Panorama de la cybercriminalité

Panorama de la cybercriminalité

Année 2004

CLUSIF > 213/01/[email protected] + 33 1 5325 0880

Cybercriminalité 2004

Objectifs du panorama:

Apprécier l’émergence de nouveaux risques et les tendances de risques déjà connus

Relativiser ou mettre en perspective des incidents qui ont défrayé la chronique

Englober la criminalité haute technologie, comme des atteintes plus « rustiques »

Sélection réalisée par un groupe de travail pluriel (assureur, avocat, journaliste, officier de gendarmerie et police, offreurs de biens et de services, RSSI).



Sélection des événements médias

Illustration d’une émergence, d’une tendance,d’un volume d’incidents.

Cas particulierImpact ou enjeux,Cas d’école.

Les images sont droits réservésLes informations utilisées proviennent de sources ouvertes,

Les entreprises sont parfois citées par souci de précision et parce que leur nom a été communiqué dans les médias



Retour sur le panorama 2003

Logiciel Libre : une sécurité surestimée ?« Security flaws force Linux kernel upgrade », http://news.com.com/2100-1002-5135129.html« Sécurité: la réputation de fiabilité des systèmes Linux mise à mal », CNETnews.com, 20/02/2004« Warnung vor Linux-Flaw », http://www.newsbyte.ch/suche2.cfm?id=64742, 10/12/2004

Téléchargements illicites : les risques pour l’entreprise

« Les pirates du numérique au cachot », 01net, 30/01/2004« AOL employee arrested on spam charges », IDG news, 24/06/2004

Virus : professionnalisation et recherche de gain« Les auteurs de virus en pleine guerre psychologique », ZDnet France, 04/03/2004«E-Mail Viruses Getting Smarter, Report Says », Reuters, 17/08/2004«Mac OS X touché par le virus Opener », ZDnet France, 26/10/2004



Retour sur le panorama 2003

Ripostes judiciaires : objectif dissuasion« L'auteur présumé du virus informatique Phatbot en détention provisoire », AFP, 10/05/2004« Interpellation d'un proxénète présumé soupçonné d'avoir recruté des mineures sur internet », AP, 15/10/2004« Arrestation d'un Américain qui vendait le code source de Windows », Reuters, 10/11/2004

La riposte anti-spam s’affirme« Neuf ans de prison pour un spammeur aux Etats-Unis », Reuters, 04/11/2004«Spammers go on trial », CNN, 26/10/2004

Spam: le parquet va faire appel dans le procès ABS, ZDNet France, 17/12/2004

Phishing : la triple imposture« Phishers tapping botnets to automate attacks », Register, 26/11/2004« "Phishing" lures German banking clients », Reuters, 26/08/2004«Les clients de Postbank et Deutsche Bank victimes de fraudeurs sur internet », AFP, 23/08/04

Nouvelles opportunités d’espionnage hi-tech



Panorama 2004

Vol de données : code source et bases de données

Programmes malveillants : spywares, robots et keyloggers

Chantage – extorsion – racket sur InternetAttaques concurrentiellesCyberterrorisme : de quoi parle-t-on ?Menaces sur la mobilité : GSM, VoIP, WiFi…



Vols de données

Les faitsLes cas marquants de vols de données :

Fichiers sources de systèmes d’exploitation : Microsoft et Cisco Fichiers sources de logiciels et de documents confidentiels : JollyDonnées clients : Wells Fargo



Vols de données

Chronologie et détailsAffaire Microsoft (février 2004)

Portions du code source de Windows NT 4.0 Service Pack 3 et Windows 2000 SP1 en libre accès sur Internet Volume d’environ 660 Mo de fichiers sourcesCommunication de Microsoft pour rappeler le caractère illicite des téléchargementsMainsoft (partenaire de Microsoft) identifiécomme étant à l’origine de cette fuite



Vols de données

Chronologie et détailsAffaire Cisco

Mai 2004 : fichiers sources (800 Mo) du système d’exploitation IOS 12.3 (routeurs) envoyés à un site web russeSeptembre 2004 : arrestation d’un homme soupçonné d’être mêlé au volNovembre 2004 : copies de fichiers sources du firewall PIX 6.3.1 mises en vente sur des newsgroups



Vols de données

Chronologie et détailsAffaire Wells Fargo (octobre 2004)

Vol de plusieurs ordinateurs d’un sous-traitant de la banque contenant des informations personnelles de clientsActions de communication auprès des personnes concernées

Affaire Jolly Technologies (juillet 2004)Vol de fichiers sources de logiciels et de documents confidentielsUn ingénieur renvoyé du centre de R&D situé en Inde serait à l’origine de ce vol



Vols de données

Enjeux et ConséquencesCes affaires (ré)ouvrent des débats sur plusieurs questions fondamentales avec des avis partagés sur les réponses à donner !

La sécurité des systèmes d’information des grandes entreprisesLes failles de sécurité découvertes à l’aide du code source d’un logicielLa sécurité du développement : le spectre de la compromission des sources



Vols de données

Enjeux et ConséquencesLes soupçons de présence de «raccourcis» permettant une meilleure compatibilité de logicielsL’externalisation des opérations de développement logiciel



Panorama 2004






Programmes Malveillants & Indésirables

SommaireFaille JPEGAdware et SpywareRobots et Keyloggers



Faille JPEG

14 septembre 2004 : MS04-028Microsoft annonce une faille affectant Windows XP Service Pack 1Une saturation de la mémoire tampon lors du traitement JPEG (GDI+) peut permettre l'exécution de code (833987)Taux de sévérité : critique



Faille JPEG

17 septembre 2004 :Crash d’Internet Explorer en ouverture d’un fichier distant

18 septembre 2004 : Nombreux fichiers suspectsMise à disposition d’un générateur de JPG

L’ouverture ou la prévisualisation en local d’une image ainsi créée permet le téléchargement d’un fichier depuis une URL prédéfinie, puis son exécution sur la machine vulnérable



Faille JPEG

Ce n’est pas un virus, c’est un downloader (téléchargeur et implanteur)La faille n’est pas liée au format JPEG lui-mêmeLe problème affecte les utilisateurs de Windows XP Service Pack 1Il n’y a pas d’exécution automatique à la lecture d’un mail contenant une imageL’image doit être sauvée puis manipulée en local



Faille JPEG

Un exemple d’image correcte : l’en-tête de fichier est normal



Faille JPEG

Un exemple d’image incorrecte : l’en-tête de fichier est écrasé et contient du code exécutable



Adware & Spyware

Acronymes qui désignent 2 classes particulières de logiciels commerciaux :

Adware

Ads + Ware

Advertising Software

Logiciel Publicitaire

Spyware

Spy + Ware

Spying Software

Logiciel espion

A ces 2 classes se mêlent parfois d’autres groupes d’outils, malveillants ou non, et d’origines diverses

Ils sont essentiellement liés au monde Microsoft (OS Windows et Internet Explorer)



Programmes Indésirables

Adware / SpywareOutil d’aide à la navigation / BHO - Browser Helper ObjectOutils de re-direction / Browser HijackerLogiciels de connexion téléphonique / DialerPlaisanteries / Joke

Programmes Malveillants

Virus, VersBombes logiquesChevaux de Troie / Porte dérobéesBots / Robots

Outils furtifs d’administration à distance (RAT en anglais)Outils de capture d’informationsOutils d’appropriation de ressourcesOutils d’attaque réseau

Adware & Spyware

Programmes commerciaux indésirables, usage détourné, absence de consentement…



i

Adware & Spyware

Pourquoi en parler aujourd’hui ?Il a fallu attendre 20 ans pour atteindre un chiffre de 1500 virus dans la nature (In-The-Wild)En moins de 2 ans il y plus de SEPT MILLE adwares et spywares en circulationOn ne perd pas de temps quand le profit financier devient une motivation !



Adware & Spyware

0

50

100

150

200

250

300

1999 2000 2001 2002 2003 2004

AdwareSpywareBHOHijackerDialer

Nombre cumulé depuis 1999 (source PestPatrol(http://research.pestpatrol.com/graphs/form.jsp)



0

20

40

60

80

100

120

Aout2003

Janvier2004

SpywareKeyloggersDialersAdware

Estimation McAfee – évolution des soumissions reçues

Pourcentage

Adware & Spyware



• Programme provenant d’une source commerciale

• Non auto-reproducteur

• S’installe après un consentement initial

• Observe les habitudes de navigation

• Dirige des publicités ciblées. Fourni des offres adaptées à un profil

• Ne collecte aucune information personnelle de manière intentionnelle

• Fichiers binaires (EXE ou DLL)

Adware & Spyware

L’adware est un « profiler »



Vecteurs d’introduction :Logiciels gratuits ou en démonstration :

Utilitaires de téléchargementAide à la navigationPartage de ressources (poste à poste)Économiseurs d’écranJeux

Sites à risques :PornographieJeuxMonde underground

Courrier électronique :SpamForums de discussion

Procédures d’enregistrement en ligne :

Licences de logiciels,Accès à des zones de navigation privées

Virus et les chevaux de Troie

Adware & Spyware



Adware & Spyware

Un exemple



Un exemple

Adware & Spyware



• Programme provenant d’une source commerciale

• Non auto-reproducteur

• S’installe après un parfois sans consentement initial

• Observe Collecte les habitudes de navigation

• Dirige des publicités ciblées. Fourni des offres adaptées àun profil

• Sert de tremplin à d’autres activités commerciales

• Ne collecte et transfert aucune de nombreuses informations personnelles de manière intentionnelle

• Fichiers binaires (EXE ou DLL)Le spyware est un « espion »

Adware & Spyware



2 types d’applicatifs pour 2 objectifs distincts :

Le commerce - Ils se rapprochent des adwares, mais transmettent des informations nominatives et personnelles

Le renseignement - Il s’agit de logiciels espions

Adware & Spyware



http://windows.xx.hhhh.eeeeeee.french.crack.123456.crack-locate.com/

Routines visibles et routines invisibles…

Fenêtres visibles et fenêtres invisibles…

En cas de refus, l’accès au site est refusé

Dans un cas, comme dans l’autre…

Adware & Spyware

Un exemple



180SolutionsBargains BuddyInternet OptimizerISTbar & ISTsvcPower scanPurityScanIpsentryBetterInternetSearchCentrixEtc.

Adware & Spyware

Un exemple

Quelle que soit la réponse, les adwares sont installés sur l’ordinateur !



Quelle que soit la réponse…

Adware & Spyware

Un exemple



Quelle que soit la réponse, un cheval de Troie s’infiltre pour forcer le maintien de certains spywares

Adware & Spyware

Un exemple



Adware Spyware Source commerciale légitime Oui Oui Profite de la connexion Internet de l’utilisateur Oui Oui Consomme de la bande passante Internet de manière invisible Oui Oui Observe les habitudes de navigation de l’internaute afin de lui fournir des bannières publicitaires adaptées à son profil

Oui, c’est le but

Oui, mais pas uniquement

Modifie ou ajoute des fonctionnalités au navigateur Parfois Parfois Modifie le comportement et les réglages du navigateur Parfois Parfois Télécharge et installe des programmes et autres objets de manière arbitraire

Oui Oui

En cas de transfert de données, la préservation de l’anonymat est annoncée (et respectée). Si des données personnelles sont transmises l’utilisateur en a été informé (EULA – End user Licence Agreements).

Oui Non

Collecte et transmet des données statistiques (habitudes de navigation) et/ou personnelles à un site distant sans que la victime en ait connaissance et sans son autorisation explicite (objectif commercial). Aucune clause de confidentialité n’est fournie par défaut.

Non Oui, c’est le but !

Se conduit comme outil d’espionnage en interceptant la globalité de l’activité effectuée sur la machine de la victime (objectif de renseignement)

Non Parfois

Adware & Spyware



Adware & Spyware

PRESERVATION DE L’ANONYMAT ?

Les concepteurs nous affirment que l’information est traitée de manière agrégée.

En théorie, la méthode consiste à remplacer des unités individuelles par des unités représentatives, en plus petit nombre, mais permettant de conserver l’essentiel de l’information initiale sur la population considérée




Adware & Spyware

http://www.oecd.org




Adware & Spyware

http://67.15.22.137:8095/politiques.php (Spa Eastman - Montreal)



Adware ou Spyware ?

D’un point de vue fonctionnel, le spyware se différencie de l’adware par un ou plusieurs des points suivants :

installation silencieusecollecte d’informations personnelles à l’insu de l’utilisateurtransmission de ces informations à un tiers sans accord préalable clair et sans préservation d’anonymatabsence ou dysfonctionnement volontaire du logiciel de désinstallation

Où est la frontière entre l’acceptable et l’inacceptable ?

Que penser d’un produit publicitaire dont la politique d’installation est totalement différente d’un site à un autre ?



Adware ou Spyware ?

Un accord préalable souvent donné à la légèreDes détournements d’usageDes personnes peu scrupuleusesUne absence fréquente de logiciel de désinstallationUne absence fréquente de panneau de configurationUne impossibilité de désactiver temporairement ou définitivement le produit

Tout cela engendre une suspicion grandissante de la part des usagers..

Certaines grandes marques abandonnent le concept pour sauvegarder leur image de marque…



Programmes Indésirables

Adware / SpywareOutil d’aide à la navigation / BHO - Browser Helper ObjectOutils de re-direction / Browser HijackerLogiciels de connexion téléphonique / DialerPlaisanteries / Joke


Virus, VersBombes logiquesChevaux de Troie / Porte dérobéesBots / Robots

Outils furtifs d’administration à distance (RAT en anglais)Outils de capture d’informationsOutils d’appropriation de ressourcesOutils d’attaque réseau

Adware & Spyware

Programmes commerciaux indésirables, usage détourné, absence de consentement…



Keyloggers

0

1000

2000

3000

4000

1999

2000

2001

2002

2003

2004

RAT

0

200

400

600

800

1999

2000

2001

2002

2003

2004

Keylogger

RAT : Remote Administration Tool ou « outil furtif d’administration à distance »

Nombre cumulé depuis 1999 (source PestPatrol(http://research.pestpatrol.com/graphs/form.jsp)



Robots

0

100

200

300

400

500

600

700

800

900

1000

avr-03

mai-03

juin-03

juil-03

août-03

sept-03

oct-03

nov-03

déc-03

janv-04

févr-04

mars-04

avr-04

mai-04

juin-04

juil-04

août-04

sept-04

oct-04

Gaobot Spybot Randex

Source Symantec (Kaoru Hayahi – AVAR 2004)



Robots

Pour s’implanter, le robot utilise des méthodes classiques : • Il peut être déposé sur sa cible par :

• Un courrier électronique (spam)• Un vers ou virus• Un cheval de Troie

• Il peut posséder son propre module de propagation (propagation souvent lente et ciblée) et exploite :

• Une vulnérabilité• Des partages ouverts (open shares)• Des mots de passe faibles ou manquants

• Il peut exploiter la crédulité des internautes (social engineering)



• Réutilisation de la technologie existante IRC - Internet Relay Chat (voir nota)

• Protocole basé sur le principe du client-serveur• Connexion simpliste :

• Ouverture d’un socket TCP sur le port du serveur• Définition d’un pseudo

• Le bot est exécuté silencieusement sur chaque système piraté. Il se connecte automatiquement à un serveur IRC prédéfini pour rejoindre son botnet. Chaque système piraté peut, dès lors, être piloté à distance par l’IRCcommand master

• On en découvre entre 25 et 50 nouveaux chaque jour !

Robots

Nota : Certains robots sont contrôlés via les réseaux P2P et des protocoles autres que l’IRC (exemple WASTE par AOL’s Nullsoft division sur le réseau Gnutella).



Robots

Schéma issu du document : Sécurité des postes de travail : Botnet, Alain Hugentobler



• Ceux qui se cachent derrière les robots veulent :• Envoyer du courrier et collecter des adresses• Obtenir les clés de certains logiciels et CD de jeux• Diffuser et exécuter des mini-serveurs relais• Diffuser et piloter des outils d’attaque (DDoS ou autres)• Capturer le trafic IRC (pour trouver les mots de passe

d’autres botnets)• Capturer les mots de passe et utilisateurs FTP• Capturer le trafic HTTP et les cookies (PayPal)• Terminer des applications (AV, pare-feux…)• Voler des informations relatives aux comptes AOL• Etc.

• Le grand public ignore encore la menace• Là où le « bot » circule, l’argent circule !

Robots



Sdbot, Agobot, Gaobot, Spybot, Polybot, Kwbot, Phatbot…

Robots

• Les utilisateurs les distribuent sous la forme de code source

• Tout comme les logiciels libres (open source), le code est facilement modifiable. Il est conçu pour pouvoir évoluer. Il s’enrichit au fil du temps et les programmeurs diffusent les perfectionnements qu’ils développent jour après jour

• Aucun pré requis technique n’est nécessaire, les fichiers de traitement par lot et les compilateurs sont fournis

• Un large panel de personnes malveillantes s’intéresse aux bots…



Robots… en mode « open source »…



Robots… à la portée de tous…



Porte Dérobée

Vers

Porte Dérobée

Vers

Code Additionnel

Porte Dérobée

Vers

Code Additionnel

Code Additionnel

Porte Dérobée

Vers

Code Additionnel

Code Additionnel

Attaque parvulnérabilité

Compacteurpolymorphique

Avril 2003Q=1

Novembre 2004Q > 4000

Basée sur SdBotSupporte 22 commandes17 mots de passe en dictionnaire

Supporte 90 commandes

139 mots de passe en dictionnaireUtilise Bagle, Mydoom et autres Trojans pour se propager

MS01-059 (UPnP)MS02-061 (SQL)MS03-007 (WebDAV)MS03-026 (DCOM RPC)MS03-049 (Workstation)MS04-011 (LSASS)

Robots… ils s’enrichissent au fil du temps…

Exemple : Spybot



… chaque cas est unique…

Robots

• La détection est parfois difficile à obtenir• Chaque variante est créée dans un but précis. Si vous ou

votre entreprise êtes ciblé, vous seul en possédez la souche

• Ils attendent d’être sollicités par leur concepteur ou par ceux qui « louent » leurs services

• Ils captureront de l’information• Ils participeront depuis chez vous à des attaques

groupées (DDoS)• Vos machines serviront de relais de spamming et/ou de

phishing• Se sachant éphémères, ils préparent la place pour leur

descendance



… chaque cas est unique…

Robots

• C’est leur nombre qui fait leur force• Leur durée de vie est courte :

• Ils sont créés• Ils sont « distribués » afin de créer un « botnet »• Ils sont utilisés

• Certains outils « commerciaux » s’en servent comme intermédiaires



INFO ou

INTOX ???

… au service des « professionnels » ??

Robots




Robots



Robots

• Quelques chiffres :Source Peter Haag SWITCH Security Workshop, 03/11/2004• Le plus grand botnet : > 140.000 machines• Un accès non exclusif à un bot vaut 0,15€

0,35€ en mode exclusif (10 cents, 25 cents)

• Un réseau de 500 bots peut valoir jusqu’à 380€ (500$)

• La location de 20000 proxies par jour pour spammer vaut 75€/semaine (100$)

• Les attaques DDoS se négocient entre 38€ et 750€ (50$ et 1000$)

• Pour 38€ par mois, on reçoit une liste quotidienne de proxies ouverts (50$)




RéférencesFaille JPEG

LURHQ, ***JPEG "Virus" Facts***http://www.lurhq.com/jpegvirus.htmlMICROSOFT TECHNET

Microsoft Security Bulletin MS04-028Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution (833987)http://www.microsoft.com/technet/security/bulletin/MS04-028.mspxBulletin de sécurité Microsoft MS04-028Une saturation de la mémoire tampon lors du traitement JPEG (GDI+) peut permettre l'exécution de code (833987)http://www.eu.microsoft.com/france/technet/securite/ms04-028.mspx




RéférencesAdware et Spyware

VIRUS BULLETIN, décembre 2004How ‘dare’ you call it a spyware!Prabhat K. Singh, Fraser Howard, Joe TelaficiAdware & Spyware

François PagetDocument de travail présenté au Forum des Droits de l’Internet et Conseil Supérieur de la propriété littéraire et artistiqueSilicon.fr, Spywares: le 'top 10' des plus méchants

http://www.silicon.fr/getarticle.asp?ID=7659Assiste.com, dossier spyware

http://assiste.free.fr/p/frameset/05.phpSecuser.com, Spywares : ces logiciels à votre écoute

http://www.secuser.com/dossiers/spywares_generalites.htmInternet Intruders: Spyware, Adware, Hijackers and Other Pests.

David J. Stang, Ph.D. PestPatrol Research Centerhttp://research.pestpatrol.com/WhitePapers/About_Spyware.aspLes logiciels espions

Sophie Revol, DESS Droit du Multimedia et de l’informationhttp://www.u-paris2.fr/dess-dmi/rep_travaux/32_logiciels_espions.pdf




RéférencesAdware et Spyware (suite)

OptOut, Internet Connection Misuse & Abusehttp://grc.com/optout.htmZDnet, Le "spyware" de Gator n'en finit pas d'attirer les critiques

http://www.zdnet.fr/actualites/internet/0,39020774,2118596,00.htm'Spyware' Steps Out of the Shadows

John Borlandhttp://www.10e20webdesign.com/news_center_latest_technology_internet_news_november_19_2003_spyware_steps_out_of_the_shadows.htm



Programmes MalveillantsRéférences

Robots et KeyloggersSécurité des postes de travail : Botnet

Alain Hugentobler, 14 décembre 2004http://www.unige.ch/dinf/projets/pres_corres10_14102004/Botnet_10_14122004.pdfMessagelabs, Monthly Report: October 2004, Rise of the zombies botnets

http://www.messagelabs.com/emailthreats/intelligence/reports/monthlies/October04/default.aspWho Wrote Sobig ?

http://spamkings.oreilly.com/WhoWroteSobig.pdfLURHQ, Phatbot Trojan Analysis

http://www.lurhq.com/phatbot.htmlLes Bots

François PagetDocument de travail présenté au Conseil Supérieur de la propriété littéraire et artistiqueCERT® Advisory CA-2003-08 Increased Activity Targeting Windows Shares

http://www.cert.org/advisories/CA-2003-08.htmlN@tpreneur, Using Shopping Bot Sites to Attract New Visitorshttp://www.entrepreneur.com/article/0,4621,314466,00.htmlComputer Security Update, Décember 2004

Lionel Cons, Denise Heagerty, CERN Computer Security Team, ACCU Meeting, 8 December 2004http://ph-dep.web.cern.ch/ph-dep/ACCU/Minutes/Presentation.66/ComputerSecurity.pdf



Panorama 2004






Chantage – extorsion - racket

Il n’est pas nouveau que les entreprises fassent l’objet de tentatives de chantage, d’extorsion, ou de racket.

L’actualité de l’année 2004 le confirme : menaces de divulgation de données, d’attaques en déni de service (DoS), les maîtres-chanteurs savent tirer parti d’Internet et des ressources informatiques.

Quelques affaires marquantes, pas encore toutes résolues, sont significatives de cette problématique pour les entreprises, lorsqu’elles se trouvent confrontées à des approches douteuses.




Février 2004 : Arrestation de quatre suspects au Japon, dans le cadre d’une affaire oùSoftbank explique avoir fait l’objet de chantage et tentative d’extorsion après un accès à la base de données de ses clients

28 millions de dollars lui sont demandés contre la non-divulgation des données personnelles de plus de 4,5 millions de clients

L’affaire fait scandale au Japon, le président du groupe Softbank présente ses excuses à ses clients et promet un dédommagement




Mars 2004 : Google reçoit des emails d’un individu qui l’approche pour lui vendre un logiciel conçu pour abuser le système de paiement au clic de publicités. Il menace l’entreprise de la détruire financièrement si elle ne lui verse pas la somme de 100.000 dollars

Sa menace consiste à vendre à des spammeurs ce logiciel programmé pour fausser le système de paiement des publicités payées au clic par Google

Le logiciel crée une augmentation artificielle du nombre de clics

Inculpation de Michael B, auteur présumé.



Chantage –extorsion -racket

Plusieurs sites web de pari en ligne en Grande-Bretagne subissent des attaques en DDoS ( Attaques distribuées en déni de service ), parmi lesquels : William Hill, Ladbrokes, Coral,Betfair and BetDaq,etc

L’inaccessibilité des sites web avec paiement en ligne entraîne un manque à gagner qui va de plusieurs heures à plusieurs jours, à l’approche de compétitions sportives importantes

Des demandes de rançon en échange de la non-attaque sont reçues. Montant demandé : + ou -40.000 dollars

Blue Square indique avoir essuyé plusieurs attaques après avoir refusé de payer 30.000 dollars




BetCBSports.com : indique avoir reçu un email disant en substance :"You have 3 choices. You can make a deal with us now before the attacks start. You can make a deal with us when you are under attack. You can ignore us and plan on losing your Internet business“

En juillet 2004, annonce de l’arrestation en Russie de 3 maîtres-chanteurs présumésIls sont suspectés de racket contre des sites web de pari en ligne en Grande-Bretagne, aux Etats-Unis et dans les Caraïbes.




Quelques modes opératoires utilisés :

- Accès à des données et menaces de les divulguer contre demande de rançon

- Utilisation d’outils d’attaques : logiciels

- Utilisation d’outils d’attaques : attaques en DDoS avec une armée de PC Zombies




Sécurité :- L’argent attire les racketteurs

- Cibles : casinos en ligne, sites de pari, sociétés de services de paiement en ligne, grandes entreprises…

- Mais tout le monde peut être la cible de tentative de chantage : des PME, des particuliers ou des employés non cadres- Organisation :

- Contre-mesures techniques à envisager- Actions de sensibilisation (notamment, savoir repérer les prémisses d’une tentative de chantage)- Actions juridiques- Risques de payer la rançon demandée




Sources : Affaire Softbank : AFP Tokyo 27 février 2004Japan Times : 26/02/04 et 27/04/04Zdnet :http://www.zdnet.fr/actualites/internet/0,39020774,39143347,00.htmAssociated Press : 19/11/2004




Sources : Affaire Google :Comuniqué du Département de la Justice USAhttp://www.usdoj.gov/usao/can/press/html/2004_03_19_bradley.html




Sources : Racket -Attaques DDoS:BBC :http://news.bbc.co.uk/1/hi/business/3914363.stmZdnet :http://www.zdnet.fr/actualites/technologie/0,39020809,39177350,00.htm



Panorama 2004






Attaques concurrentielles

Les attaques concurrentielles représentent une menace qui ne connaît pas de répit

Quelques affaires sélectionnées dans l’actualité de 2004 illustrent différentes formes d’attaques concurrentielles facilitées par les systèmes informatiques et Internet :espionnage industriel, atteinte au droit des marques, diffusion de fausses informations, attaques en Déni de Service ciblées.



Concurrence-espionnage

Air Canada poursuit sa concurrente WestJet Airlines pour espionnage industriel présumé. Faits allégués *:- Accès non autorisé à des données confidentielles stratégiques via le système informatique de vérification de la disponibilité des sièges sur tous les avions de la compagnie.- Accès 243 630 fois en 10 mois- De hauts responsables de WestJest sont visés dans la plainte, ainsi que l’analyste financier de WestJet, ancien employé de Air Canada qui aurait utilisé son ID pour accéder au système.- Demande 220 millions de dollars de dommages et intérêts par Air Canada

* Affaire en cours, à suivre



Concurrence - Espionnage

WestJet contre attaque : elle entend poursuivre Air Canada pour obtention de documents dans les poubelles de la résidence privée de l’un des ex-cadres de WestJet.

Les documents déchiquetés obtenus par des enquêteurs privés envoyés par Air Canada, sont reconstitués et il se trouve qu’ils contiennent des données sur un autre transporteur, Jetsgo.

Jetsgo les récupère et poursuit à son tour WestJet



Concurrence –espionnage

Plainte de la société belge Electrabel pour une affaire d’espionnage présumé

Suite à la prestation d’audit d’une société de service de sécurité informatique, Electrabelsoupçonne que des fichiers auraient été copiés et un logiciel d’espionnage placé dans l’ordinateur du responsable des investisseurs

Un dirigeant de Suez aurait introduit dans les locaux de sa filiale belge Electrabel les techniciens d’une société spécialisée, aux fins de tests de sécurité, par crainte de fuite de fichiers informatiques pouvant servir à une OPA hostile contre Electrabel

Affaire en cours, à suivre



Concurrence- Marques

Droit des Marques – Mots clés – Moteurs de recherche – Publicité :

En Allemagne, Metaspinner Media engage une action contre Google concernant la marque Preispiraten

Metaspinner reproche à Google de vendre ”Preispiraten” comme mot clé à des concurrents dans le cadre de son système de publicité Adwords.



Concurrence - Marques

Actions similaires de la compagnie d’assurances AXA

GEICO poursuit Google et OvertureAmerican Blind & Wallpaper Factory

poursuit AOL, Ask Jeeves, CompuServe Interactive Services EarthLink Inc, Google,Netscape

Google obtient gain de cause contre LWD Internet et récupère le nom de domainefroogle.co.uk



Concurrence –Diffusion de fausses Informations

Affaire Belvédère :Près de 7 ans après les faits, le dirigeant de la société américaine PBC (Phillips BeverageCompany ) est condamné à Paris à 100 000 euros d’amende pour « diffusion de fausses informations en matière boursière pour agir sur le cours des titres » (art. L 465 et s. du code monétaire et financier).



Concurrence Diffusion de fausses informations

En 1998, des informations fausses ou trompeuses sur Belvédère ont été diffusées sur le site internet d’une agence de communication.A la suite de quoi la valeur en Bourse de Belvédère avait chuté.



Concurrence Attaques DDoS

En août 2004, 6 personnes sont arrêtées aux Etats-Unis dans une affaire d’attaques en DDoS commanditées contre des concurrents

Les attaques DDoS menées contre les sociétés Weaknees, et Rapid Satellite et Expert Satellite, rendaient indisponible leur système de commande en ligne. Chaque fois qu’un site changeait d’hébergeur, il se faisait attaquer à nouveau



Concurrence Attaques DDoS

Le dirigeant d’une société concurrente est accuséd’avoir commandité ces attaques.

Selon les documents de l’enquête, il a payé 1000 dollars un intermédiaire, qui possédait une sociétéd’hébergement, pour lui trouver des pirates qui fassent le « travail ».

Les pirates contrôlaient entre 3.000 et 20.000 bots chacun

Le commanditaire présumé a ensuite racheté la société d’hébergement, et engagé l’ancien propriétaire comme administrateur pour un salaire annuel de 120.000 dollars.

Inculpé, il est en fuite.



Concurrence - espionnage

Sources : Air Canada/ WestJet/Jetsgo : Radio CanadaElectrabel :AFP 11 mai 2004Article quotidien belge Le Soirhttp://www.lesoir.be/rubriques/eco/page_5171_217350.shtmlArticle Intelligence Online



Concurrence -

Sources : Marques :Out-law.com

Belvédère : Legalis.netExpertises

Attaques DDoS :http://www.usdoj.gov/usao/cac/pr2004/110.htmlAssociated Press



Panorama 2004






Du néologisme à l’effet d’annonce

Du néologisme à l’effet d’annonceCyberjihad

« Cyber Jihad and the Globalisation ofWarfare », DefCon, 2004« …Hackers who have proclaimed‘electronic Jihad’ […] main strike will mostprobably be directed against political andfinancial sites of the United States, Israeland West-European countries » RIA Novosti, 24/08/04, citation d’un éditeur antivirus.

Assertion d’une OCT (organisation criminelle transnationale) dans la lutte entre les virus Netsky et Bagle. ZDnet UK, 09/12/2004



Cyberterrorisme, un terme récurrentdepuis près de 10 ans

Discours variés sur 2004«Cyberterrorism confuses people,… use ‘information security’ or ‘cybercrime’, but please don’t use ‘cyberterrorism’ », Richard Clarke (ancien conseiller de la Maison Blanche), ZDnet, 05/11/04« Le cyberterrorisme inquiète les Etats-Unis », Les Echos, 28/11/04Vœux présidentiels 2005, citation du terme

Eviter amalgames et réductionnisme (consultants sécurité, médias)

Altération de page web avec « coloration » politique, hacktivisme, cybercriminalité, hacking…

On a constaté une professionnalisation des attaques (cf. Panorama 2003) et l’implication probable d’OCT



Terrorisme, quelle(s) définition(s) ?Etats-Unis, FBI « The unlawful use of force against persons or property to intimidate or coerce a government, the civilian population or any segment thereof, in the furtherance of political or social objectives »

France, CP Art. 321-1 «Constituent des actes de terrorisme, lorsqu’elles sont intentionnellement en relation avec une entreprise individuelle ou collective ayant pour but de troubler gravement l’ordre public par l’intimidation ou la terreur, les infractions suivantes :… »

Des définitions très variées avec des conséquencesAu sein d’un même Etat, en fonction des servicesLa qualification d’un acte par ce terme permet la disqualification… ou certaines actions de police ou militairesLes terroristes d’un jour peuvent être plus tard renommés les premiers résistants ou libérateurs… ou être requalifiés comme les auteurs d’une action spéciale étrangère



Cyberterrorisme, quelle définition ?

FBI, Congressional Statement, 24/02/2004 : « However, mere terrorist use of information technology is not regarded as cyberterrorism. The true threat of ‘cyberterrorism’ will be realized when all the factors that constitute a terrorist attack, coupled with the use of the Internet, Are met. Cyberterrorism is a criminal act perpetrated by the use of computers and telecommunications capabilities, resulting in violence, destruction and/or disruption of services, where the intended purpose is to create fear by causing confusion and uncertainty within a given population to conform to a particular political, social or ideological agenda. »



Terrorisme, caractérisation

Il existe des terrorismesEn fonction du domaine : politique (séparation, libération), social (ou ethnique), culturel, religieux (fondamentalisme, apocalypse)…En fonction d’un but : influence, revendication, répression, conversion, extermination, nihilisme…

Critères empiriquesSurprise dans la survenanceViolence contre une cible « désarmée », terroriser…Implication personnelle du Public (victime potentielle)Suspense dans une re-survenanceRevendication médiatique (et sous entendu de l’impossibilité pour l’Etat de maintenir l’ordre public)



Internet et TIC, modes d’emploi

1/ Moyen de liaison ( déjà vu)Messagerie Internet et forums Usenet, téléphonie cellulaire, agenda électronique, traitement et stockage de données multimédias

2/ Moyen de propagande (web et forums) ( déjà vu)Information et soutien,Relais médiatique (avec essor d’emploi du multimédias)DiscréditAppel à la haineContre-site, propagande noire




3/ Moyen de financement ( déjà vu)Appel aux donsExploitation des systèmes d’information (cartes bancaires, chantage-extorsion), blanchiment, etc.)? Phishing? Accès à des données personnelles d’identité

« Police Arrest Hacker Apparently Linked to Sardinian

Anarchist Attacks », Corriere della Sierra, 07/01/2005



Internet et TIC, modes d’emploi4/ Moyen d’action directe

Quelles opportunités ?Dépendance à l’information numériqueEvénements accidentels ayant entraîné des dommages financiers, matériels, corporels

Arrêts de fours de traitement thermique, de turbines électriques lors des tests An 2000Sûreté de fonctionnement d’infrastructure télécoms ou de réservations de billetsIndisponibilité du service d’authentification de transactions bancairesPerte de contrôle de la régulation pour un segment du réseau d’acheminement du gaz en RussieHomicide d’une personne dont un système informatique pilotait les fonctions vitalesDécès dans un service de réanimation suite à une coupure électrique…




Renseignement d’opération (et présélection de cibles) ( déjà vu)

Informations en ligne (almanachs, photos, plans de site publics et/ou industriels)Cybergéographie (exemples des routeurs nationaux, des infrastructures réseaux et télécoms)




Action directe proprement dite (destruction, attrition des ressources)

Discours général ambiant focalisé sur la destruction massive et/ou la menace systémique (effondrement de l’Internet, arrêt d’une activité au niveau national)L’action pourrait être plus limitée/ciblée mais répétitive et/ou en prélude à une attaque conjuguée… ou encore une attrition s’étendant dans la durée



Panorama 2004






Menaces sur la Mobilité multimédia

AgendaQui est menacé ?

Quelques mots sur la victimeUne victime de choixQue risque la victime ?Menaces sur la mobilité : pourquoi ?

De la menace aux attaquesEn fait ça a déjà commencéLes failles du « rassurant » GSMLes hots-spots Wi-FI « la cible à la mode »Voix sur IP: H323, SIP et autres VOMITBluetooth : une porte d’entréeEt enfin, les premiers Virus/Vers

Conclusion: faire face à la menaceFaudra-t-il un Cert Wireless ?L’équilibre entre Défense et attaque



Quelques mots sur la victime

Débit

Bluetooth

GSM

GPRS

UMTS / 3GWI-FI

Couverture



Quelques mots sur une victime de choix

http://www.nwfusion.com/news/2004/0902rncwir.html

By Dan Verton Computerworld, 09/02/04

… at this week's Republican National Convention (RNC) at New York's Madison Square Garden.

While physical security was tightened to unprecedented levels -- transforming the city into somethingunrecognizable to those who call it home -- IT security researchers uncovered an unsettling number of unencryptedwireless devices that they say create a potential information security nightmare for convention organizers anddelegates.

During a two-hour "war drive" around the site of the RNC as well as Manhattan's financial district, securityresearchers from Boston-based Newbury Networks discovered more than 7,000 wireless devices, 1,123 of whichwere located within blocks of the convention, including a network named WirelessForKerry.

More important, 67% of those devices were access points that did not have encryption protection.

The two-hour drive around Manhattan also revealed as many as 2,161 access points and 821 client devicesbroadcasting unique service set identifiers (SSID). "The SSIDs beaconed by clients is really a valuable list for an attacker,« … These security gaps potentially open the entire hard-wired RNC network and other corporatenetworks to data sabotage, virus and worm infections, denial-of-service bots and spam engines, "Apparentlynobody at the RNC seems to know what the wireless policy is,".

"They spend millions of dollars on physical security and they don't have a clue of who's using their airwaves."

Access Point Manager

Access Point

Hacker

La sécurité des mobiles devrait être traitée aussi sérieusement que la sécurité tout court …



Menaces : que risque la victime ?

Menace Localisation Moyens FinalitésInterception Flux

de connexion et de contrôle

• Crypto-analyse (crack, brute force)• Man in the Middle (MiM)• Mascarade / re-jeu• Altération de message

Atteinte du Système d’Information :• DIC contre ses données• à ses ressources internes• à ses ressources de connexion

pour consultation des serveurs de données

Flux de données • Captation• Fausse borne AP (MiM)• Altération de message

• Divulgation• Exploitation frauduleuse

de données financières

Disponibilité Equipements • Déni de service (logique)• Brouillage par susceptibilité

électromagnétique

Indisponibilité :• Divulgation• Exploitation frauduleuse

War-Xing War drivingGéo-localisationWar chalking

• Localisation de proximité Opportunité ultérieure :• d’interception ou• d’indisponibilité

pour cartographie, marquage, …

Attaques Ad-Hoc (P à P)

Flux de :• Connexion• Données

• ARP cache poisoning• Man in the Middle

• Génération de pertes de paquets réseau • Dysfonctionnement de la machine

pour accès au réseau et/ou attaques DoS



Menaces sur la mobilité : pourquoi ?Pourquoi les environnements de mobilité (mobiles et wireless) seraient-ils unedes prochaines cibles des hackers ?

Parce que c’est facile :Les infrastructures Radio & wireless facilitent l’accès non autorisé à l’infrastructureL’objectif de mobilité et de flexibilité rend difficile un contrôle d’identitéfortement sécuriséLes architectures évoluent pour intégrer de plus en plus le protocole IP, environnement familier des hackers

Parce que ça va finir par rapporter :L’évolution vers plus de débit avec la 3G apporte de plus en plus de services multimedias à haute valeur ajoutée, plus intéressants à pirater(€€€), et IP est un environnement familier des hackers : failles, piratageset virus devraient se multiplier

En fait ça a déjà commencé …http://www.nytimes.com/2003/11/28/technology/28cell.html?ei=5035&en=30e59a29c137f7cd&ex=1156395600&partner=MARKETWATCH&pagewanted=print&position=



En fait ça a déjà commencé …

Débit

Bluetooth

GSM

GPRS

UMTS / 3GWI-FI

Failles

Virus

Failles

Failles

Couverture



Les failles du « rassurant » GSM

Même le « simple » GSM comporte des failles structurelles, entrainant l’émergence du 3GPP :http://www.3gpp.org/TB/SA/SA3/SA3.htm

Rogue BTS & othe interception attackshttp://www.geocities.com/clubkefia/gsmintercept.htm

Attaques A5/2http://www.issadvisor.com/columns/GSMSecurity/GSMSecurity.htm

Son évolution GPRS, plus connectée au monde IP ne fait pas exception :

GPRS over-billinghttp://www.theregister.co.uk/2003/10/02/official_crackers_have_broken_into/

De plus, les terminaux mobiles haut de gamme peuvent être un simple relais pour une attaque de convergence :

http://informationweek.oraclepeoplesoftinsider.com/showArticle.jhtml?articleId=54800350&printableArticle=true



Les hot-spots Wi-Fi, « la cible à la mode »

Jusqu’à maintenant, les failles des terminaux ont surtout été exploitées pour rebondir et accéder de manière illégitime à un réseau Wi-Fi :

Convergence des menaces : des scénarios d’attaque combinent la faille bluetooth et son exploitation sur des terminaux (« GSM » ou PDA) haut de gamme, pour accéder aux données d’authentification et/ou d’abonnement et les réutiliser

La phase pilote des déploiements de hots-spots Wi-Fiétait considéré comme peu sécurisée :

http://www.reseaux-telecoms.com/alerte_btree/04_06_16_105502_697/CSO/Alerte_view



Voix sur IP: H323, SIP et autres VOMIT

La mobilité par le WiFi peut entraîner un recours à la Voix sur IP La Téléphonie sur IP a tout d’abord inquiété de par la perméabilité qu’elle a introduit entre deux mondes qui se craignaient mutuellement“IP ne doit pas nuire à la sécurité de la Téléphonie, et la Voix sur IP ne doit pas introduire des brèches dans la sécurité du réseau Data“

La VoIP est-elle moins sûre que les autres infrastructures ?Failles structurelles dans la gestion du protocole H323

Contrainte sur la gestion des ports dynamiques par les FirewallPublication d’outils facilitant l’attaque des infrastructures VoIP

VOMIT (Voice Over Misconfigured Internet Telephone)SiVuS : SIP Vulnerability Scanner

Mais l’analyse objective montre que la VoIP relève surtout d’une exigence de sécurité système et réseaux classique :

http://csrc.nist.gov/publications/nistpubs/800-58/SP800-58-final.pdf



Bluetooth, une porte d’entrée

Bluetooth" Bluesnarfing "

Cette vulnérabilité permet à un attaquant distant de voler les données confidentielles contenues sur un téléphone mobile vulnérable (si le téléphone est en mode "visible" "discoverable"). Des codes malicieux exploitant cette vulnérabilité sont disponibles sur Internet depuis février 2004.

" Porte dérobée "Un attaquant distant est capable de mettre en relation de confiance son équipement avec un mobile vulnérable bluetooth (au travers du mécanisme de "pairing"). Cette attaque permet de capturer sur un téléphone mobile vulnérable la totalité des données de la mémoire, mais aussi d'utiliser les ressources du GSM vulnérable tels que les accès Modem, Wap, Internet et GPRS

" Bluebug " La troisième vulnérabilité permet de créer un canal série caché ce qui donne un accès illimité aux commandes AT (commandes modem), d'utiliser ce mobile pour initialiser des appels, envoyer et lire des SMS, se connecter à Internet ainsi que d'être à l'écoute de conversations téléphoniques au voisinage du périphérique vulnérable.

" Bluejacking "Ces 3 vulnérabilités sont renforcées par le fait que les terminaux Bluetooth peuvent être contactés sans autorisation, technique appelée le "Bluejacking" qui permet d'envoyer des messages de façon anonyme.

http://www.cert-ist.com/francais/outils/article36_fr.htm



POC

CABIR

Blocage

15 Juin 2004 Fin 2004

Le premier sur Symbianpas de chargediffusion Bluetooth

Action : génération d’appels surtaxésTélé-chargeable sur forumcible symbian série 60

Et enfin, les premiers Virus/Vers… ils s’enrichissent au fil du temps…

Toute ressemblance avec le transparent sur les robots est volontaire afin de voir la progression

POC

Dust CE

Le premier sur Win CEpas de chargeTélé-chargeable par services com

15 Juin 2004

Exploit

Skulls

Action : icônes multiples crânes Action : blocage mises à jour Télé-chargeable sur forumcible symbiansérie 60

Outil « spam »?

Génération Appels

Mosquito

Publication Code Source de CabirVariante D de Skulls, qui transporte Cabir : infection par fichier et bluetoothVirus/Ver Lasco.Ainfection par fichier et bluetoothhttp://news.zdnet.com/2100-1009_22-5520003.html?tag=default

…

Du 30 dec 2004 au 11 janvier 2005

Début 2005



Conclusion: faire face aux menaces (1/2) Faudra-t-il un Cert Wireless ?

La GSM Association a lancé un RFI pour la constitution de « Wireless Emergency Response Service »:

Service permanent de Veille et d’Alertes sur les attaques de Sécurité (Virus, hacking) affectant les usagers de services de mobilité : GSM, GPRS, UMTS …Certains soumissionnaires ont étendu leur réponse au Wi-FIEn France l’idée d’un WERS-France piloté par les opérateurs fait son chemin

Intérêt de la structureAccès privilégié à un centre d’expertiseMutualisation des ressources nécessaires à une forte réactivitéNeutralité des intervenants

face aux contraintes opérationnelles des équipes d’exploitation face à des interlocuteurs tiers (éditeurs, partenaires, autres opérateurs)

Aptitude pour les opérateurs à communiquer sur l’effort entrepris



Conclusion: faire face aux menaces (2/2)L’équilibre entre défense et attaque

Sommes-nous prêts ?Les éditeurs d’antivirus et de firewall ont des solutions déjà prêtes avant même que l’on ait dépassé le stade du Proof ofConceptLes opérateurs ont pris en considération les problématiques de sécurité avant le déploiement à grande échelle, instruits par leur expérience des services IP, ADSL/broadband et des premiers pilotes hot-spotLes services de veille et d’Emergency Response sont prêts à se mettre en place

Une petite prévision sur les prochaines batailles ?Osons un pronostic et parions sur l’ingénierie sociale : l’utilisateur typique est, comme l’a caractérisé un opérateur, un YAF (Young Active and Fun).Ce profil le rend très vulnérable à des actions impulsives d’assistance au hacker, trompé par des données attractives d’actualité (scoop) ou encore plus basiques (images de stars …)

Panorama de la cybercriminalité

Documents

Transcript of Panorama de la cybercriminalité