiter les failles humaines pour

rcuprer de linformation.

Prenons lexemple suivant : la plupart des organisations mettent en place un plan

dvacuation, qui permettra le cas chant aux employs d'avoir accs des sorties de

secours en cas de danger, par exemple, un incendie. Examinons lexemple ci-dessous, la

porte de secours ne doit tre ouverte que dans le cas dactivation dune opration

dvacuation, et cest bien mentionn sur la porte. Lorganisation a coll un message

stipulant que la porte doit toujours rester ferme. Laxe organisationnel de la scurit est

donc bien rempli. Il en est de mme pour laxe technologique. Lorganisation a en effet

investi dans lacquisition dune porte qui se ferme automatiquement une fois elle est ouverte.

La faille doit tre recherche du ct de l'tre humain. Lemploy na pas respect la

consigne en immobilisant la porte pour la garder toujours ouverte. Ce comportement est fort

probablement d un manque de sensibilisation. Il suffit que lutilisateur ne suive pas la

consigne pour que larsenal de protection mis en place tombe dans linutilit. Cest pourquoi

ltre humain reste le maillon faible de la chane de scurit.

Figure 2 : Un exemple de la faille humaine

25

2.3 Les incidents de scurit ne viennent pas juste de lexterne

Souvent les organisations orientent leurs stratgies de scurit uniquement dans la

perspective externe. Elles supposent en effet, que la menace est de nature externe. Or, les

statistiques montrent qu linterne, il y a lieu aussi de sinquiter. Plus de 70% de dnis

daccs par exemple sont recenss depuis linterne. Nous navons qu penser un

collaborateur la fois motiv et mcontent. Mme la comptence nest pas un pr requis. En

effet, avec la vulgarisation des attaques, il nest pas ncessaire dtre un surdou en

informatique pour lancer telle ou telle opration. Aujourdhui, grce notamment linternet

tout est accessible. Vous navez qu surfer sur Google pour vous rendre compte des

possibilits illimites quoffre linternet pour nuire.

Les incidents de scurit linterne ont mont en puissance ces dernires annes. Ils ont fait

plusieurs reprises la Une de lactualit. Prenons lexemple de ce qui sest pass la

Socit Gnrale en France fin 2007. Un employ de la banque du nom Jrme Kerviel13 a

djou les mcanismes du contrle interne et il a ainsi dissimul de nombreuses positions

qui ont failli mettre en pril la banque. Quand on examine bien cette affaire, on se rend

compte que ce qui sest pass nest autre quune histoire de mauvaise gestion des accs.

Vengeance, besoin de reconnaissance sont souvent les premier lments de motivation des

attaques internes. Les enqutes menes par les organismes spcialiss regorgent dexemples

de donnes voles ou dtruites par des employs licencis. Le rapport du CSI/FBI intitul

Computer crime and security survey 200514 signale que la plupart des incidents affectant

les entreprises amricaines ont une cause interne. Souvent aussi, leurs consquences sont

bien plus graves que les dommages causs par les attaques externes. A titre dexemple, les

responsables de la reprsentation dUBS Tokyo ont admis la disparition dun disque dur

contenant des donnes hautement confidentielles sur la clientle. La dlimitation peu claire

des comptences et le non-respect des directives internes sont lorigine de cette perte.

13 Jrme Kerviel est un oprateur de march de la Socit gnrale accus par son employeur d'tre le

responsable de 4,82 milliards d'euros parmi les pertes de la banque en janvier 2008 rsultant de prises de

positions dissimules et contraires aux rglements de la Socit gnrale d'environ 50 milliards d'euros sur des

contrats terme sur indices d'actions entre 2007 et dbut 2008. 14 http://www.cpppe.umd.edu/Bookstore/Documents/2005CSISurvey.pdf

26

Les actes de malveillance ne reprsentent pas lunique typologie dincidents internes. Les

accidents et les erreurs reprsentent aussi une bonne partie dincidents recenss linterne.

Ainsi, une banque marocaine a vu son systme dinformation indisponible pendant plusieurs

heures et travers toutes ses agences suite un dploiement non contrl dun correctif15.

Le cas de la Bourse de Casablanca, qui par carence collective grave au niveau de son

management16, a vu des informations relatives aux ordres cachs, dits icebergs, vhiculs

par le systme de diffusion de la BVC travers le site de Bourse en ligne Boursomaroc, est

un exemple qui rappelle que les consquences des erreurs peuvent tre aussi scandaleuses

que celles des actes de malveillance.

Chantage auprs de la Direction Gnrale

Les employs dune socit marocaine ont reu une photo compromettante remettant en

cause le caractre moral de lun de leurs directeurs. Aprs enqute, il sest avr que

lattaque venait de linterne. Un employ de la socit ntant pas dans les bons termes avec

sa hirarchie utilisait une boite de messagerie externe pour envoyer la dite photo

lensemble des employs pour faire du chantage auprs de la direction gnrale.

2.4 La scurit, ce nest pas juste la confidentialit

La scurit des SI repose sur les quatre piliers suivants :

La disponibilit

La disponibilit se manifeste en terme daccessibilit aux ressources du SI (Ordinateurs,

Serveurs, Bases de donnes, Rseaux, services, etc). Lindisponibilit est probablement

lvnement indsirable le plus ressenti par les utilisateurs du SI. En effet, souvent quand un

service est indisponible, on ressent les effets immdiatement. Incapacit remplir les tches

quotidiennes, interruption des services et dysfonctionnements au niveau des activits de

lentreprise, sont quelques exemples de consquences quune indisponibilit peut provoquer.

15 Un correctif est une section de code que l'on ajoute un logiciel, pour y apporter des modifications

mineures afin de corriger la faille de scurit. 16 http://www.financesnews.ma/article_detail.php?id_art=4983

27

Lindisponibilit peut tre provoque par plusieurs typologies dattaques malveillantes. Elle

est vise notamment par les attaques qualifies de dni de service DoS 17 et dni de

service distribu DDoS18 . Une attaque virale, une intrusion ou lexploitation dune

vulnrabilit peuvent avoir aussi comme effet une indisponibilit totale ou partielle du SI. A

cette liste, on peut ajouter les attaques physiques sur les installations informatiques ou le

cblage des rseaux qui ne requirent que peu de technologie et qui engendrent les mmes

effets.

Lintgrit

De manire gnrale, l'intgrit des donnes dsigne l'tat de donnes qui, lors de leur

traitement, de leur conservation ou de leur transmission, ne subissent aucune altration ou

destruction volontaire ou accidentelle, et conservent un format permettant leur utilisation.

L'intgrit des donnes comprend quatre lments : l'intgralit, la prcision,

l'exactitude/authenticit et la validit19.

Latteinte lintgrit peut avoir de lourdes consquences sur la fiabilit dun SI. A titre

dexemple, la mise en cause de lexactitude des donnes stockes dans un systme de

banque aurait des consquences immenses. La fausset de celles stockes dans un systme

mdical reprsenterait un danger mortel. Ce type daltration peut mme faire lobjet de

menaces de tentatives dextorsion envers des organismes cibls. Les virus ou autres logiciels

malveillants peuvent aussi entraner la destruction ou laltration partielle de donnes.

La preuve

La preuve est la garantie de ne pas pouvoir rfuter une transaction avec possibilit de

pouvoir auditer les rsultats fournis (exemple : un virement de fonds et la vrification du

journal comptable partir des informations d'entre). Lorsquil ny avait que le niveau

technique de la preuve (numrique), lauditabilit tait restreinte de la traabilit (capacit

17 Denial of Service (DoS), Dnis de Service en franais, est une attaque ayant pour but de rendre indisponible un

service. 18 Distribued Denial of Service (DDoS), Dnis de Service Distribu en franais, est une attaque ayant pour but de

rendre indisponible un service impliquant une multitude dordinateurs zombies . 19 http://fr.wikipedia.org/wiki/Intgrit_des_donnes

28

garder la trace des dcisions prises et des actions entreprises), voire de limputabilit

(capacit attribuer un auteur une dcision ou un excutant une action).

La confidentialit

La confidentialit demeure le pilier le plus difficile cerner. En effet, une atteinte la

confidentialit est irrversible. On ne peut procder un lavage des cerveaux des

personnes ayant eu un accs accidentel ou illicite une information confidentielle. Alors

quune atteinte la disponibilit, intgrit ou la preuve peut tre redresse.

La copie de secrets commerciaux, lidentification des informations sensibles concernant les

rseaux ou les utilisateurs suite une intrusion dans un SI, laccs aux bases de donnes

sont quelques exemples dune attaque logique visant latteinte la confidentialit. Cette

dernire peut tre aussi viole physiquement. On nglige souvent la copie physique et le vol

des supports de stockage de donnes notamment les cls USB, qui impliquent un faible

niveau de matrise technologique.

2.5 Faire de la scurit, cest tre ferm dans un environnement

compltement ouvert

Linternet, en tant quenvironnement nappartenant la fois personne et appartenant

tout le monde, offre des opportunits daffaires illimites. Plusieurs entreprises lont bien

compris. Elles ont construit leurs modles daffaires sur cette base. Le cas dAmazon20 qui

nest autre quune immense base de donnes de livres, offrant la possibilit de se procurer

un livre en one clic est apprhender. En effet, Amazon nest pas un diteur de livre.

Pourtant, elle sengage vous fournir le livre que vous souhaitez avoir, sous rserve quil soit

disponible, dans un dlai trs court. Autrement dit, Amazon est une entreprise en rseau

ayant un systme dinformation interconnect avec celui de ses fournisseurs, partenaires et

clients. Sans le web, le modle daffaires de Amazon naurait pas t possible. Lexemple de

Dell21est aussi mditer. Lentreprise ayant comme stratgie de diffrenciation, la

personnalisation des offres et la vente directe des ordinateurs, nest pas un constructeur

dordinateur, cest un assembleur. Nanmoins, elle sengage vous fournir lordinateur que

vous souhaitez avoir dans un dlai trs court. La carte mre tant fabrique dans un pays,

20 http://www.amazon.com 21 http://www.dell.com

29

lcran dans un autre, lassemblage se fait quelque part dans le monde. Dell nest autre

quune entreprise en rseau qui tire profit du Web pour faire aboutir son modle daffaire. Il

est dailleurs, extrmement difficile de dlimiter les frontires du SI dune entreprise comme

Dell. Les fournisseurs, les partenaires logistiques, les clients se trouvent sur le mme SI.

Sans le Web ce modle daffaire ne serait pas possible.

Souvrir donc, attire plus dopportunits. Mais, ceci ramne aussi de nouvelles menaces

auxquelles il faudra faire face. En oprant dans un environnement ouvert, les organisations

se trouvent exposes des attaques qui ne peuvent avoir lieu dans un environnement

compltement ferm. Une entreprise qui propose ses clients des services transactionnels

sur son site Web, se voit contrainte dinvestir en scurit pour mieux protger ses intrts et

ceux de ses clients.

Etant donn quaujourdhui, les organisations sont contraintes sous leffet de la concurrence

de plus en plus froce dimaginer de nouvelles faons doprer en proposant des services

valeur ajoute, la tendance est plutt vers louverture. Les entreprises marocaines ny

chapperont pas pour longtemps. Dans cette perspective, continuer scuriser son SI

reviendra tre ferm dans un environnement compltement ouvert. Ce qui est loin

dtre simple. Cet quilibre est trs difficile aller chercher.

2.6 La fin de la scurit primtrique

La premire chose laquelle nous pensons pour scuriser le SI dune organisation est le

primtre externe. Dployer un Pare-Feu, mettre en place des mcanismes de filtrage de

contenu et de filtrage URL, installer un systme de dtection et de prvention dintrusion,

sont quelques exemples de la scurit primtrique.

Depuis quelques annes, nous constatons une meilleure prise en compte des

recommandations ce niveau. Il en rsulte quune attaque est plus difficile oprer sur le

primtre externe. Il fallait donc monter dans les couches du modle OSI22 pour notamment

passer au travers les dfenses primtriques directement par les serveurs applicatifs et les

applications mtiers et indirectement via les postes utilisateurs qui sont gnralement moins

22 Le modle OSI (Open Systems Interconnection) est un modle de communications entre ordinateurs propos

par l'ISO (Organisation internationale de normalisation). Il dcrit les fonctionnalits ncessaires la

communication et l'organisation de ces fonctions.

30

protgs et qui offrent plus de fonctionnalits et de services (accs au rseau interne, accs

lInternet, etc). Lintrt est multiple :

Flux autoriss vers les serveurs (http, ftp, etc.) ;

Produits ayant davantage de vulnrabilits (Web) ;

Applications mtiers propritaires (non prouves, peu audites, etc) ;

Lien direct avec les donnes mtiers.

Il en rsulte quaujourdhui la menace est de plus en plus applicative. Quand on dveloppe

une application, la scurit reste le dernier souci. Nous dveloppons en fonction dun cahier

des charges qui prcise les fonctionnalits cibles quil va falloir couvrir. Par consquent, nous

arrivons avec une application qui certes, rpond des exigences fonctionnelles, mais sur le

plan de scurit prsente souvent des vulnrabilits critiques allant jusqu la possibilit de

prise en main distance dun serveur applicatif. Des statistiques rcentes montrent quel

point la menace applicative est devenue srieuse.

OWASP Top 10 2007 (Previous) OWASP Top 10 2010 (New) A2 Injection Flaws A1 Injection A1 Cross Site Scripting (XSS) A2 Cross Site Scripting (XSS) A7 Broken Authentication and Session Management

A3 Broken Authentication and Session Management

A4 Insecure Direct Object Reference A4 Insecure Direct Object References A5 Cross Site Request Forgery (CSRF) A5 Cross Site Request Forgery (CSRF) A6 Security Misconfiguration (NEW)

A10 Failure to Restrict URL Access A7 Failure to Restrict URL Access A8 Unvalidated Redirects and Forwards (NEW) A8 Insecure Cryptographic Storage A9 Insecure Cryptographic Storage A9 Insecure Communications A10 Insufficient Transport Layer Protection A3 Malicious File Execution A6 Information Leakage and Improper Error Handaing

Figure 3 : Top 10 des vulnrabilits applicatives23

Sur l'ensemble des vulnrabilits identifies en 2008, 63 % concernaient des applications

Web, contre 59 % en 200724.

23 Source : OWASP http://www.owasp.org 24 Symantec Internet Security Threat Report :2008

http://www.symantec.com/fr/fr/about/news/release/article.jsp?prid=20090414_01

31

2.7 Lexploit dune vulnrabilit est de plus en plus rapide

Sil y a quelques annes, le temps moyen entre la publication dune vulnrabilit et son

exploitation tait quelques semaines, en 2008, 80% des exploits de vulnrabilit taient

disponibles aprs 1 9 jours de la divulgation de vulnrabilit au public. Durant la mme

anne, Qualys Labs identifi 56 exploits de failles zro-jour, y compris la vulnrabilit RPC

qui produisait Conficker25. En 2009, la premire vulnrabilit publie par Microsoft, MS09-001

avait un exploit disponible dans un dlai de sept jours26.

En 2003, un ordinateur non protg, dot dun systme type Windows et connect

linternet, pouvait rsister 40 minutes avant dtre infect par un virus. En 2004, 20 minutes.

En 2009, un ordinateur non scuris est infect, en moyenne, au bout de 4 minutes selon

des conclusions rcentes de linstitut SANS27.

Comme on peut le constater sur la figure ci-dessous, le nombre de victimes volue

rapidement. Seule une veille de vulnrabilits permettra de ragir au bon moment afin

dapporter les corrections ncessaires.

Figure 4 : Le cycle de vie de la vulnrabilit

25 Il sagit dun virus apparu fin novembre 2008, connu aussi sous les noms de Downup, Downandup et Kido). Il

est principalement install sur les machines fonctionnant sous Windows XP 26 Les lois de vulnrabilits 2.0 , Qualys http://www.qualys.com/docs/Laws_2.0.pdf 27 https://isc2.sans.org/survivaltime.html

Dcouverte de la faille

(Re)dcouverte de la faille ou fuite

Publication Correctif disponible

Correctif appliqu

Victimes

Temps

Correctif complet

Exploit

Automatisation

32

2.8 Assurer la scurit de son SI est de plus en plus une contrainte

rglementaire

Les organisations ayant un niveau de maturit lev en matire de scurit ninvestissent en

scurit quaprs avoir men un Business Impact Analysis. Seule donc, une analyse de risque

permettra lorganisation de savoir quels sont les risques quelle court et surtout quel sera

limpact si jamais ils se matrialisent. Cette dmarche aboutit un choix plus ou moins

rationnel en termes dinvestissements en scurit.

La dmarche de Business Impact Analysis a cd la place depuis quelques annes la

pression rglementaire qui impose notamment aux banques, oprateurs tlcoms et filiale de

multinationale une conduite stricte en matire de scurisation du SI. Plusieurs cadres

rglementaires ont vu le jour. Nous retenons ici :

2.8.1 Les accords de Ble II

Initialement bases sur une approche purement financire des risques, les recommandations

du comit Ble ont t profondment tendues en 2004 via l'accord Ble II. Ces

recommandations sont mises en uvre par l'immense majorit des tablissements financiers

au niveau mondial.

L'innovation majeure de ce nouvel accord par rapport celui de 1988 tient l'introduction

du risque oprationnel, recouvrant les risques relatifs la scurit des biens et des

personnes (incendies, vol et fraude, etc.), les risques informatiques (dveloppement,

maintenance et exploitation des systmes) et les risques lis aux procdures de gestion

interne (erreurs humaines, malveillance, etc.). Diffrentes approches sont possibles pour

valuer ce risque oprationnel, mais la plus performante est base sur l'historique des

vnements et des pertes associes.

L'accord Ble II vise mettre sous contrle l'ensemble des risques auxquels sont soumis les

tablissements financiers, et non plus seulement les risques financiers directement lis leur

activit. Tout en restant spcifiquement adapt au secteur bancaire, et notamment sa

grande maturit en matire de gestion des risques, il se rapproche ainsi de rglementations

plus gnriques comme la loi Sarbanes-Oxley.

33

Au Maroc, de nombreux projets de scurisation SI ont vu le jour dans les tablissements

bancaires sous la pression des accords Ble II. Nous citons, notamment :

La mise en place dune cartographie des risques (y compris les risques lis la

scurit des SI) ;

La mise en place dun plan de continuit dactivit ;

La mise en place de solutions de dtection et de prvention de fraudes.

2.8.2 PCI DSS

Tous les acteurs conomiques qui traitent, stockent et transmettent des donnes et

transactions de cartes bancaires, doivent intgrer la norme PCI DSS (Payment Card Industry

Data Security Standard). Cette norme est encadre par le PCI Security Standards Council,

une organisation fonde en 2005 par les principaux acteurs du secteur des cartes bancaires :

MasterCard, Visa, American Express, Discover Financial Services et JCB.

La norme PCI est prsente comme la garantie d'un haut niveau de scurit. Elle correspond

une srie de douze exigences auxquelles sont assujetties les organisations dont les

rseaux, les serveurs et les applications entrent en contact avec les donnes des titulaires de

carte. Concrtement, ces organisations doivent :

1. Installer et grer une configuration de pare-feu afin de protger les donnes des

titulaires de carte ;

2. Ne pas utiliser les paramtres par dfaut du fournisseur pour les mots de passe et les

autres paramtres de scurit de systme ;

3. Protger les donnes des titulaires de cartes stockes ;

4. Crypter la transmission des donnes des titulaires de carte sur les rseaux publics

ouverts ;

5. Utiliser et mettre jour rgulirement un logiciel antivirus ;

6. Dvelopper et grer des applications et systmes scuriss ;

7. Limiter laccs aux donnes des porteurs de carte aux cas de ncessit

professionnelle absolue ;

8. Attribuer une identit dutilisateur unique chaque personne disposant dun accs

informatique ;

9. Limiter laccs physique aux donnes des titulaires de carte ;

10. Suivre et surveiller tous les accs aux ressources du rseau et aux donnes des

titulaires de carte ;

11. Tester rgulirement les systmes et procdures de scurit ;

34

12. Disposer dune politique rgissant la scurit de linformation.

Si une ou plusieurs des exigences PCI ne sont pas satisfaites, les organisations sexposent

des mesures punitives qui pourraient comprendre des amendes proportionnelles

linfraction, pouvant atteindre des centaines de milliers de dollars, la rvocation du privilge

de traitement des cartes de crdit et le refus dmettre un certificat de conformit.

Linobservation des normes PCI pourrait en outre porter prjudice la marque et la

rputation de lentreprise, et mme entraner sa faillite. Les commerants peuvent aussi

recevoir des incitatifs importants pour se conformer aux exigences de la norme PCI DSS.

Au Maroc, Attijariwafa Bank, Banque Marocaine du Commerce Extrieur, Banque Populaire,

Centre Montique Interbancaire, Poste Maroc et Maroc Tlcommerce ont dmarr, sous la

pression notamment de VISA, les chantiers de conformit aux exigences de la norme PCI

DSS.

2.8.3 Sarbanes Oxley

La loi Sarbanes Oxley (SOX), du nom respectif des deux snateurs Paul Sarbanes et Michael

G. Oxley, a t adopte par le congrs amricain en Juillet 2002. Elle a vu le jour suite aux

multiples scandales comptables et financiers : Enron, Tyco International ou encore

WorldCom. Plusieurs points lis la scurit des SI doivent faire lobjet dun contrle strict

au sens de SOX. Il sagit notamment de :

1) La gestion des mots de passe

Le niveau de scurit des mots de passe ;

La vrification du changement des mots de passe tous les six mois ;

L'tude des notes dlivres par le responsable scurit aux employs sur la

politique des choix de mots de passe ;

Un exemple concret de test consisterait valuer la scurit des mots de passe

de 30 utilisateurs, et identifier la proportion de mots de passe faibles.

2) L'tude de rseau informatique

Vrification de l'authentification des accs VPN ;

Protection du rseau interne par 2 niveaux de pare-feux ;

Contrle et journalisation des accs Internet ;

Signature d'une charte de bon usage d'Internet ;

Authentification des utilisateurs pour accder Internet ;

Rvocation des certificats lors du dpart des collaborateurs ;

35

Filtrage des emails vis--vis des menaces connues: virus, chevaux de Troie, etc.

3) Plan de reprise en cas de dsastres

Sauvegarde des serveurs principaux ;

Externalisation des supports de sauvegarde ;

Rdaction d'un document de procdure de restauration pour chaque serveur.

4) La journalisation & Audits

Mener des audits internes afin d'assurer le bon fonctionnement des mesures de

scurit prises par l'entreprise ;

Vrification de l'existence des fichiers de logs des serveurs mails, des navigateurs

internet et des accs VPN ;

Traabilit des accs aux applications financires et ressources humaines ;

Sauvegardes des emails conserves durant 1 mois minimum (destinataire,

l'envoyeur, le sujet, la date et l'heure et l'IP ).

2.9 Le RSSI : un nouveau mtier

Sil y a quelques annes, la fonction de scurit ntait, au mieux, quun ensemble de tches

ralises par le responsable des rseaux, aujourdhui elle simpose comme un mtier part.

Une organisation ayant atteint une taille minimale en termes de nombre dordinateurs (plus

de 500 postes de travail) dans son parc informatique, ne peut continuer traiter la fonction

de la scurit dune faon parpille. En effet, en remettant la scurit aux mains de lexpert

informatique (gnralement le responsable des rseaux ou le responsable de lexploitation),

seulement laspect technologique de la scurit est pris en compte. Souvent, assurer la

scurit dans une telle configuration se limite lacquisition de logiciels adquats. Les

risques purement organisationnels et humains ne peuvent tre pris en charge dans un tel

contexte. Beaucoup dorganisations ont bien saisi les limites dune telle approche. Elles

disposent aujourdhui dune fonction entirement ddie la scurit prise en charge par ce

qui est communment appel RSSI (Responsable de Scurit des Systmes dInformation).

Dpendamment du niveau de maturit de la scurit au sein de lorganisation, le RSSI peut

tre rattach hirarchiquement diffrentes entits de lentreprise. Le rattachement la

direction gnrale peut tre fait au sein de trs grandes entreprises mais avec un rle

beaucoup plus large tendant plus vers le management du risque de la socit toute entire28.

Souvent, dans des organisations structures, le RSSI est rattach la direction des systmes

28 Bernard Foray La fonction RSSI , Edition Dunod, 2007

36

dinformation. Dans les structures de taille moyenne, le RSSI a souvent un positionnement

orient vers l'expertise technique. Il garantit avant tout la prennit et l'volution de

l'infrastructure pour faire face aux attaques et aux risques extrieurs. Il n'encadre

gnralement pas d'quipe. Alors que, en raison notamment dune culture interne forte en

matire de gestion des risques, le poste de RSSI revt un enjeu stratgique et dispose en

consquence de moyens plus importants qu'ailleurs. Il gre son budget, encadre

gnralement une quipe d'experts techniques, voire fonctionnels, et occupe un

positionnement transverse dans l'entreprise.

Figure 5 : Les rles, les objectifs et les chantiers du RSSI

III SES CHANTIERS

Audit de scurit

Analyse/Cartographie des risques Cible de scurit

Solutions de scurit Budget

Cartographies des ressources

Chartes de scurit Veille technologique/scurit Plan de continuit dactivit

Organisation des chantiers de scurit Gouvernance de la scurit des SI Politique et processus de scurit

Dispositif de contrle et de reporting Tableau de bord

Sensibilisation/Communication Scurit Assistance MOA/MOE

Lancement/Animation des chantiers Gestion du changement

Suivi/Budget

Recueils de bonnes pratiques Analyse de conformit rglementaire (Lois et rglements spcifiques)

Certification (ISO 27001)

II SES OBJECTIFS

Protger le patrimoine de son entreprise Identification de la valeur mtier valuation des menaces et des protections

Connatre et matriser les risques Risques existants, expositions, volution Solutions/cots Aide au choix des risques couvrir

Organiser la scurit Organiser et dcliner la scurit Lintgrer dans les processus mtiers Pilotage : contrle/reporting

Animer, piloter, suivre Progresser sur les chantiers Accompagner les volutions Contrle/suivi/reporting

Se conformer aux rglements/aux standards Veille rglementaire, suivi des standards

I - LES ROLES DU RSSI

RSSI

Garant du patrimoine

Gestionnaire

de risque

Organisateur

Leader de

communication

Garant

lgal

37

2.10 La scurit est une question de gouvernance

La scurit de linformation a t longtemps pargne des mouvements de meilleures

pratiques et de rfrentiels. Les RSSI se trouvaient souvent dsarms face la bonne

canalisation des nergies en matire de scurisation SI. Labsence de repre en la matire

compliquait constamment leurs tches. Aujourdhui, grce lmergence de plusieurs

rfrentiels de scurit, notamment la famille des normes ISO 27000, les RSSI disposent de

la matire pour mettre en place la gouvernance de la scurit de linformation. Parmi ces

rfrentiels, ISO 27002, en tant que bibliothque de meilleures pratiques, demeure le

rfrentiel le plus utilis quand il sagit daborder la scurit dans une perspective

transversale. En effet, outre les aspects lis la scurit logique, les aspects lis la scurit

physique, la scurit lie aux ressources humaines et aux aspects juridiques sont

largement couverts travers cette norme.

2.10.1 ISO 27001

L'ISO/CEI 27001 est une norme internationale de systme de management de la scurit de

l'information (SMSI), publie en octobre 2005 par l'ISO.

L'ISO/CEI 27001 dfinit l'ensemble des tests et contrles effectuer pour s'assurer du bon

respect d'ISO/CEI 27002. Elle sest inspire du modle PDCA (Roue de Duming) rappele, ci-

aprs :

Figure 6 : Le modle PDCA

Le modle PDCA (Planifier, Dployer, Contrle et Agir) impose le respect des points contrles

par rapport chaque section.

38

1) Planification : Etablir le SMSI

Lorganisme doit respecter les points de contrles suivants :

Dfinir le champ dtaill dapplication du SMSI (processus mtiers, organisation,

location, biens, technologies) ;

Dfinir la politique du SMSI ;

Dfinir lapproche dvaluation des risques (mthode, critre dacceptation, etc.) ;

Identifier les risques (biens traits, menaces, vulnrabilits potentielles, impacts) ;

Analyser et valuer les risques (impact mtier, probabilit, gravit) ;

Dfinir la stratgie de traitement des risques (transfert, accepte, etc.) ;

Dfinir les mesures (objectifs, points de contrle) de limitation des risques ;

Obtenir laccord du management sur la stratgie de traitement des risques ;

Obtenir laccord du management pour implmenter le SMSI ;

Formaliser la stratgie de traitement des risques (choix des mesures mettre en

uvre, liste des mesures dj appliques, justification de llimination de points de

contrle).

2) Dploiement : Mettre en place et exploiter le SMSI

Lorganisme doit respecter les points de contrles suivants :

Dfinir un plan dactions de traitement des risques (mesures de protection, ressources,

responsabilits, priorit, etc.) ;

Organiser le dploiement du plan dactions de traitement des risques ;

Dployer les points de contrle / les mesures de protection ;

Dfinir la stratgie de suivi et de mesure de lefficacit des actions ;

Dployer un programme de formation / sensibilisation ;

Piloter / grer les aspects oprationnels du SMSI ;

Mettre en uvre des procdures et des moyens de dtection et de traitement des

incidents.

3) Contrle : Contrler et valuer le SMSI

Lorganisme doit respecter les points de contrles suivants :

Mettre en uvre les procdures et les moyens de suivi (dtection derreurs, suivi des

incidents, des tentatives dexploitation de failles, contrle des performances humaines

et technologiques, etc) ;

Organiser le suivi de lefficacit du SMSI prenant en compte les rsultats daudit, les

relevs dincidents, les mesures defficacit, les suggestions et avis des intervenants

dans le SMSI, etc.)

Mesurer et contrler lefficacit des mesures dployes ;

39

Rvaluer rgulirement les risques ;

Effectuer rgulirement des audits du SMSI ;

Organiser le suivi du SMSI au niveau du Management (Direction Gnrale) ;

Adapter / mettre jour le plan dactions scurit (prendre en compte les indicateurs

de suivi defficacit) ;

Enregistrer / les actions et les vnements qui peuvent avoir un impact sur lefficacit

du SMSI.

4) Action : Soutenir et amliorer le SMSI

Lorganisme doit respecter les points de contrles suivants :

Implmenter les modifications identifies dans le SMSI ;

Prendre des mesures correctives et prventives (prendre en compte les retours

dexprience internes ou externes) ;

Communiquer sur les mesures et les adaptions du SMSI aux personnes impliques ;

Vrifier que les correctifs/modifications rpondent aux objectifs fixs.

2.10.2 ISO 27002

L'ISO/CEI 27002 est un ensemble de 133 mesures dites best practices , destines tre

utilises par tous ceux qui sont responsables de la mise en place ou du maintien d'un

Systme de Management de la Scurit de l'Information (SMSI). La scurit de l'information

est dfinie au sein de la norme comme la prservation de la confidentialit, de l'intgrit et

de la disponibilit de l'information .

Cette norme n'a pas de caractre obligatoire pour les entreprises. Son respect peut toutefois

tre mentionn dans un contrat : un prestataire de services pourrait ainsi s'engager

respecter les pratiques normalises dans ses relations avec un client.

La norme ISO/CEI 27002 est compose de onze sections principales, qui couvrent le

management de la scurit aussi bien dans ses aspects stratgiques que dans ses aspects

oprationnels. Chaque section constitue un chapitre de la norme :

Chapitre 1 : Politique de scurit

Chapitre 2 : Organisation de la scurit de l'information

Chapitre 3 : Gestion des biens

Chapitre 4 : Scurit lie aux ressources humaines

Chapitre 5 : Scurit physique et environnementale

40

Chapitre 6 : Gestion des communications et de l'exploitation

Chapitre 7 : Contrle d'accs

Chapitre 8 : Acquisition, dveloppement et maintenance des systmes d'information

Chapitre 9 : Gestion des incidents lis la scurit de l'information

Chapitre 10 : Gestion de la continuit d'activit

Chapitre 11 : Conformit lgale et rglementaire

Chaque section spcifie les objectifs atteindre et numre un ensemble de mesures (les

best practices ) permettant d'atteindre ces objectifs. La norme ne dtaille pas les

mesures, car chaque organisation est cense procder une valuation de ses propres

risques afin de dterminer ses besoins avant de choisir les mesures qui seront appropries

dans chacun des cas possibles.

Cette norme est de plus en plus utilise par les entreprises du secteur priv comme un

rfrentiel d'audit et de contrle, en complment de la politique de scurit de l'information

de l'entreprise. Le fait de respecter cette norme permet de viser, moyen terme, la mise en

place d'un Systme de Management de la Scurit de l'Information, et long terme, une

ventuelle certification ISO/CEI 27001.

Figure 7 : Les 11 chapitres de la norme ISO 27002

Contrle des accs

Gestion des biens

Politique de scurit

Organisation de la scurit

Scurit lie aux resources humaines

Scurit physique et

environnementa Gestion des

communications et dexploitation

Dveloppement et maintenance

Gestion de la continuit

Conformit lgale et

rglementaire

Information

Confidentialit

Gestion des incidents

Preuve

Disponibilit

Intgrit

41

Conclusion du chapitre La cybercriminalit est un business organis, facile, faible risque et surtout trs rentable.

De nombreux utilisateurs peu scrupuleux et en qute dargent facile nhsitent pas sy

lancer. Lincomprhension qui entoure lunivers de la scurit de linformation leur facilite

grandement la tche. En effet, la scurit est souvent apprhende comme un pur

phnomne technologique. Or, la menace organisationnelle peut avoir un impact aussi

important quune faille technique. En outre, ltre humain reste le maillon faible de la chane

de la scurit et il faut le considrer en tant que tel. A quoi sert la scurit dun SI, aussi

robuste soit-elle, si lutilisateur continue mettre son mot de passe sur un bout de papier et

le coller sur son ordinateur.

Une bonne gouvernance de la scurit SI doit sinspirer des meilleures pratiques en la

matire. Le recours un rfrentiel adressant les trois dimensions de la scurit savoir : la

dimension organisationnelle, la dimension technologique et la dimension humaine est vital

pour toute organisation souhaitant scuriser son SI.

42

Chapitre 2 : Les multiples visages de la

cybercriminalit

Deux choses sont infinies :

LUnivers et la btise humaine

Albert Einstein

La cybercriminalit a de multiples visages. Chaque jour, elle se manifeste dune nouvelle

manire. Tantt elle nest que la virtualisation danciennes mthodes descroqueries tantt

elle nous surprend par le caractre novateur du mode opratoire quelle applique. Les

attaques cybercriminelles sont potentiellement illimites. En effet, lmergence de nouvelles

applications va ncessairement gnrer des failles de scurit29. Le lancement de chaque

logiciel comporte des failles non rfrences que des cybercriminels sempresseront

dexploiter des fins de racket ou despionnage industriel ou autre (type attaque Zero Day).

Les cybercriminels ont donc de beaux jours encore devant eux. Il y aura toujours une activit

dviante dans le cyberespace tant que nous continuons utiliser des applications

potentiellement vulnrables.

Pour prsenter les diffrentes formes de la cybercriminalit, il nous a sembl pertinent de les

apprhender travers les objectifs viss par rapport aux quatre piliers de la scurit

savoir, la disponibilit, lintgrit, la confidentialit et la preuve. Par ailleurs, nous tenons

prciser que plusieurs typologies dattaques peuvent avoir un impact sur plusieurs piliers de

scurit. A titre dexemple, une attaque virale peut avoir comme consquence une atteinte

la disponibilit, lintgrit, la confidentialit ou la preuve dpendamment de la nature

des objectifs viss.

29 Il est gnralement reconnu dans lindustrie logicielle que chaque 1000 ligne de code peuvent gnrer en

moyenne 7 8 failles de scurit.

43

1. Lordinateur comme moyen ou cible dactes cybercriminels

1.1 Latteinte la confidentialit

A lheure du tout informatique, la confidentialit semble tre lun des piliers le plus touch

par la cybercriminalit. De nombreuses attaques ont souvent pour but de rechercher des

donnes sensibles au moyen de programmes robots ou autres logiciels malveillants pour les

utiliser ou les revendre. Selon Symantec30, 24% des demandes des clients des pirates

porteraient en effet sur des informations dtailles relatives des cartes de crdit, et 18%

sur des informations relatives des comptes bancaires31. Laccs ces donnes ne peut tre

considr comme une fin en soi. Ce nest quun objectif transitoire. Les donnes de cartes de

crdit par exemple pourront tre utilises ultrieurement pour commettre des fraudes en

ligne, ce qui classera ce dlit dans la catgorie des objectifs convertibles.

Le cot des donnes personnelles drobes dpend directement du pays o vit le dtenteur

lgitime de ces donnes. Par exemple, les donnes compltes de rsidents des Etats-Unis

valent entre 5 et 8 dollars. Sur le march noir, les donnes d'habitants de l'Union

europenne sont particulirement recherches : elles cotent deux trois fois plus que les

donnes de rsidents des Etats-Unis et du Canada32.

Lappt du gain nest pas le seul but recherch par latteinte la