Développement des TIC au Maroc Développement des TIC au Maroc
Cybercriminalite Au Maroc
-
Upload
mohamed-tarsafi -
Category
Documents
-
view
46 -
download
1
Transcript of Cybercriminalite Au Maroc
-
2
-
3
La cybercriminalit au Maroc, 2010
Tous droits rservs, y compris droits de reproduction
totale ou partielle sous toutes formes.
Dpt lgal : 2010 MO 1585
ISBN : 978-9954-9072-0-7
-
4
A mon fils Ismail
-
5
Remerciements Ce livre naura pas t possible sans le soutien de plusieurs personnes. Mes penses vont notamment
:
- Jean-Guy RENS, auteur du livre Lempire invisible et prsident de lassociation canadienne
des technologies avances qui ma fait part de ses prcieux conseils tout au long de la
rdaction de ce livre.
- Mohamed CHAWKI, auteur du livre Combattre la cybercriminalit et prsident de
lassociation internationale de lutte contre la cybercriminalit qui a accept de rdiger la
prface de ce livre.
- Nabil OUCHN, co-fondateur de Netpeas et expert en scurit qui a apport sa contribution et
son tmoignage sur lunivers de lUnderground marocain.
- Tous les consultants scurit de la socit DATAPROTECT, notamment Hamza HAROUCHI et
Othmane CHAFCHAOUNI qui mont soutenu tout au long de ce travail.
- Tous mes anciens collgues de BT NET2S avec qui jai partag des moments forts pendant
plus de trois ans. Je pense notamment mon quipe scurit. Rabii AMZERIN, Younes
BOURRAS, Younes ZAKIDDINE et Mohamed Amine LEMFADLI.
Je vous remercie tous !
-
6
Table des matires
Prface ................................................................................................................................ 12
Introduction ....................................................................................................................... 14
Chapitre 1 : Dmystification de la cybercriminalit ........................................................... 16
1. La cybercriminalit : concepts et enjeux .................................................................... 17
1.1 La cybercriminalit : Un nouveau concept ......................................................................17
1.2 La cybercriminalit : Une activit en pleine croissance ....................................................17
1.3 La cybercriminalit : Une activit rentable ......................................................................18
1.4 La cybercriminalit : Une activit facile ..........................................................................20
1.5 La cybercriminalit : Une activit faible risque .............................................................20
1.6 La cybercriminalit : Une activit organise ....................................................................20
2. Dmystification de la notion de la scurit de linformation ...................................... 21
2.1 La scurit nest pas seulement un enjeu technologique .................................................21
2.2 Ltre humain est le maillon faible de la chane de la scurit ..........................................23
2.3 Les incidents de scurit ne viennent pas juste de lexterne ............................................25
2.4 La scurit, ce nest pas juste la confidentialit ..............................................................26
2.5 Faire de la scurit, cest tre ferm dans un environnement compltement ouvert .......
...................................................................................................................................28
2.6 La fin de la scurit primtrique ..................................................................................29
2.7 Lexploit dune vulnrabilit est de plus en plus rapide ....................................................31
2.8 Assurer la scurit de son SI est de plus en plus une contrainte rglementaire.................32
2.8.1 Les accords de Ble II ..............................................................................................32
2.8.2 PCI DSS ...................................................................................................................33
2.8.3 Sarbanes Oxley ........................................................................................................34
2.9 Le RSSI : un nouveau mtier ........................................................................................35
2.10 La scurit est une question de gouvernance .................................................................37
2.10.1 ISO 27001 .........................................................................................................37
2.10.2 ISO 27002 ........................................................................................................39
Chapitre 2 : Les multiples visages de la cybercriminalit .................................................. 42
1. Lordinateur comme moyen ou cible dactes cybercriminels ...................................... 43
1.1 Latteinte la confidentialit .........................................................................................43
-
7
1.1.1 Lattaque virale ........................................................................................................44
1.1.2 Le Phishing ..............................................................................................................48
1.2 Latteinte la disponibilit .............................................................................................51
1.2.1 Le DoS et le DDoS ....................................................................................................51
1.3 Latteinte lintgrit ....................................................................................................56
1.3.1 Dfacement des sites web ........................................................................................57
1.4 Latteinte la preuve ....................................................................................................59
1.4.1 Latteinte logique ......................................................................................................59
1.4.2 Latteinte physique ...................................................................................................59
1.5 Les outils utiliss ..........................................................................................................60
1.5.1 Le Botnet .................................................................................................................60
1.5.2 Le Keylogger ............................................................................................................64
1.5.3 Le Rootkit ................................................................................................................65
2. Lordinateur comme facilitateur dactes cybercriminels ............................................ 66
2.1 Lescroquerie ................................................................................................................66
2.2 La fraude la carte bancaire .........................................................................................68
2.3 Le blanchiment dargent ...............................................................................................71
2.4 Le cyberterrorisme .......................................................................................................76
2.5 La pdophilie sur linternet ............................................................................................80
Chapitre 3 : Lcosystme de la cybercriminalit au Maroc ............................................... 84
1. Lunivers Underground ............................................................................................... 85
1.1 Les acteurs de lunivers Underground ............................................................................86
1.1.1 Le hacker .................................................................................................................86
1.1.2 Les black hat hackers ...............................................................................................86
1.1.3 Les script kiddies ................................................................................................87
1.1.4 Les phreakers ..........................................................................................................87
1.1.5 Les carders ..............................................................................................................88
1.1.6 Les crackers .............................................................................................................88
1.1.7 Les hacktivistes ........................................................................................................88
1.2 Quelques mythes entourant lunivers Underground .........................................................89
1.2.1 Le cyberdlinquant est-il un expert informatique ? ......................................................89
1.2.2 Le cyberdlinquant est-il quelquun dorganis ? .........................................................89
1.2.3 Le cyberdlinquant est-il un introverti ? .....................................................................90
1.3 Les principales motivations des acteurs de lunivers Underground ....................................91
1.3.1 La curiosit intellectuelle ...........................................................................................91
1.3.2 LEgo .......................................................................................................................91
1.3.3 Lidologie ...............................................................................................................92
-
8
1.3.4 Largent ...................................................................................................................93
2. Les diteurs, constructeurs, intgrateurs, distributeurs, cabinets conseils, hbergeurs
et les cybercafs. ................................................................................................................ 95
2.1 Les diteurs et les constructeurs ...................................................................................95
2.2 Les intgrateurs et les distributeurs ...............................................................................96
2.3 Les cabinets conseil ......................................................................................................97
2.4 Les hbergeurs ............................................................................................................97
2.4.1 Le recours aux hbergeurs dits bulletproof .................................................................97
2.5 Le cybercaf ................................................................................................................99
3. Les centres de recherche et de formation ................................................................ 100
3.1 La recherche .............................................................................................................. 100
3.2 La formation .............................................................................................................. 101
3.2.1 Lenseignement acadmique ................................................................................... 101
3.2.2 Les certifications en scurit ................................................................................... 101
4. Les organes institutionnels dinvestigation, de rpression et de veille .................... 103
4.1 Linvestigation et la rpression .................................................................................... 103
4.2 La veille et le signalement ........................................................................................... 108
4.2.1 La veille ................................................................................................................. 108
4.2.2 Le signalement ....................................................................................................... 109
5. Les acteurs institutionnels internationaux .................................................................. 110
Chapitre 4 : Larsenal juridique face la cybercriminalit au Maroc ............................... 112
1. La loi n07-03 compltant le code pnal en ce qui concerne les infractions relatives
aux systmes de traitement automatis des donnes ..................................................... 113
1.1 Les intrusions ............................................................................................................. 114
1.1.1 Laccs frauduleux dans un STAD ............................................................................ 114
1.1.2 Le maintien frauduleux dans un STAD ..................................................................... 116
1.2 Les atteintes .............................................................................................................. 117
1.2.1 Les atteintes au fonctionnement d'un STAD ............................................................. 117
1.2.2 Les atteintes aux donnes ....................................................................................... 118
2. La loi 53-05 relative lchange lectronique de donnes juridiques ..................... 119
2.1 La preuve .................................................................................................................. 119
2.1.1 La redfinition de la preuve littrale ......................................................................... 119
2.1.2 La conscration de la force probante de lcrit lectronique ....................................... 120
2.2 La signature lectronique ............................................................................................ 120
2.2.1 La reconnaissance juridique de la signature lectronique .......................................... 121
2.2.2 Les prestataires de services de certification .............................................................. 122
-
9
3. La loi n09-08 relative la protection des personnes physiques lgard du
traitement des donnes caractre personnel ................................................................ 125
3.1 La nature des donnes protger ............................................................................... 125
3.2 Les droits de la personne concerne ............................................................................ 126
3.2.1 Le droit linformation ............................................................................................ 127
3.2.2 Le droit daccs ...................................................................................................... 127
3.2.3 Le droit de rectification ........................................................................................... 127
3.2.4 Le droit dopposition ............................................................................................... 127
3.3 Les obligations du responsable du traitement ............................................................... 128
3.3.1 Dclaration pralable .............................................................................................. 128
3.3.2 Autorisation pralable ............................................................................................. 129
3.3.3 Obligation de confidentialit et de scurit des traitements et de secret professionnel 129
Chapitre 5 : Vers la confiance numrique au Maroc ......................................................... 132
1. LEtat de lart des tentatives tatiques pour garantir la confiance numrique ..............
.................................................................................................................................. 133
1.1 Lexemple des Etats-Unis ............................................................................................ 133
1.2 Lexemple de la France ............................................................................................... 135
2. La confiance numrique au Maroc ............................................................................ 135
2.1 Le renforcement du cadre lgislatif .............................................................................. 136
2.1.1 Protger les personnes physiques lgard des traitements de donnes caractre
personnel ........................................................................................................................... 137
2.1.2 Favoriser la dmatrialisation des transactions lectroniques .................................... 137
2.1.3 Soutenir le dveloppement du commerce lectronique.............................................. 138
2.2 Mise en place des structures organisationnelles appropries.......................................... 140
2.2.1 Mettre en place le Comit de la Scurit des Systmes dInformation ........................ 140
2.2.2 Mettre en place le ma-CERT .................................................................................... 141
2.2.3 Mettre en place un tiers de confiance ...................................................................... 145
2.2.4 Mettre en place la commission nationale de la protection des donnes personnelles ... 145
2.2.5 Dvelopper des sites de back-up ............................................................................. 145
2.3 Promotion dune culture de scurit ............................................................................. 146
2.3.1 Mettre en uvre un programme de sensibilisation et de communication sur la SSI .... 146
2.3.2 Mettre en place des formations sur la SSI destination des lves ingnieurs ............ 147
2.3.3 Mettre en place des formations destination des professions juridiques .................... 148
2.3.4 Dfinir une charte des sites marchands .................................................................... 149
Conclusion Gnrale ......................................................................................................... 150
Bibliographie .................................................................................................................... 152
Ouvrages ........................................................................................................................... 152
-
10
Rapports ........................................................................................................................... 153
Sites utiles ........................................................................................................................ 154
Table des illustrations
Figure 1 : Les trois dimensions de la scurit .................................................................................22
Figure 2 : Un exemple de la faille humaine ....................................................................................24
Figure 3 : Top 10 des vulnrabilits applicatives .............................................................................30
Figure 4 : Le cycle de vie de la vulnrabilit ...................................................................................31
Figure 5 : Les rles, les objectifs et les chantiers du RSSI ...............................................................36
Figure 6 : Le modle PDCA ...........................................................................................................37
Figure 7 : Les 11 chapitres de la norme ISO 27002 ........................................................................40
Figure 8 : L'volution du nombre de virus ......................................................................................45
Figure 9 : Les vecteurs d'infection virale ........................................................................................46
Figure 10 : 10 ans de lutte antivirale .............................................................................................47
Figure 11 : Lvolution des attaques DDoS .....................................................................................54
Figure 12 : La structure d'un Botnet ..............................................................................................61
Figure 13 : Lvolution du nombre de PC zombies durant le 1er semestre 2009 ................................62
Figure 14 : Les principaux pays responsables de la cration des zombies .........................................63
Figure 15 : L'ampleur du phnomne du SPAM ..............................................................................64
Figure 16 : Exemple de blanchiment d'argent via une mule .............................................................74
Figure 17 : Rexpdition de marchandises "douteuses" par une mule ..............................................75
-
11
-
12
Prface
La cybercriminalit fait partie des conduites les plus odieuses que lon ait pu imaginer. Hlas,
lapparition de nouvelles technologies comme celle de linternet a permis lamplification de ce
phnomne insupportable, au point que cette infraction est devenue lune des sources
majeures de profits pour les organisations criminelles. Au Maroc des nouvelles lois ont t
promulgues, et des nouvelles organisations ont t cres pour combattre les cyberdlits.
Ds lors, lutilit dun ouvrage sur les nouveaux dveloppements de cette forme de
criminalit au Maroc ne saurait tre conteste.
Cest cette tche que M. El Azzouzi sest attel. Compte tenu de toutes ses qualits, celui-ci
tait particulirement bien plac pour raliser ce travail. En effet, dune part M. El Azzouzi a
men plusieurs missions daudit et de recherche dans le domaine de la cyberscurit. Dautre
part, aprs un parcours qui la ramen grer des projets denvergure en scurit au
Canada et au Maroc, il dispose aujourdhui dun retour dexprience riche et vari dans le
domaine de la scurit de linformation.
De faon trs structure, lauteur tudie en plusieurs parties le phnomne de la
cybercriminalit au Maroc. Ainsi, il a notamment envisag dlucider les multiples visages de
la cybercriminalit tout en prenant soin de dcortiquer lcosystme qui gravite autour de ce
phnomne et ce sans ngliger les aspects juridiques et lgislatifs.
Compte tenu de la qualit du contenu apport par lauteur, on ne peut que recommander
trs fort la lecture de ce livre crit par un expert international qui a consacr plusieurs
annes ltude du phnomne de la cybercriminalit.
Mohamed CHAWKI
Conseiller dEtat adjoint
Prsident de lAILCC, France
-
13
-
14
Introduction
Linternet a transform le monde en un village plantaire. Il amliore la productivit des
entreprises, rvolutionne les mthodes de travail et rend possible lmergence de nouveaux
modles daffaires permettant de communiquer, ngocier, changer et de commercialiser en
temps rel. En ce sens, son apport est capital pour nos socits. Il est devenu au fil des
temps si indispensable que peu dorganisations et de particuliers peuvent sen passer
aujourdhui. Or cette rvolution a galement rendu possibles de nouvelles formes de
criminalit lies au cyberespace. En effet, linternet na pas t dvelopp, ds le dpart, de
manire scurise. Ses multiples composants matriels, logiciels et protocolaires taient et
demeurent empreints de nombreuses failles de scurit qui peuvent avoir en cas
dexploitation des consquences bien relles. Ce qui a favoris lmergence des
comportements dviants dans le cyberespace. La cybercriminalit est ainsi ne.
Lanonymat que procure le cyberespace, la vulgarisation des techniques dattaques,
ladoption grande chelle du web 2.0 ont acclr la croissance des actes cybercriminels
ces dernires annes. En 2009, la cybercriminalit a gnr plusieurs milliards de dollars
selon une rcente tude de Symantec. Pas tonnant de voir de plus en plus dadeptes sy
intresser. Lattractivit du phnomne est telle que des milliers dinternautes, en qute
dargent facile, nhsitent pas franchir le pas. En effet, en cette priode de marasme
conomique, l'argent honnte est plus difficile gagner. De plus en plus d'individus sont
attirs par le monde de la fraude pour arrondir leurs fins du mois. Ainsi, le cybercriminel de
dimanche fait son apparition dans lcosystme qui gravite autour de la cybercriminalit.
Finie donc lpoque o les actes de dviance dans le cyberespace ne sont que les uvres
des acteurs en qute de reconnaissance sociale. Aujourdhui, la cybercriminalit est une
activit quon pratique dabord pour lappt du gain. Pour attirer lattention de son auteur,
une opration cybercriminelle doit gnrer de largent. Ceci a permis une reconfiguration de
lcosystme li la cybercriminalit. En effet, si avant lessentiel des actes de dviance tait
-
15
perptr par des individus experts en scurit certes, mais dsorganiss et souvent
introvertis, aujourdhui lconomie souterraine de la cybercriminalit obit des rgles de
rationalit conomique exigeant un travail en quipe, une organisation efficace et une
spcialisation outrance. En outre, il nest pas ncessaire dtre un surdou en informatique
pour se lancer dans la cybercriminalit. De nombreux forums proposent des packages
complets permettant mme un profane de perptrer des actes cybercriminels. Il nest pas
rare de constater par exemple quune attaque virale a t conue par une quipe compose
par plusieurs programmeurs qui ne se sont probablement jamais vu rellement et exploite
par dautres individus ayant rcuprs le programme malveillant en contre partie dun service
ou de largent. Certains groupes, pour faire valoir leurs produits, vont jusqu proposer un
engagement de rsultat et un service aprs vente 24h/24h et 7j/7j.
Avec cette menace grandissante qui devient plus visible pour les masses, les forces de lordre
dans le monde entier redoublent d'efforts pour combattre la cybercriminalit. Bien que la
coordination internationale soit entrave par une approche globale inexistante, les structures
de partage des informations et des ressources s'amliorent et un certain nombre
d'arrestations et de procs ont eu lieu en 2009.
Au Maroc, la cybercriminalit, qui tait jusqu une date rcente un phnomne marginal,
attire de plus en plus lattention des pouvoirs publics. De nouvelles lois ont t promulgues,
de nouvelles organisations ont t cres et un programme ambitieux de confiance
numrique propos dans le cadre de la stratgie Maroc Numeric 2013 a t lanc. Ainsi,
la culture de scurit, bien quelle nest que dans un tat embryonnaire, commence
sinstaller non seulement dans les institutions publiques et privs mais aussi dans lesprit de
tout un chacun.
-
16
Chapitre 1 : Dmystification de la
cybercriminalit
Dans les rvolutions, il y a deux sortes de gens :
ceux qui les font et ceux qui en profitent
Napolon Bonaparte
Aot 2005 : les serveurs de Microsoft, CNN, ABC, du New York Times et de plus d'une
centaine d'entreprises amricaines sont attaqus par le virus Zotob, provoquant des dgts
valus plusieurs dizaines de millions de dollars. Une enqute rondement mene au niveau
international aboutit quelques semaines plus tard larrestation de Farid Essebar, alias
Diab10, un jeune cyberpirate marocain qui agissait depuis un cybercaf. Les journaux parlent
de cyber-diable et de gnie informatique . Cette image de ladolescent cherchant
dsesprment exploiter une vulnrabilit dun serveur lointain ne doit pas nous induire en
erreur.
Les cyberpirates qui font la une sont des amateurs qui se font prendre plus ou moins
rapidement. Cest dailleurs pour cela que leurs noms se retrouvent sur la place publique. Le
vritable danger vient plutt de nouveaux groupes trs structurs qui sont lorigine dune
vritable industrie de la cybercriminalit. Celle-ci simpose dsormais comme un mtier
part. Elle dispose, certes de ses propres spcificits. Cependant, linstar de lactivit
conomique conventionnelle, elle obit de plus en plus aux logiques conomiques de la
croissance, de la rentabilit financire, de la gestion des risques, de lorganisation et de la
division du travail.
-
17
1. La cybercriminalit : concepts et enjeux
1.1 La cybercriminalit : Un nouveau concept
Il nexiste pas de dfinition universelle pour le terme cybercriminalit. Celui-ci est utilis
gnralement pour dcrire l'activit criminelle dans laquelle le systme ou le rseau
informatique est une partie essentielle du crime. Il est galement employ pour dcrire des
activits criminelles traditionnelles dans lesquelles les ordinateurs ou les rseaux sont utiliss
pour raliser une activit illicite. Dans le premier cas, les technologies sont la cible de
lattaque. Dans le second, elles en sont le vecteur.
1.2 La cybercriminalit : Une activit en pleine croissance
Grce notamment la diffusion sur le Web de nouveaux services et outils sadressant une
population mondiale de plus en plus dispose les adopter, la croissance des actes
cybercriminels sest particulirement acclre ces trois dernires annes. Cette tendance
samplifie rapidement depuis la vogue du Web 2.0, notamment les rseaux sociaux qui ont
atteint un niveau de popularit lev parmi les sites Web. Ils sont devenus des vecteurs
privilgis de propagation de programmes malveillants et de courrier indsirable. Lefficacit
dune telle diffusion est denviron 10%. Ce qui est bien suprieure l'efficacit des mthodes
classiques de diffusion des programmes malveillants par courrier lectronique1. Autre, les
rseaux sociaux, les nouveaux services affrents aux blogs, aux forums, aux wikis,
YouTube, Twitter, etc sont lorigine de la croissance dattaques. En effet, tous ces
services en ligne jouent sur la confiance tablie entre les membres dun mme rseau, la
facilit de tlchargement, de publication et dautres techniques dchange des informations,
qui rendent leurs utilisateurs vulnrables aux infections de logiciels malveillants2. Ces
nouveaux services ont donn une ampleur sans prcdent certaines formes de fraude, qui
se sont particulirement panouies sur linternet. Les moyens techniques modernes
permettant une rptition quasiment linfini dans lespace et dans le temps de ces activits.
Laugmentation du nombre des serveurs clandestins qui permettent aux organisations
criminelles de vendre des informations voles (donnes personnelles mises par les
1 Baromtre annuel sur la cybercriminalit en 2008 par Kaspersky Lab. 2 Eugne Kaspersky Dfis de la cybercriminalit , dossier Cybercriminalit, une guerre perdue ?
Documentation franaise. Hiver 2008-2009
-
18
gouvernements, cartes de crdit ou dbit, numros didentification personnels, numros de
comptes bancaires, listes dadresses courriel) pour faciliter le vol didentit dmontre
clairement la croissance dont rjouit lactivit cybercriminelle. Les Etats-Unis, lAllemagne et
la Sude viennent en tte de la liste des pays qui hbergent des serveurs clandestins, avec
des pourcentages respectifs de 69 %, 12 % et 9 % de ce march3. Le Maroc peut galement
tre une source de cybercriminalit. Ce qui sest pass avec le jeune marocain de 18 ans qui
a conu le virus Zotob est une preuve concluante que la menace peut maner de votre
voisin immdiat. Depuis un cybercaf du quartier Yacoub Mansour Rabat, Farid Essebar a
mis hors fonctionnement le site des deux chanes amricaines CNN & ABC, et celui du journal
New York Times, du Boeing, et de laroport de San Francisco.
Rappelons quen cette priode de marasme conomique, les attaques cybercriminelles sont
censes connatre une forte hausse. En effet, il est reconnu que les priodes de
ralentissement conomique sont systmatiquement caractrises par des augmentations de
la criminalit. Les experts de lditeur de solutions de scurit PANDA4 ont mme tabli une
corrlation intressante entre lactivit cybercriminelle et la conjoncture conomique5. Les
licenciements dans le secteur des technologies de l'information et l'abandon de projets dans
le secteur entranent un brusque mouvement ascendant de lactivit criminelle en gnral,
et lon doit sattendre dans le ralentissement actuel une forte croissance de lactivit
cybercriminelle.
1.3 La cybercriminalit : Une activit rentable
Pour attirer lattention de son auteur, une opration cybercriminelle devrait dsormais
gnrer du revenu. La cybercriminalit est devenue au fil des temps une activit
extrmement profitable. Des sommes importantes ont t dtournes avec succs. Rien
quen 2008, la cybercriminalit a cot 1.000 milliards de dollars daprs une tude de
McAfee6 prsente au forum de Davos. Certaines sources estiment que la cybercriminalit a
3 Symantec Internet Security Threat Report, 2007 4 http://www.pandasecurity.com/ 5 http://www.mag-securs.com/spip.php?article12038 6 La scurit des conomies de linformation prsente par lditeur McAfee au Forum conomique mondial de
Davos. http://www.lemonde.fr
-
19
dpass le commerce illgal de la drogue en termes de profits en 2007. Voici quelques
exemples dactions cybercriminelles perptres en 20077.
Janvier 2007 : Des pirates russes, avec laide dintermdiaires sudois, auraient
dtourn 800 000 euros de la banque sudoise Nordea.
Fvrier 2007 : La police brsilienne arrte 41 pirates pour avoir utilis un cheval de
Troie pour voler les accs des comptes bancaires et dtourner 4,74 millions de
dollars.
Fvrier 2007 : Dix-sept membres du Gang de fraudeurs dinternet sont arrts en
Turquie aprs avoir vol plus de 500 000 dollars.
Fvrier 2007 : Li Jun est arrt pour stre servi du virus Panda burning Incense
pour le vol de comptes daccs utilisateurs de jeux en ligne et de messagerie
instantane. Les ventes de son programme malveillant auraient rapport prs de
13 000 dollars.
Mars 2007 : Cinq ressortissants dEurope de lEst sont emprisonns au Royaume-Uni
pour une fraude la carte bancaire. Ils auraient drob 1,7 million de livres.
Juin 2007 : 150 cybercriminels sont arrts en Italie. Ils sont accuss davoir
bombard des utilisateurs italiens avec des faux messages qui leur auraient rapport
1,25 million deuros sous forme de gains frauduleux.
Juin 2007 : Des cyberdlinquants russes sont accuss davoir utilis un cheval de
Troie pour voler 500 000 dollars dans des banques de Turquie.
Aot 2007 : Maxim Yastremsky (alias Maksik ) est arrt en Turquie. Il est accus
davoir empoch 10 millions de dollars aprs le vol didentificateurs.
Septembre 2007 : Gregory Kopiloff est condamn aux Etats-Unis pour avoir utilis les
logiciels de partage de fichiers (P2P) Limewire et Soulseek pour collecter des donnes
quil employait pour usurpation didentit. Il aurait gagn des milliers de dollars par la
commercialisation de donnes voles.
Ces exemples montrent bien le caractre rentable des activits cybercriminelles. Les cas
dinfraction perptres dans une perspective dappt du gain sont dsormais monnaie
courante dans le cyberespace. La cybercriminalit est depuis quelques annes une source de
rmunration, une activit que lon pratique dabord pour largent.
7 Eugne Kaspersky, dossier Cybercriminalit, une guerre perdue ? Documentation franaise. Hiver 2008-
2009
-
20
1.4 La cybercriminalit : Une activit facile
Avec la vulgarisation des modes opratoires cybercriminels sur linternet, aujourdhui il nest
pas ncessaire de disposer de comptences techniques pour lancer une opration
cybercriminelle. Le niveau dexpertise technique requis pour un projet cybercriminel na plus
du sens du moment o il est possible aujourdhui dacheter librement les logiciels espions les
plus labors ainsi que les donnes collectes par ces mmes logiciels : informations
bancaires et informations personnelles suffisantes pour acheter en ligne ou transfrer des
fonds. En outre, il est aussi possible de commander un acte cybercriminel ponctuellement
auprs de prestataires spcialiss qui viennent chacun apporter leur part dexpertise dans
lopration, chaque maillon gnrant des bnfices dont le montant rpond uniquement aux
lois de loffre et de la demande, la raret dune comptence augmentant les prix en
consquence.
Il existe de nombreuses ressources disponibles permettant de mettre au point des solutions
compltes. Ces solutions vont de lusage de la simple vulnrabilit, jusqu lemploi des
chevaux de Troie permettant dautomatiser des rseaux dordinateurs ou botnets8 .
1.5 La cybercriminalit : Une activit faible risque
Linternet est parfaitement adapt lactivit frauduleuse (anonymat, faibles barrires
lentre, difficults dapplication de la loi des juridictions multiples), et donc, compar la
perptration dun crime traditionnel les cots sont plus faibles et il est beaucoup moins
probable dtre arrt. Il sagit donc dune activit faible risque compar aux chances de
russite. Dans le monde rel, la dimension psychologique avec la prise de risques concrets
du crime assure un certain effet de dissuasion. Mais dans le monde virtuel, les criminels ne
sont jamais directement en contact avec leurs victimes ni avec les diffrentes socits quils
dcident dattaquer.
1.6 La cybercriminalit : Une activit organise
Une tude conjointe entre le CERT et le FBI dmontre que dans 81% des incidents recenss
dans les entreprises, les attaquants avaient planifi leur action lavance. Il ne sagit donc
nullement doprations lances au hasard. La russite dun acte cybercriminel exige une
discipline de fer en amont, durant et en aval de toute opration cybercriminelle. Cette
8 Un botnet est un rseau dordinateurs zombies contrls linsu de leurs propritaires
-
21
discipline a comme pr requis de base, un travail en quipe dont les membres ne se sont
probablement jamais rencontrs rellement. Ce travail dquipe engage une segmentation et
une spcialisation outrance dans les diffrents maillons de la chane cybercriminelle. Ainsi
au lieu de matriser lensemble de la chane des oprations, les cyberdlinquants se
concentrent sur lun de ses maillons, afin de le matriser la perfection, ce qui permet de
rduire considrablement leurs prises de risques. Analysons lcosystme qui gravite autour
par exemple des chevaux de troie. Souvent, ils sont conus par des dveloppeurs de
logiciels, qui en gnral nexploitent plus par eux-mmes leurs crations. Ils concentrent
leurs efforts sur linnovation technologique ncessaire la conception de ces codes
malicieux, et sorganisent en micro-entreprises de deux ou trois dveloppeurs, comprenant
une cellule de support technique et un commercial charg de dvelopper les dbouchs
conomiques du groupe. Ces dveloppeurs vendent leurs crations comme de vritables
produits, packags avec une documentation utilisateur dans la langue de leurs clients.
Certains groupes proposent mme un support client 24/24 et offrent mme une garantie de
non dtection du malware par lantivirus9.
2. Dmystification de la notion de la scurit de linformation
Pour mieux comprendre le phnomne de la cybercriminalit, il est important de sattarder
sur la notion de la scurit de linformation. En effet, le phnomne tient son expansion
linscurit qui entoure lutilisation des technologies dinformation. Or la scurit est un
concept qui est souvent mal compris. Do la ncessit de lever le voile sur cette notion afin
de mieux en comprendre les enjeux.
2.1 La scurit nest pas seulement un enjeu technologique
Pour de nombreuses organisations, assurer la scurit du systme dinformation (SI) se
limite la mise en place dun pare feu et dun antivirus. Or, ces dispositifs ne sont pas dune
grande utilit quand il sagit par exemple dattaques type Ingnierie sociale10 qui connat
ces dernires annes une volution spectaculaire. En effet, ds fois pour avoir une
information aussi critique soit-elle, il suffit de la demander. Inutile de se lancer dans des 9 Jol Rivire Criminalit et Internet, une arnaque bon march , dossier Cybercriminalit, une guerre
perdue ? Documentation franaise. Hiver 2008-2009 10 L'ingnierie sociale (social engineering en anglais) est une forme d'escroquerie utilise en informatique pour
obtenir un bien ou une information. Cette pratique exploite l'aspect humain et social de la structure laquelle est
li le systme informatique vis. Utilisant ses connaissances, son charisme, l'imposture ou le culot, le pirate abuse
de la confiance, l'ignorance ou la crdulit de personnes possdant ce qu'il tente d'obtenir.
-
22
attaques sophistiques ayant comme pr-requis un background technique volu. Il suffit de
prendre son tlphone et dappeler. Au bout de fil vous avez un interlocuteur qui nest pas
sensibilis aux risques lis la diffusion de linformation. Face ce genre de menaces, la
protection physique et logique du SI, aussi robuste soit-elle, ne sert rien.
La dimension organisationnelle de la scurit est souvent nglige. Si des organisations
comme la CIA, le FBI ou le Pentagone ont fait lobjet dattaques, ce nest surtout pas par
manque de moyens techniques de protection. Ces organisations disposent de moyens
colossaux pour assurer un niveau de scurit adquat. La faille est plutt organisationnelle,
voir humaine.
Certes, investir en matire technologique est invitable pour mettre en place les outils
ncessaires la prvention, dtection et correction des failles de scurit. Cependant,
laspect organisationnel qui consiste mettre en place une politique de scurit de
linformation, une charte dutilisation des ressources et lensemble des processus et
procdures oprationnels permettant dassurer un niveau de scurit minimal est aussi
important voir vital pour lorganisation. Dailleurs, souvent lors des audits de scurit, nous
constatons que le volet technologique est plus ou moins matris. La nature des failles que
nous identifions est plutt organisationnelle. Labsence de politique de scurit, le manque
de formalisation du mode opratoire de la sauvegarde, le manque de linventaire des actifs
critiques sont quelques exemples de lacunes en matire de scurit organisationnelle.
Figure 1 : Les trois dimensions de la scurit
-
23
Le dpart dun employ
Le dpart volontaire ou forc dun employ est un vnement qui peut avoir lieu dans
nimporte quelle organisation. Avons-nous eu le rflexe de verrouiller tous les comptes
auxquels lemploy avait accs. Avons-nous supprim son compte de messagerie. Avons-
nous procd la rcupration de tous les actifs dont lorganisation est propritaire (badge,
tlphone, ordinateur portable, etc). Ce qui est mis en vidence ici, cest la formalisation
de la gestion des dparts. Cest un aspect purement organisationnel de la scurit qui fait
impliquer le dpartement de gestion des ressources humaines et le dpartement de systme
dinformation. Entre les deux entits, il faudra mettre en place une procdure de gestion des
dparts de telle sorte ce que lors de chaque dpart ou de changement de poste, un
mcanisme instantan se dclenche pour verrouiller ou changer tous les comptes auxquels
lemploy avait accs. Combien danciens collaborateurs continuent toujours utiliser, ds
fois mme des fins illicites, leur compte de messagerie et ce aprs avoir quitt
lorganisation depuis des mois voir mme depuis des annes.
2.2 Ltre humain est le maillon faible de la chane de la scurit
La dimension humaine est aussi prendre au srieux. Pour se protger des attaques
traditionnelles de type phishing11 par exemple, il faut sensibiliser lutilisateur. Aucune
technologie ne permettra lorganisation de se prmunir totalement contre ce type
dattaques. Seule une campagne de sensibilisation donnera les effets dsirables. Les experts
de scurit sont unanimes pour qualifier ltre humain de maillon faible de la chane de
scurit. Les pirates, lont bien compris. Ils orientent souvent leurs techniques de
rcupration dinformations vers cette perspective. Kevin Mitnick12, lun des clbres pirates
informatiques qui a publi plusieurs livres sur les techniques de hacking na t autre quun
11 Le phishing, appel en franais lhameonnage, est une technique utilise par des fraudeurs pour obtenir des
renseignements personnels dans le but de perptrer une usurpation d'identit. La technique consiste faire croire
la victime qu'elle s'adresse un tiers de confiance banque, administration, etc. afin de lui soutirer des
renseignements personnels : mot de passe, numro de carte de crdit, date de naissance, etc.. Le phishing peut
se faire par courrier lectronique, par des sites web falsifis ou autres moyens lectroniques. 12 Kevin David Mitnick est un ancien pirate informatique amricain. Il se faisait appeler le Condor en rfrence
au film de Sydney Pollack Les Trois Jours du condor . Il est clbre notamment pour avoir accd illgalement
aux bases de donnes des clients de Pacific Bell, ainsi qu'aux systmes de Fujitsu, Motorola, Nokia et Sun
Microsystems. Il est le premier pirate informatique avoir figur dans la liste des dix criminels les plus recherchs
par le FBI aux Etats-Unis.
-
24
surdou en matire dingnierie sociale qui consiste exploiter les failles humaines pour
rcuprer de linformation.
Prenons lexemple suivant : la plupart des organisations mettent en place un plan
dvacuation, qui permettra le cas chant aux employs d'avoir accs des sorties de
secours en cas de danger, par exemple, un incendie. Examinons lexemple ci-dessous, la
porte de secours ne doit tre ouverte que dans le cas dactivation dune opration
dvacuation, et cest bien mentionn sur la porte. Lorganisation a coll un message
stipulant que la porte doit toujours rester ferme. Laxe organisationnel de la scurit est
donc bien rempli. Il en est de mme pour laxe technologique. Lorganisation a en effet
investi dans lacquisition dune porte qui se ferme automatiquement une fois elle est ouverte.
La faille doit tre recherche du ct de l'tre humain. Lemploy na pas respect la
consigne en immobilisant la porte pour la garder toujours ouverte. Ce comportement est fort
probablement d un manque de sensibilisation. Il suffit que lutilisateur ne suive pas la
consigne pour que larsenal de protection mis en place tombe dans linutilit. Cest pourquoi
ltre humain reste le maillon faible de la chane de scurit.
Figure 2 : Un exemple de la faille humaine
-
25
2.3 Les incidents de scurit ne viennent pas juste de lexterne
Souvent les organisations orientent leurs stratgies de scurit uniquement dans la
perspective externe. Elles supposent en effet, que la menace est de nature externe. Or, les
statistiques montrent qu linterne, il y a lieu aussi de sinquiter. Plus de 70% de dnis
daccs par exemple sont recenss depuis linterne. Nous navons qu penser un
collaborateur la fois motiv et mcontent. Mme la comptence nest pas un pr requis. En
effet, avec la vulgarisation des attaques, il nest pas ncessaire dtre un surdou en
informatique pour lancer telle ou telle opration. Aujourdhui, grce notamment linternet
tout est accessible. Vous navez qu surfer sur Google pour vous rendre compte des
possibilits illimites quoffre linternet pour nuire.
Les incidents de scurit linterne ont mont en puissance ces dernires annes. Ils ont fait
plusieurs reprises la Une de lactualit. Prenons lexemple de ce qui sest pass la
Socit Gnrale en France fin 2007. Un employ de la banque du nom Jrme Kerviel13 a
djou les mcanismes du contrle interne et il a ainsi dissimul de nombreuses positions
qui ont failli mettre en pril la banque. Quand on examine bien cette affaire, on se rend
compte que ce qui sest pass nest autre quune histoire de mauvaise gestion des accs.
Vengeance, besoin de reconnaissance sont souvent les premier lments de motivation des
attaques internes. Les enqutes menes par les organismes spcialiss regorgent dexemples
de donnes voles ou dtruites par des employs licencis. Le rapport du CSI/FBI intitul
Computer crime and security survey 200514 signale que la plupart des incidents affectant
les entreprises amricaines ont une cause interne. Souvent aussi, leurs consquences sont
bien plus graves que les dommages causs par les attaques externes. A titre dexemple, les
responsables de la reprsentation dUBS Tokyo ont admis la disparition dun disque dur
contenant des donnes hautement confidentielles sur la clientle. La dlimitation peu claire
des comptences et le non-respect des directives internes sont lorigine de cette perte.
13 Jrme Kerviel est un oprateur de march de la Socit gnrale accus par son employeur d'tre le
responsable de 4,82 milliards d'euros parmi les pertes de la banque en janvier 2008 rsultant de prises de
positions dissimules et contraires aux rglements de la Socit gnrale d'environ 50 milliards d'euros sur des
contrats terme sur indices d'actions entre 2007 et dbut 2008. 14 http://www.cpppe.umd.edu/Bookstore/Documents/2005CSISurvey.pdf
-
26
Les actes de malveillance ne reprsentent pas lunique typologie dincidents internes. Les
accidents et les erreurs reprsentent aussi une bonne partie dincidents recenss linterne.
Ainsi, une banque marocaine a vu son systme dinformation indisponible pendant plusieurs
heures et travers toutes ses agences suite un dploiement non contrl dun correctif15.
Le cas de la Bourse de Casablanca, qui par carence collective grave au niveau de son
management16, a vu des informations relatives aux ordres cachs, dits icebergs, vhiculs
par le systme de diffusion de la BVC travers le site de Bourse en ligne Boursomaroc, est
un exemple qui rappelle que les consquences des erreurs peuvent tre aussi scandaleuses
que celles des actes de malveillance.
Chantage auprs de la Direction Gnrale
Les employs dune socit marocaine ont reu une photo compromettante remettant en
cause le caractre moral de lun de leurs directeurs. Aprs enqute, il sest avr que
lattaque venait de linterne. Un employ de la socit ntant pas dans les bons termes avec
sa hirarchie utilisait une boite de messagerie externe pour envoyer la dite photo
lensemble des employs pour faire du chantage auprs de la direction gnrale.
2.4 La scurit, ce nest pas juste la confidentialit
La scurit des SI repose sur les quatre piliers suivants :
La disponibilit
La disponibilit se manifeste en terme daccessibilit aux ressources du SI (Ordinateurs,
Serveurs, Bases de donnes, Rseaux, services, etc). Lindisponibilit est probablement
lvnement indsirable le plus ressenti par les utilisateurs du SI. En effet, souvent quand un
service est indisponible, on ressent les effets immdiatement. Incapacit remplir les tches
quotidiennes, interruption des services et dysfonctionnements au niveau des activits de
lentreprise, sont quelques exemples de consquences quune indisponibilit peut provoquer.
15 Un correctif est une section de code que l'on ajoute un logiciel, pour y apporter des modifications
mineures afin de corriger la faille de scurit. 16 http://www.financesnews.ma/article_detail.php?id_art=4983
-
27
Lindisponibilit peut tre provoque par plusieurs typologies dattaques malveillantes. Elle
est vise notamment par les attaques qualifies de dni de service DoS 17 et dni de
service distribu DDoS18 . Une attaque virale, une intrusion ou lexploitation dune
vulnrabilit peuvent avoir aussi comme effet une indisponibilit totale ou partielle du SI. A
cette liste, on peut ajouter les attaques physiques sur les installations informatiques ou le
cblage des rseaux qui ne requirent que peu de technologie et qui engendrent les mmes
effets.
Lintgrit
De manire gnrale, l'intgrit des donnes dsigne l'tat de donnes qui, lors de leur
traitement, de leur conservation ou de leur transmission, ne subissent aucune altration ou
destruction volontaire ou accidentelle, et conservent un format permettant leur utilisation.
L'intgrit des donnes comprend quatre lments : l'intgralit, la prcision,
l'exactitude/authenticit et la validit19.
Latteinte lintgrit peut avoir de lourdes consquences sur la fiabilit dun SI. A titre
dexemple, la mise en cause de lexactitude des donnes stockes dans un systme de
banque aurait des consquences immenses. La fausset de celles stockes dans un systme
mdical reprsenterait un danger mortel. Ce type daltration peut mme faire lobjet de
menaces de tentatives dextorsion envers des organismes cibls. Les virus ou autres logiciels
malveillants peuvent aussi entraner la destruction ou laltration partielle de donnes.
La preuve
La preuve est la garantie de ne pas pouvoir rfuter une transaction avec possibilit de
pouvoir auditer les rsultats fournis (exemple : un virement de fonds et la vrification du
journal comptable partir des informations d'entre). Lorsquil ny avait que le niveau
technique de la preuve (numrique), lauditabilit tait restreinte de la traabilit (capacit
17 Denial of Service (DoS), Dnis de Service en franais, est une attaque ayant pour but de rendre indisponible un
service. 18 Distribued Denial of Service (DDoS), Dnis de Service Distribu en franais, est une attaque ayant pour but de
rendre indisponible un service impliquant une multitude dordinateurs zombies . 19 http://fr.wikipedia.org/wiki/Intgrit_des_donnes
-
28
garder la trace des dcisions prises et des actions entreprises), voire de limputabilit
(capacit attribuer un auteur une dcision ou un excutant une action).
La confidentialit
La confidentialit demeure le pilier le plus difficile cerner. En effet, une atteinte la
confidentialit est irrversible. On ne peut procder un lavage des cerveaux des
personnes ayant eu un accs accidentel ou illicite une information confidentielle. Alors
quune atteinte la disponibilit, intgrit ou la preuve peut tre redresse.
La copie de secrets commerciaux, lidentification des informations sensibles concernant les
rseaux ou les utilisateurs suite une intrusion dans un SI, laccs aux bases de donnes
sont quelques exemples dune attaque logique visant latteinte la confidentialit. Cette
dernire peut tre aussi viole physiquement. On nglige souvent la copie physique et le vol
des supports de stockage de donnes notamment les cls USB, qui impliquent un faible
niveau de matrise technologique.
2.5 Faire de la scurit, cest tre ferm dans un environnement
compltement ouvert
Linternet, en tant quenvironnement nappartenant la fois personne et appartenant
tout le monde, offre des opportunits daffaires illimites. Plusieurs entreprises lont bien
compris. Elles ont construit leurs modles daffaires sur cette base. Le cas dAmazon20 qui
nest autre quune immense base de donnes de livres, offrant la possibilit de se procurer
un livre en one clic est apprhender. En effet, Amazon nest pas un diteur de livre.
Pourtant, elle sengage vous fournir le livre que vous souhaitez avoir, sous rserve quil soit
disponible, dans un dlai trs court. Autrement dit, Amazon est une entreprise en rseau
ayant un systme dinformation interconnect avec celui de ses fournisseurs, partenaires et
clients. Sans le web, le modle daffaires de Amazon naurait pas t possible. Lexemple de
Dell21est aussi mditer. Lentreprise ayant comme stratgie de diffrenciation, la
personnalisation des offres et la vente directe des ordinateurs, nest pas un constructeur
dordinateur, cest un assembleur. Nanmoins, elle sengage vous fournir lordinateur que
vous souhaitez avoir dans un dlai trs court. La carte mre tant fabrique dans un pays,
20 http://www.amazon.com 21 http://www.dell.com
-
29
lcran dans un autre, lassemblage se fait quelque part dans le monde. Dell nest autre
quune entreprise en rseau qui tire profit du Web pour faire aboutir son modle daffaire. Il
est dailleurs, extrmement difficile de dlimiter les frontires du SI dune entreprise comme
Dell. Les fournisseurs, les partenaires logistiques, les clients se trouvent sur le mme SI.
Sans le Web ce modle daffaire ne serait pas possible.
Souvrir donc, attire plus dopportunits. Mais, ceci ramne aussi de nouvelles menaces
auxquelles il faudra faire face. En oprant dans un environnement ouvert, les organisations
se trouvent exposes des attaques qui ne peuvent avoir lieu dans un environnement
compltement ferm. Une entreprise qui propose ses clients des services transactionnels
sur son site Web, se voit contrainte dinvestir en scurit pour mieux protger ses intrts et
ceux de ses clients.
Etant donn quaujourdhui, les organisations sont contraintes sous leffet de la concurrence
de plus en plus froce dimaginer de nouvelles faons doprer en proposant des services
valeur ajoute, la tendance est plutt vers louverture. Les entreprises marocaines ny
chapperont pas pour longtemps. Dans cette perspective, continuer scuriser son SI
reviendra tre ferm dans un environnement compltement ouvert. Ce qui est loin
dtre simple. Cet quilibre est trs difficile aller chercher.
2.6 La fin de la scurit primtrique
La premire chose laquelle nous pensons pour scuriser le SI dune organisation est le
primtre externe. Dployer un Pare-Feu, mettre en place des mcanismes de filtrage de
contenu et de filtrage URL, installer un systme de dtection et de prvention dintrusion,
sont quelques exemples de la scurit primtrique.
Depuis quelques annes, nous constatons une meilleure prise en compte des
recommandations ce niveau. Il en rsulte quune attaque est plus difficile oprer sur le
primtre externe. Il fallait donc monter dans les couches du modle OSI22 pour notamment
passer au travers les dfenses primtriques directement par les serveurs applicatifs et les
applications mtiers et indirectement via les postes utilisateurs qui sont gnralement moins
22 Le modle OSI (Open Systems Interconnection) est un modle de communications entre ordinateurs propos
par l'ISO (Organisation internationale de normalisation). Il dcrit les fonctionnalits ncessaires la
communication et l'organisation de ces fonctions.
-
30
protgs et qui offrent plus de fonctionnalits et de services (accs au rseau interne, accs
lInternet, etc). Lintrt est multiple :
Flux autoriss vers les serveurs (http, ftp, etc.) ;
Produits ayant davantage de vulnrabilits (Web) ;
Applications mtiers propritaires (non prouves, peu audites, etc) ;
Lien direct avec les donnes mtiers.
Il en rsulte quaujourdhui la menace est de plus en plus applicative. Quand on dveloppe
une application, la scurit reste le dernier souci. Nous dveloppons en fonction dun cahier
des charges qui prcise les fonctionnalits cibles quil va falloir couvrir. Par consquent, nous
arrivons avec une application qui certes, rpond des exigences fonctionnelles, mais sur le
plan de scurit prsente souvent des vulnrabilits critiques allant jusqu la possibilit de
prise en main distance dun serveur applicatif. Des statistiques rcentes montrent quel
point la menace applicative est devenue srieuse.
OWASP Top 10 2007 (Previous) OWASP Top 10 2010 (New) A2 Injection Flaws A1 Injection A1 Cross Site Scripting (XSS) A2 Cross Site Scripting (XSS) A7 Broken Authentication and Session Management
A3 Broken Authentication and Session Management
A4 Insecure Direct Object Reference A4 Insecure Direct Object References A5 Cross Site Request Forgery (CSRF) A5 Cross Site Request Forgery (CSRF) A6 Security Misconfiguration (NEW)
A10 Failure to Restrict URL Access A7 Failure to Restrict URL Access A8 Unvalidated Redirects and Forwards (NEW) A8 Insecure Cryptographic Storage A9 Insecure Cryptographic Storage A9 Insecure Communications A10 Insufficient Transport Layer Protection A3 Malicious File Execution A6 Information Leakage and Improper Error Handaing
Figure 3 : Top 10 des vulnrabilits applicatives23
Sur l'ensemble des vulnrabilits identifies en 2008, 63 % concernaient des applications
Web, contre 59 % en 200724.
23 Source : OWASP http://www.owasp.org 24 Symantec Internet Security Threat Report :2008
http://www.symantec.com/fr/fr/about/news/release/article.jsp?prid=20090414_01
-
31
2.7 Lexploit dune vulnrabilit est de plus en plus rapide
Sil y a quelques annes, le temps moyen entre la publication dune vulnrabilit et son
exploitation tait quelques semaines, en 2008, 80% des exploits de vulnrabilit taient
disponibles aprs 1 9 jours de la divulgation de vulnrabilit au public. Durant la mme
anne, Qualys Labs identifi 56 exploits de failles zro-jour, y compris la vulnrabilit RPC
qui produisait Conficker25. En 2009, la premire vulnrabilit publie par Microsoft, MS09-001
avait un exploit disponible dans un dlai de sept jours26.
En 2003, un ordinateur non protg, dot dun systme type Windows et connect
linternet, pouvait rsister 40 minutes avant dtre infect par un virus. En 2004, 20 minutes.
En 2009, un ordinateur non scuris est infect, en moyenne, au bout de 4 minutes selon
des conclusions rcentes de linstitut SANS27.
Comme on peut le constater sur la figure ci-dessous, le nombre de victimes volue
rapidement. Seule une veille de vulnrabilits permettra de ragir au bon moment afin
dapporter les corrections ncessaires.
Figure 4 : Le cycle de vie de la vulnrabilit
25 Il sagit dun virus apparu fin novembre 2008, connu aussi sous les noms de Downup, Downandup et Kido). Il
est principalement install sur les machines fonctionnant sous Windows XP 26 Les lois de vulnrabilits 2.0 , Qualys http://www.qualys.com/docs/Laws_2.0.pdf 27 https://isc2.sans.org/survivaltime.html
Dcouverte de la faille
(Re)dcouverte de la faille ou fuite
Publication Correctif disponible
Correctif appliqu
Victimes
Temps
Correctif complet
Exploit
Automatisation
-
32
2.8 Assurer la scurit de son SI est de plus en plus une contrainte
rglementaire
Les organisations ayant un niveau de maturit lev en matire de scurit ninvestissent en
scurit quaprs avoir men un Business Impact Analysis. Seule donc, une analyse de risque
permettra lorganisation de savoir quels sont les risques quelle court et surtout quel sera
limpact si jamais ils se matrialisent. Cette dmarche aboutit un choix plus ou moins
rationnel en termes dinvestissements en scurit.
La dmarche de Business Impact Analysis a cd la place depuis quelques annes la
pression rglementaire qui impose notamment aux banques, oprateurs tlcoms et filiale de
multinationale une conduite stricte en matire de scurisation du SI. Plusieurs cadres
rglementaires ont vu le jour. Nous retenons ici :
2.8.1 Les accords de Ble II
Initialement bases sur une approche purement financire des risques, les recommandations
du comit Ble ont t profondment tendues en 2004 via l'accord Ble II. Ces
recommandations sont mises en uvre par l'immense majorit des tablissements financiers
au niveau mondial.
L'innovation majeure de ce nouvel accord par rapport celui de 1988 tient l'introduction
du risque oprationnel, recouvrant les risques relatifs la scurit des biens et des
personnes (incendies, vol et fraude, etc.), les risques informatiques (dveloppement,
maintenance et exploitation des systmes) et les risques lis aux procdures de gestion
interne (erreurs humaines, malveillance, etc.). Diffrentes approches sont possibles pour
valuer ce risque oprationnel, mais la plus performante est base sur l'historique des
vnements et des pertes associes.
L'accord Ble II vise mettre sous contrle l'ensemble des risques auxquels sont soumis les
tablissements financiers, et non plus seulement les risques financiers directement lis leur
activit. Tout en restant spcifiquement adapt au secteur bancaire, et notamment sa
grande maturit en matire de gestion des risques, il se rapproche ainsi de rglementations
plus gnriques comme la loi Sarbanes-Oxley.
-
33
Au Maroc, de nombreux projets de scurisation SI ont vu le jour dans les tablissements
bancaires sous la pression des accords Ble II. Nous citons, notamment :
La mise en place dune cartographie des risques (y compris les risques lis la
scurit des SI) ;
La mise en place dun plan de continuit dactivit ;
La mise en place de solutions de dtection et de prvention de fraudes.
2.8.2 PCI DSS
Tous les acteurs conomiques qui traitent, stockent et transmettent des donnes et
transactions de cartes bancaires, doivent intgrer la norme PCI DSS (Payment Card Industry
Data Security Standard). Cette norme est encadre par le PCI Security Standards Council,
une organisation fonde en 2005 par les principaux acteurs du secteur des cartes bancaires :
MasterCard, Visa, American Express, Discover Financial Services et JCB.
La norme PCI est prsente comme la garantie d'un haut niveau de scurit. Elle correspond
une srie de douze exigences auxquelles sont assujetties les organisations dont les
rseaux, les serveurs et les applications entrent en contact avec les donnes des titulaires de
carte. Concrtement, ces organisations doivent :
1. Installer et grer une configuration de pare-feu afin de protger les donnes des
titulaires de carte ;
2. Ne pas utiliser les paramtres par dfaut du fournisseur pour les mots de passe et les
autres paramtres de scurit de systme ;
3. Protger les donnes des titulaires de cartes stockes ;
4. Crypter la transmission des donnes des titulaires de carte sur les rseaux publics
ouverts ;
5. Utiliser et mettre jour rgulirement un logiciel antivirus ;
6. Dvelopper et grer des applications et systmes scuriss ;
7. Limiter laccs aux donnes des porteurs de carte aux cas de ncessit
professionnelle absolue ;
8. Attribuer une identit dutilisateur unique chaque personne disposant dun accs
informatique ;
9. Limiter laccs physique aux donnes des titulaires de carte ;
10. Suivre et surveiller tous les accs aux ressources du rseau et aux donnes des
titulaires de carte ;
11. Tester rgulirement les systmes et procdures de scurit ;
-
34
12. Disposer dune politique rgissant la scurit de linformation.
Si une ou plusieurs des exigences PCI ne sont pas satisfaites, les organisations sexposent
des mesures punitives qui pourraient comprendre des amendes proportionnelles
linfraction, pouvant atteindre des centaines de milliers de dollars, la rvocation du privilge
de traitement des cartes de crdit et le refus dmettre un certificat de conformit.
Linobservation des normes PCI pourrait en outre porter prjudice la marque et la
rputation de lentreprise, et mme entraner sa faillite. Les commerants peuvent aussi
recevoir des incitatifs importants pour se conformer aux exigences de la norme PCI DSS.
Au Maroc, Attijariwafa Bank, Banque Marocaine du Commerce Extrieur, Banque Populaire,
Centre Montique Interbancaire, Poste Maroc et Maroc Tlcommerce ont dmarr, sous la
pression notamment de VISA, les chantiers de conformit aux exigences de la norme PCI
DSS.
2.8.3 Sarbanes Oxley
La loi Sarbanes Oxley (SOX), du nom respectif des deux snateurs Paul Sarbanes et Michael
G. Oxley, a t adopte par le congrs amricain en Juillet 2002. Elle a vu le jour suite aux
multiples scandales comptables et financiers : Enron, Tyco International ou encore
WorldCom. Plusieurs points lis la scurit des SI doivent faire lobjet dun contrle strict
au sens de SOX. Il sagit notamment de :
1) La gestion des mots de passe
Le niveau de scurit des mots de passe ;
La vrification du changement des mots de passe tous les six mois ;
L'tude des notes dlivres par le responsable scurit aux employs sur la
politique des choix de mots de passe ;
Un exemple concret de test consisterait valuer la scurit des mots de passe
de 30 utilisateurs, et identifier la proportion de mots de passe faibles.
2) L'tude de rseau informatique
Vrification de l'authentification des accs VPN ;
Protection du rseau interne par 2 niveaux de pare-feux ;
Contrle et journalisation des accs Internet ;
Signature d'une charte de bon usage d'Internet ;
Authentification des utilisateurs pour accder Internet ;
Rvocation des certificats lors du dpart des collaborateurs ;
-
35
Filtrage des emails vis--vis des menaces connues: virus, chevaux de Troie, etc.
3) Plan de reprise en cas de dsastres
Sauvegarde des serveurs principaux ;
Externalisation des supports de sauvegarde ;
Rdaction d'un document de procdure de restauration pour chaque serveur.
4) La journalisation & Audits
Mener des audits internes afin d'assurer le bon fonctionnement des mesures de
scurit prises par l'entreprise ;
Vrification de l'existence des fichiers de logs des serveurs mails, des navigateurs
internet et des accs VPN ;
Traabilit des accs aux applications financires et ressources humaines ;
Sauvegardes des emails conserves durant 1 mois minimum (destinataire,
l'envoyeur, le sujet, la date et l'heure et l'IP ).
2.9 Le RSSI : un nouveau mtier
Sil y a quelques annes, la fonction de scurit ntait, au mieux, quun ensemble de tches
ralises par le responsable des rseaux, aujourdhui elle simpose comme un mtier part.
Une organisation ayant atteint une taille minimale en termes de nombre dordinateurs (plus
de 500 postes de travail) dans son parc informatique, ne peut continuer traiter la fonction
de la scurit dune faon parpille. En effet, en remettant la scurit aux mains de lexpert
informatique (gnralement le responsable des rseaux ou le responsable de lexploitation),
seulement laspect technologique de la scurit est pris en compte. Souvent, assurer la
scurit dans une telle configuration se limite lacquisition de logiciels adquats. Les
risques purement organisationnels et humains ne peuvent tre pris en charge dans un tel
contexte. Beaucoup dorganisations ont bien saisi les limites dune telle approche. Elles
disposent aujourdhui dune fonction entirement ddie la scurit prise en charge par ce
qui est communment appel RSSI (Responsable de Scurit des Systmes dInformation).
Dpendamment du niveau de maturit de la scurit au sein de lorganisation, le RSSI peut
tre rattach hirarchiquement diffrentes entits de lentreprise. Le rattachement la
direction gnrale peut tre fait au sein de trs grandes entreprises mais avec un rle
beaucoup plus large tendant plus vers le management du risque de la socit toute entire28.
Souvent, dans des organisations structures, le RSSI est rattach la direction des systmes
28 Bernard Foray La fonction RSSI , Edition Dunod, 2007
-
36
dinformation. Dans les structures de taille moyenne, le RSSI a souvent un positionnement
orient vers l'expertise technique. Il garantit avant tout la prennit et l'volution de
l'infrastructure pour faire face aux attaques et aux risques extrieurs. Il n'encadre
gnralement pas d'quipe. Alors que, en raison notamment dune culture interne forte en
matire de gestion des risques, le poste de RSSI revt un enjeu stratgique et dispose en
consquence de moyens plus importants qu'ailleurs. Il gre son budget, encadre
gnralement une quipe d'experts techniques, voire fonctionnels, et occupe un
positionnement transverse dans l'entreprise.
Figure 5 : Les rles, les objectifs et les chantiers du RSSI
III SES CHANTIERS
Audit de scurit
Analyse/Cartographie des risques Cible de scurit
Solutions de scurit Budget
Cartographies des ressources
Chartes de scurit Veille technologique/scurit Plan de continuit dactivit
Organisation des chantiers de scurit Gouvernance de la scurit des SI Politique et processus de scurit
Dispositif de contrle et de reporting Tableau de bord
Sensibilisation/Communication Scurit Assistance MOA/MOE
Lancement/Animation des chantiers Gestion du changement
Suivi/Budget
Recueils de bonnes pratiques Analyse de conformit rglementaire (Lois et rglements spcifiques)
Certification (ISO 27001)
II SES OBJECTIFS
Protger le patrimoine de son entreprise Identification de la valeur mtier valuation des menaces et des protections
Connatre et matriser les risques Risques existants, expositions, volution Solutions/cots Aide au choix des risques couvrir
Organiser la scurit Organiser et dcliner la scurit Lintgrer dans les processus mtiers Pilotage : contrle/reporting
Animer, piloter, suivre Progresser sur les chantiers Accompagner les volutions Contrle/suivi/reporting
Se conformer aux rglements/aux standards Veille rglementaire, suivi des standards
I - LES ROLES DU RSSI
RSSI
Garant du patrimoine
Gestionnaire
de risque
Organisateur
Leader de
communication
Garant
lgal
-
37
2.10 La scurit est une question de gouvernance
La scurit de linformation a t longtemps pargne des mouvements de meilleures
pratiques et de rfrentiels. Les RSSI se trouvaient souvent dsarms face la bonne
canalisation des nergies en matire de scurisation SI. Labsence de repre en la matire
compliquait constamment leurs tches. Aujourdhui, grce lmergence de plusieurs
rfrentiels de scurit, notamment la famille des normes ISO 27000, les RSSI disposent de
la matire pour mettre en place la gouvernance de la scurit de linformation. Parmi ces
rfrentiels, ISO 27002, en tant que bibliothque de meilleures pratiques, demeure le
rfrentiel le plus utilis quand il sagit daborder la scurit dans une perspective
transversale. En effet, outre les aspects lis la scurit logique, les aspects lis la scurit
physique, la scurit lie aux ressources humaines et aux aspects juridiques sont
largement couverts travers cette norme.
2.10.1 ISO 27001
L'ISO/CEI 27001 est une norme internationale de systme de management de la scurit de
l'information (SMSI), publie en octobre 2005 par l'ISO.
L'ISO/CEI 27001 dfinit l'ensemble des tests et contrles effectuer pour s'assurer du bon
respect d'ISO/CEI 27002. Elle sest inspire du modle PDCA (Roue de Duming) rappele, ci-
aprs :
Figure 6 : Le modle PDCA
Le modle PDCA (Planifier, Dployer, Contrle et Agir) impose le respect des points contrles
par rapport chaque section.
-
38
1) Planification : Etablir le SMSI
Lorganisme doit respecter les points de contrles suivants :
Dfinir le champ dtaill dapplication du SMSI (processus mtiers, organisation,
location, biens, technologies) ;
Dfinir la politique du SMSI ;
Dfinir lapproche dvaluation des risques (mthode, critre dacceptation, etc.) ;
Identifier les risques (biens traits, menaces, vulnrabilits potentielles, impacts) ;
Analyser et valuer les risques (impact mtier, probabilit, gravit) ;
Dfinir la stratgie de traitement des risques (transfert, accepte, etc.) ;
Dfinir les mesures (objectifs, points de contrle) de limitation des risques ;
Obtenir laccord du management sur la stratgie de traitement des risques ;
Obtenir laccord du management pour implmenter le SMSI ;
Formaliser la stratgie de traitement des risques (choix des mesures mettre en
uvre, liste des mesures dj appliques, justification de llimination de points de
contrle).
2) Dploiement : Mettre en place et exploiter le SMSI
Lorganisme doit respecter les points de contrles suivants :
Dfinir un plan dactions de traitement des risques (mesures de protection, ressources,
responsabilits, priorit, etc.) ;
Organiser le dploiement du plan dactions de traitement des risques ;
Dployer les points de contrle / les mesures de protection ;
Dfinir la stratgie de suivi et de mesure de lefficacit des actions ;
Dployer un programme de formation / sensibilisation ;
Piloter / grer les aspects oprationnels du SMSI ;
Mettre en uvre des procdures et des moyens de dtection et de traitement des
incidents.
3) Contrle : Contrler et valuer le SMSI
Lorganisme doit respecter les points de contrles suivants :
Mettre en uvre les procdures et les moyens de suivi (dtection derreurs, suivi des
incidents, des tentatives dexploitation de failles, contrle des performances humaines
et technologiques, etc) ;
Organiser le suivi de lefficacit du SMSI prenant en compte les rsultats daudit, les
relevs dincidents, les mesures defficacit, les suggestions et avis des intervenants
dans le SMSI, etc.)
Mesurer et contrler lefficacit des mesures dployes ;
-
39
Rvaluer rgulirement les risques ;
Effectuer rgulirement des audits du SMSI ;
Organiser le suivi du SMSI au niveau du Management (Direction Gnrale) ;
Adapter / mettre jour le plan dactions scurit (prendre en compte les indicateurs
de suivi defficacit) ;
Enregistrer / les actions et les vnements qui peuvent avoir un impact sur lefficacit
du SMSI.
4) Action : Soutenir et amliorer le SMSI
Lorganisme doit respecter les points de contrles suivants :
Implmenter les modifications identifies dans le SMSI ;
Prendre des mesures correctives et prventives (prendre en compte les retours
dexprience internes ou externes) ;
Communiquer sur les mesures et les adaptions du SMSI aux personnes impliques ;
Vrifier que les correctifs/modifications rpondent aux objectifs fixs.
2.10.2 ISO 27002
L'ISO/CEI 27002 est un ensemble de 133 mesures dites best practices , destines tre
utilises par tous ceux qui sont responsables de la mise en place ou du maintien d'un
Systme de Management de la Scurit de l'Information (SMSI). La scurit de l'information
est dfinie au sein de la norme comme la prservation de la confidentialit, de l'intgrit et
de la disponibilit de l'information .
Cette norme n'a pas de caractre obligatoire pour les entreprises. Son respect peut toutefois
tre mentionn dans un contrat : un prestataire de services pourrait ainsi s'engager
respecter les pratiques normalises dans ses relations avec un client.
La norme ISO/CEI 27002 est compose de onze sections principales, qui couvrent le
management de la scurit aussi bien dans ses aspects stratgiques que dans ses aspects
oprationnels. Chaque section constitue un chapitre de la norme :
Chapitre 1 : Politique de scurit
Chapitre 2 : Organisation de la scurit de l'information
Chapitre 3 : Gestion des biens
Chapitre 4 : Scurit lie aux ressources humaines
Chapitre 5 : Scurit physique et environnementale
-
40
Chapitre 6 : Gestion des communications et de l'exploitation
Chapitre 7 : Contrle d'accs
Chapitre 8 : Acquisition, dveloppement et maintenance des systmes d'information
Chapitre 9 : Gestion des incidents lis la scurit de l'information
Chapitre 10 : Gestion de la continuit d'activit
Chapitre 11 : Conformit lgale et rglementaire
Chaque section spcifie les objectifs atteindre et numre un ensemble de mesures (les
best practices ) permettant d'atteindre ces objectifs. La norme ne dtaille pas les
mesures, car chaque organisation est cense procder une valuation de ses propres
risques afin de dterminer ses besoins avant de choisir les mesures qui seront appropries
dans chacun des cas possibles.
Cette norme est de plus en plus utilise par les entreprises du secteur priv comme un
rfrentiel d'audit et de contrle, en complment de la politique de scurit de l'information
de l'entreprise. Le fait de respecter cette norme permet de viser, moyen terme, la mise en
place d'un Systme de Management de la Scurit de l'Information, et long terme, une
ventuelle certification ISO/CEI 27001.
Figure 7 : Les 11 chapitres de la norme ISO 27002
Contrle des accs
Gestion des biens
Politique de scurit
Organisation de la scurit
Scurit lie aux resources humaines
Scurit physique et
environnementa Gestion des
communications et dexploitation
Dveloppement et maintenance
Gestion de la continuit
Conformit lgale et
rglementaire
Information
Confidentialit
Gestion des incidents
Preuve
Disponibilit
Intgrit
-
41
Conclusion du chapitre La cybercriminalit est un business organis, facile, faible risque et surtout trs rentable.
De nombreux utilisateurs peu scrupuleux et en qute dargent facile nhsitent pas sy
lancer. Lincomprhension qui entoure lunivers de la scurit de linformation leur facilite
grandement la tche. En effet, la scurit est souvent apprhende comme un pur
phnomne technologique. Or, la menace organisationnelle peut avoir un impact aussi
important quune faille technique. En outre, ltre humain reste le maillon faible de la chane
de la scurit et il faut le considrer en tant que tel. A quoi sert la scurit dun SI, aussi
robuste soit-elle, si lutilisateur continue mettre son mot de passe sur un bout de papier et
le coller sur son ordinateur.
Une bonne gouvernance de la scurit SI doit sinspirer des meilleures pratiques en la
matire. Le recours un rfrentiel adressant les trois dimensions de la scurit savoir : la
dimension organisationnelle, la dimension technologique et la dimension humaine est vital
pour toute organisation souhaitant scuriser son SI.
-
42
Chapitre 2 : Les multiples visages de la
cybercriminalit
Deux choses sont infinies :
LUnivers et la btise humaine
Albert Einstein
La cybercriminalit a de multiples visages. Chaque jour, elle se manifeste dune nouvelle
manire. Tantt elle nest que la virtualisation danciennes mthodes descroqueries tantt
elle nous surprend par le caractre novateur du mode opratoire quelle applique. Les
attaques cybercriminelles sont potentiellement illimites. En effet, lmergence de nouvelles
applications va ncessairement gnrer des failles de scurit29. Le lancement de chaque
logiciel comporte des failles non rfrences que des cybercriminels sempresseront
dexploiter des fins de racket ou despionnage industriel ou autre (type attaque Zero Day).
Les cybercriminels ont donc de beaux jours encore devant eux. Il y aura toujours une activit
dviante dans le cyberespace tant que nous continuons utiliser des applications
potentiellement vulnrables.
Pour prsenter les diffrentes formes de la cybercriminalit, il nous a sembl pertinent de les
apprhender travers les objectifs viss par rapport aux quatre piliers de la scurit
savoir, la disponibilit, lintgrit, la confidentialit et la preuve. Par ailleurs, nous tenons
prciser que plusieurs typologies dattaques peuvent avoir un impact sur plusieurs piliers de
scurit. A titre dexemple, une attaque virale peut avoir comme consquence une atteinte
la disponibilit, lintgrit, la confidentialit ou la preuve dpendamment de la nature
des objectifs viss.
29 Il est gnralement reconnu dans lindustrie logicielle que chaque 1000 ligne de code peuvent gnrer en
moyenne 7 8 failles de scurit.
-
43
1. Lordinateur comme moyen ou cible dactes cybercriminels
1.1 Latteinte la confidentialit
A lheure du tout informatique, la confidentialit semble tre lun des piliers le plus touch
par la cybercriminalit. De nombreuses attaques ont souvent pour but de rechercher des
donnes sensibles au moyen de programmes robots ou autres logiciels malveillants pour les
utiliser ou les revendre. Selon Symantec30, 24% des demandes des clients des pirates
porteraient en effet sur des informations dtailles relatives des cartes de crdit, et 18%
sur des informations relatives des comptes bancaires31. Laccs ces donnes ne peut tre
considr comme une fin en soi. Ce nest quun objectif transitoire. Les donnes de cartes de
crdit par exemple pourront tre utilises ultrieurement pour commettre des fraudes en
ligne, ce qui classera ce dlit dans la catgorie des objectifs convertibles.
Le cot des donnes personnelles drobes dpend directement du pays o vit le dtenteur
lgitime de ces donnes. Par exemple, les donnes compltes de rsidents des Etats-Unis
valent entre 5 et 8 dollars. Sur le march noir, les donnes d'habitants de l'Union
europenne sont particulirement recherches : elles cotent deux trois fois plus que les
donnes de rsidents des Etats-Unis et du Canada32.
Lappt du gain nest pas le seul but recherch par latteinte la