PANORAMA DE LA CYBERCRIMINALITÉ Septembre 2012

Guilhem BORGHESI – Marc HERRMANN

CERT-OSIRIS

P. 2 SOMMAIRE

Une prise de conscience progressive Ces attaques qui ont changé l’histoire… Le faucon vs la colombe Revue d’actualités 2011 – 2012 Autopsie d’une infection par un ransomware Liste des méchants Les botnets Quelques chiffres Quel avenir ?

CERT-OSIRIS

P. 3

Juin 2008 : Livre blanc sur la défense et la sécurité nationale

Mai 2011 : Conseil des ministres du 25 mai 2011 dédié à « La politique de sécurité des systèmes d’information »

Juillet 2012 : Rapport d’information du Sénat sur la cyberdéfense

La prise de conscience est lente… Ce qui est connu n’est que la partie émergée de l’iceberg, les incidents ne sont souvent pas médiatisés, nombre d’attaques restent non détectées

MENACES INFORMATIQUES : UNE PRISE DE CONSCIENCE PROGRESSIVE

CERT-OSIRIS

P. 4

« Des vulnérabilités nouvelles pour le territoire et les citoyens européens » La population et le territoire européens sont aujourd’hui plus vulnérables que dans les années 1990, c’est-à-dire davantage exposés à des menaces directes : LE TERRORISME LA MENACE DES MISSILES LES ATTAQUES MAJEURES CONTRE LES SYSTÈMES D’INFORMATION L’ESPIONNAGE ET LES STRATÉGIES D’INFLUENCE LES GRANDS TRAFICS CRIMINELS » http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/084000341/0000.pdf

LIVRE BLANC SUR LA DÉFENSE ET LA SÉCURITÉ NATIONALE (JUIN 2008)

CERT-OSIRIS

P. 5

Extrait du livre blanc sur la défense et la sécurité nationale (2008) : « Les moyens d’information et de communication sont devenus les systèmes nerveux de nos sociétés, sans lesquels elles ne peuvent plus fonctionner. Le « cyberespace » est radicalement différent de l’espace physique : sans frontière, évolutif, anonyme, l’identification certaine d’un agresseur y est délicate. La menace est multiforme : blocage malveillant, destruction matérielle (satellites, infrastructures de réseau névralgiques), neutralisation informatique, vol ou altération de données, voire prise de contrôle d’un dispositif à des fins hostiles. Dans les quinze ans à venir, la multiplication des tentatives d’attaques menées par des acteurs non étatiques, pirates informatiques, activistes ou organisations criminelles, est une certitude. Certaines d’entre elles pourront être de grande ampleur. S’agissant des attaques d’origine étatique, plusieurs pays ont déjà défini des stratégies de lutte informatique offensive et se dotent effectivement de capacités techniques relayées par des pirates informatiques. Les tentatives d’attaques dissimulées sont hautement probables. Des actions massives, menées ouvertement, sont également plausibles. »

LIVRE BLANC SUR LA DÉFENSE ET LA SÉCURITÉ NATIONALE (JUIN 2008)

CERT-OSIRIS

P. 6

« L’évolution des technologies et l’interconnexion des réseaux rendent les seules stratégies de défense passive et périmétrique (de « ligne ») de moins en moins efficaces, même si elles restent nécessaires. Le passage d’une stratégie de défense passive à une stratégie de défense active en profondeur, combinant protection intrinsèque des systèmes, surveillance permanente, réaction rapide et action offensive, impose une forte impulsion gouvernementale et un changement des mentalités. La nature immédiate, quasi imprévisible, des attaques exige aussi de se doter d’une capacité de gestion de crise et d’après-crise, assurant la continuité des activités et permettant la poursuite et la répression des agresseurs. En outre, dans la mesure où le cyberespace est devenu un nouveau champ d’action dans lequel se déroulent déjà des opérations militaires, la France devra développer une capacité de lutte dans cet espace. »

LIVRE BLANC SUR LA DÉFENSE ET LA SÉCURITÉ NATIONALE (JUIN 2008)

CERT-OSIRIS

P. 7

Conseil des ministres du 25 mai 2011. « La politique de sécurité des systèmes d’information. »

« Les attaques contre les systèmes d’information de l’État et des entreprises se multiplient partout dans le monde. Elles portent atteinte à la souveraineté des États, au patrimoine des entreprises et aux données personnelles des citoyens. De nouvelles menaces apparaissent qui visent les processus industriels. Elles pourraient mettre en danger les infrastructures vitales du pays et avoir des conséquences directes sur la vie quotidienne des Français et sur l’économie. » http://discours.vie-publique.fr/notices/116001259.html

CERT-OSIRIS

P. 8

Mesures adoptées: - Création d’un groupe d'intervention rapide placé à l’ANSSI - politique interministérielle de sécurité des systèmes d'information - les opérateurs publics et privés chargés d’infrastructures vitales seront invités à participer

avec l’État à un partenariat visant à renforcer la défense et la sécurité de leurs systèmes d’information ;

- la sécurité des systèmes d'information sera incluse dans les formations supérieures, - création d’un centre de recherche associant l'État et les entreprises - Accélérer la croissance des effectifs et des moyens de l’ANSSI.

Conseil des ministres du 25 mai 2011. « La politique de sécurité des systèmes d’information. »

CERT-OSIRIS

P. 9 Rapport d’information du Sénat sur la cyberdéfense (juillet 2012)

« depuis 2008, les risques et les menaces qui pèsent sur le cyberespace se sont nettement confirmés, à mesure que celui-ci devenait un champ de confrontation à part entière avec la montée en puissance rapide du cyber espionnage et la multiplication des attaques informatiques en direction des Etats, des institutions ou des entreprises. Les risques identifiés par le Livre blanc comme étant de long terme se sont donc en partie déjà concrétisés et la menace atteint désormais un niveau stratégique ». http://www.senat.fr/rap/r11-681/r11-6811.pdf

CERT-OSIRIS

P. 10

« …le recours à une attaque informatique présente de nombreux avantages, car il s’avère moins risqué, moins coûteux et beaucoup plus discret, l’identification de son auteur étant extrêmement difficile. »

« …il est complexe de se protéger contre les attaques informatiques, car les techniques évoluent sans cesse et il n’existe pas de parade absolue dans le cyberespace ».

« …la sécurité informatique est largement dépendante des comportements des utilisateurs des systèmes d’information, qui considèrent souvent les règles de sécurité comme autant de contraintes. »

Rapport d’information du Sénat sur la cyberdéfense (juillet 2012)

CERT-OSIRIS

P. 11

« …deux types de préoccupations : La première porte sur les services essentiels au fonctionnement du pays ou à sa défense, tributaires de systèmes d’information qui pourraient être visés par des attaques tendant à les paralyser. La seconde concerne la protection des informations sensibles du point de vue politique, militaire ou économique »

Rapport d’information du Sénat sur la cyberdéfense (juillet 2012)

CERT-OSIRIS

P. 12

… aujourd'hui tout ce dont vous avez besoin est une connexion internet"

http://tomnichols.net/blog/2011/11/16/meeting-cyber-attacks-with-military-force/

"Avant, pour faire la guerre il fallait une armée, …

CERT-OSIRIS

P. 13 Ces attaques qui ont changé l’histoire…

2007 ESTONIE Blocage de plusieurs services web (public, banques, presse, etc.) 2010 IRAN Destructions matérielles dans des usines de traitement de l’uranium 2011 FRANCE – Bercy

CERT-OSIRIS

P. 14 Ces attaques qui ont changé l’histoire : Estonie 2007

14

Avril 2007 : Tallinn, capitale de l’ESTONIE Mobile : sur fond de tension géopolitique, le déplacement de dépouilles de soldats soviétiques et de la statue « Le Soldat de bronze », un monument érigé en souvenir des combattants de l’armée soviétique tombés lors de la libération de la ville en 1944 Débordements : bataille rangée dans les rues de Tallinn mêlant des groupes de jeunes russes et estoniens et la police, pillages, incendies, 900 arrestations, 96 blessés, 1 mort. Le parlement russe vote le 27 avril un texte demandant la rupture des relations diplomatiques avec l'Estonie, l’UE et les USA s’en mêlent. http://hgsavinagiac.over-blog.com/article-geopolitique-memoire-et-histoire-le-choc-des-memoires-polemique-autour-du-monument-des-liberateurs-de-tallinn-en-estonie-2006-2007-51279906.html http://www.melani.admin.ch/dokumentation/00123/00124/01029/index.html?download=NHzLpZeg7t,lnp6I0NTU042l2Z6ln1ae2IZn4Z2qZpnO2Yuq2Z6gpJCDdIB6gmym162epYbg2c_JjKbNoKSn6A--&lang=fr

CERT-OSIRIS

P. 15

15

Représailles informatiques : Dès le lendemain des premiers affrontements, une vague d’attaques informatiques visaient les sites gouvernementaux et publics, les opérateurs de téléphonie mobile, des banques commerciales et des sites d’information. Les attaques, principalement par saturations des connexions (DDoS), ont rendu inaccessibles les sites concernés. Le pays étant très dépendant de l’internet (95 % des opérations bancaires s’effectuent par communication électronique), ces attaques ont perturbé de manière spectaculaire le fonctionnement de la vie courante du pays.

Ces attaques qui ont changé l’histoire : Estonie 2007

CERT-OSIRIS

P. 16

16

Pourquoi cette attaque a marqué l’histoire ? Attaque soudaine, coordonnée, ampleur inédite, anonyme Utilisation (location) d’un botnet de 1 million d’ordinateurs à travers le monde 4 millions de paquets IP par seconde, toutes les secondes, pendant 24 heures

9 mai 2007 "It was the Big Bang, like an Internet riot“ Hillar Aarelaid, CERT Estonien

Ces attaques qui ont changé l’histoire : Estonie 2007

Attaques DDoS contre l’Estonie: un acte de guerre? (rapport Melani 2007)

CERT-OSIRIS

P. 17

Juin 2010 : Natanz, IRAN (site d’enrichissement d’uranium) Ce que nous savons de Stuxnet (Mikko … F-Secure) : - Stuxnet est un gros ver infectant les systèmes windows (1,5 Mo), se propage via ports USB - Stuxnet s’exécute même si Autorun et Autoplay sont désactivés - Stuxnet utilise 5 vulnérabilités (dont 4 zero-days) et 2 certificats électroniques volés - Stuxnet se cache à l’aide d’un rootkit - Stuxnet se met à jour via 2 serveurs (Malaisie, Danemark) ou quand il rencontre un autre

ver Stuxnet avec une version plus récente - Stuxnet vérifie si l’ordinateur infecté est relié à un automate de type Simatic de Siemens - Stuxnet prend le contrôle de l’automate, modifie la vitesse de rotation des centrifugeuses - Stuxnet envoie des mesures de capteurs OK au module de contrôle-commande

- Des centaines de milliers de machines infectées, 15 usines touchées (d’après Siemens) - La version de Stuxnet utilisée s’est autodétruite le 24 juin 2012

http://www.f-secure.com/weblog/archives/00002040.html

Ces attaques qui ont changé l’histoire : Stuxnet 2010

CERT-OSIRIS

P. 18

Première attaque qui vise une destruction physique

“This is the first attack of a major nature in which a cyberattack was used to effect physical destruction. Somebody crossed the Rubicon,” Michael V. Hayden, ancien directeur de la C.I.A.

Ces attaques qui ont changé l’histoire : Stuxnet 2010

CERT-OSIRIS

P. 19

La cible était isolée de l’Internet

“Getting the worm into Natanz, that was our holy grail” one of the architects of the plan said. “Introduire le ver à Natanz était notre Saint Graal. “It turns out there is always an idiot around who doesn’t think much about the thumb drive in their hand.” Il se trouve toujours un idiot qui ne se méfie pas assez des clés USB

http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?pagewanted=all

Ces attaques qui ont changé l’histoire : Stuxnet 2010

CERT-OSIRIS

P. 20

L’objectif de Flame : la collecte d’informations caractéristiques : - Boite à outils avec 20 modules, au total 20 Mo - base de données, machine virtuelle - Le contrôleur peut déclencher sa désinstallation

avec suppression de toute trace - Se ferait passer pour une mise à jour windows

grâce à des certificats électroniques corrompus

comment ? • Écoute le trafic réseau • Copies d’écran • Enregistrement audio et video • Enregistrement frappes clavier • Utilise les réseaux sans fils pour infecter d’autres équipements ou pour envoyer des données

Ces attaques qui ont changé l’histoire : Stuxnet et ses héritiers DuQu & Flame

« Flame est dans la nature depuis au moins deux ans. Mais à cause de son extrême complexité, aucun logiciel de sécurité n'a pu le détecter", Kaspersky Lab

CERT-OSIRIS

P. 21 Ces attaques qui ont changé l’histoire : Stuxnet et ses héritiers DuQu & Flame

CERT-OSIRIS

P. 22

Usage décomplexée des cyberarmes

http://www.lexpress.fr/actualite/monde/proche-orient/israel-justifie-le-recours-au-virus-informatique-flame-contre-l-iran_1120137.html

“The first known major cyberattack authorized by a U.S. president,” David E. Sanger, New-York Times 1er juin 2012

Mai 2010 : - Création du United States Cyber Command (USCYBERCOM) & construction du Cyber Warfare Intelligence Center (3500 m²)

Missions : “…procède à l'ensemble du spectre des opérations militaires dans le cyberespace afin de permettre des actions dans tous les domaines, assurer aux USA et à leurs alliés la liberté d'action dans le cyberespace et empêcher la même chose à nos adversaires. »

Ces attaques qui ont changé l’histoire : Stuxnet et ses héritiers DuQu & Flame

CERT-OSIRIS

P. 23

CERT-OSIRIS

P. 24

Les faits : - Intrusion sur un premier poste via un mail, avec adresse usurpée et pièce-jointe

au format piégée - La pièce-jointe au format PDF utilisait une faille non détectée par les éditeurs - 150 ordinateurs touchés - Infection du 1er poste : décembre 2010, intervention de l’ANSSI : mars 2011

Ces attaques qui ont changé l’histoire : Bercy – Ministère de l’Economie et des Finances

«Ceux qui ont agi sont des professionnels déterminés et

organisés. C’est la première attaque contre l’Etat français de cette ampleur

et à cette échelle» Patrick PAILLOUX, directeur général

de l’ANSSI

CERT-OSIRIS

P. 25

Le message piégé : « Dans le corps du texte, il était ainsi fait référence à de vraies réunions préparatoires, avec une date précise, dont seuls les initiés pouvaient avoir connaissance. ‘’Vous trouverez en pièce jointe un document pour préparer la prochaine réunion’’, était-il écrit en substance » « Autre élément troublant, le ciblage des fonctionnaires travaillant sur le G20. ‘’Ce sont des collaborateurs de très très haut niveau’’ confie-t-on au ministère de l’Intérieur. On trouverait notamment une partie de l’état-major de la Direction du Trésor.

Ces attaques qui ont changé l’histoire : Bercy – Ministère de l’Economie et des Finances

CERT-OSIRIS

P. 26

« Au plus haut niveau de l’Etat, personne ne comprend l’intérêt de voler des documents liés au G20, dont la portée stratégique est, pour l’heure,

limitée » Paris-Match

« Patrick Pailloux aura cependant réussi à sensibiliser l'opinion aux risques informatiques

actuellement encourus par nos systèmes sensibles »

LeJournalduNet

Suite à cette attaque, l’architecture du système d’information a été complètement revu, les accès à internet strictement identifiés et contrôlés, les listes noires remplacées par des listes blanches

Ces attaques qui ont changé l’histoire : Bercy – Ministère de l’Economie et des Finances

CERT-OSIRIS

P. 27

Point de vue du faucon

« ELECTRONIC PEARL HARBOR »

1

4 3

2

5ème théâtre d’opération

« En cas d’attaque bien préparée, des pirates pourraient atteindre les "scadas" et provoquer des dégâts gigantesques: déraillements de trains, explosions d'usines chimiques, incendies de raffineries et de centrales électriques, collisions d'avions en plein vol, chutes de satellites... Tout cela pourrait se produire en quinze minutes » Richard Clarke, conseiller du président Bush pour le cyberterrorisme.

« Le cyberespace est devenu le "cinquième théâtre d'opération", après la terre, la mer, l'air et l'espace. Or, là comme ailleurs, la meilleure défense, c'est l'attaque. Les Etats-Unis ne doivent pas se contenter de se protéger de façon statique en construisant une ligne Maginot numérique - l'arsenal classique à base de pare-feu et d'antivirus. Ils doivent se doter d'unités offensives, composées d'experts en piratage et de jeunes recrues appelées à devenir des "hackers d'Etat". Elles devront aussi avoir le pouvoir juridique de lancer des frappes préventives, y compris contre les cibles civiles » Richard Clarke, conseiller du président Bush pour le cyberterrorisme.

CERT-OSIRIS

P. 28

28

« C’est étrange comme on a peur de quelque chose parce qu’on nous a préparés à avoir peur. », Ngugi

« Le terrorisme n'est pas un crime contre des avions, ou des biens, ou même des vies humaines, le terrorisme est un crime contre l'esprit. Le but premier du terrorisme est de semer la terreur, pas de détruire des vies et des biens. Mais il le fait pour atteindre son objectif, qui est de terrifier les gens. Si nous refusons d'être terrorisé, alors les terroristes ne pourront pas gagner indépendamment de ce qu'ils feront. » Bruce Schneier

“When people are scared, they'll do anything not to be scared anymore.” Bruce Schneier

Sécurité : « Confiance, tranquillité d'esprit, bien ou mal fondée, dans une occasion où il pourrait y avoir sujet de craindre" (Littré)

Point de vue de la colombe

CERT-OSIRIS

P. 29 Revue d’actualité 2011-2012

SYNTHÈSE DE VEILLE SSI Janvier 2012 – Septembre 2012

CERT-OSIRIS

P. 30

MONDE - Le marché noir des logiciels d'exploitation de vulnérabilités est florissant : les deux tiers des codes d’exploitation visent Internet Explorer, Java et Adobe Acrobat (fichiers PDF). Les attaquants préfèrent les outils automatisant les attaques, qui sont vendus ou loués de quelques centaines à plusieurs milliers de dollars. (Viruslist du 02/2011) [Le marché de la cybercriminalité ne cesse de s’industrialiser. Soumis à une forte concurrence, les outils d’attaque accroissent leur efficacité et leur agressivité. De ce fait, le nombre de machines compromises et de botnets dans le monde augmente très rapidement.]

C r i m e o f t h e c e n t u r y

Vulnérabilités exploités par les kits d’Exploit

Les kits d'Exploit sont des packs logiciels contenant des programmes malveillants principalement utilisés pour réaliser des attaques de type « Drive-by download » afin de distribuer des malwares aux internautes (à leur insu et alors qu’ils visitent simplement une page infectée).

CERT-OSIRIS

P. 31

31

FRANCE - Un site Internet de l’administration infecte ses visiteurs : la compromission du site a été révélée par une défiguration. Moins flagrant mais plus grave, le site fournissait à ses visiteurs une fausse mise à jour du navigateur Firefox, en fait un cheval de Troie. (COSSI) [Une défiguration, révélatrice de failles de sécurité qui peuvent être exploitées à des fins plus insidieuses, ne doit pas être traitée comme un incident mineur.] (02/11)

I n g o u v . f r w e t r u s t

CERT-OSIRIS

P. 32

32

MONDE - Une fraude informatique de huit millions de dollars : en cinq ans, un Américain a empoché frauduleusement cette somme grâce à l’infection de très nombreux ordinateurs en Europe. Le programme malveillant forçait les modems des victimes à se connecter à des numéros de téléphone surtaxés. Le suspect encourt une peine maximale de dix ans de prison et une amende de $250 000. (The Register du 16/02, Department of Justice) [Les ordinateurs utilisent de moins en moins les modems téléphoniques, mais ce type de fraude s’attaque désormais aux ordiphones.]

C a l l n u m é r o s u r t a x é

CERT-OSIRIS

P. 33

Des pirates informatiques proposent de nouveaux forfaits pour téléphones. Pour 20 $, ils lancent un DDoS contre un mobile ou un poste fixe. Une heure de DDos vous coutera 10 $ ; une journée de blocage complet, 30 $. Pour une semaine, 180 $. Vous souhaitez flooder le téléphone d'appel ou de SMS. Il faudra payer moins de 20 euros pour 1.000 SMS ou près de 26 euros pour noyer le smartphone, ou votre ligne de bureau de sonneries intempestives. Voilà le menu proposé par un pirate russe, spécialisé dans le phreaking (piratage téléphonique) En mars dernier, le webzine francophone DataSecuritybreach.fr expliquait comment une PME française était au bord du bilan à la suite d´une attaque téléphonique qui lui bloquait son standard depuis plus de trois jours. ZATAZ – 08/2012

CERT-OSIRIS

P. 34

FRANCE - Un logiciel espion pour iPhone : un groupe d’étudiants français propose en ligne une application capable d’enregistrer les conversations, de localiser le téléphone portable et d’en activer le micro à distance. Le logiciel fonctionne sur toute version d’iPhone dont les protections logicielles ont été débri-dées.(Communiqueo du 02/11 et SpyTic) [En France, l’utilisation ou la mise à disposition d’une telle application est réprimée par l’article 323-3-1 du Code pénal. L’atteinte au secret des correspondances est sanctionnée par l’article 226-15 du Code pénal.]

A ï e - P h o n e

http://espion-on-line.com/catalogue.htm

CERT-OSIRIS

P. 35

35

FRANCE/ÉTATS-UNIS - La CNIL condamne Google à 100000 euros d'amende pour la collecte massive de données techniques sur les réseaux Wi-Fi français : lors de contrôles en 2009 et 2010, la CNIL a constaté que les véhicules Google Cars, utilisés pour la prise de vue de rues destinée à alimenter le service Street View, collectaient des données échangées sur des réseaux Wi-Fi non sécurisés. Selon la CNIL, ces données comportent des informations sensibles telles que des mots de passe et des courriels. (01net, CNIL et ZDNet du 03/11)

J ‘ a i d e l a c h a n c e

CERT-OSIRIS

P. 36

MONDE - Retrait de 50 applications malveillantes pour ordiphone Android : celles-ci transforment le téléphone mobile en zombie en offrant à l’attaquant un accès complet au contenu et aux commandes du téléphone (envoi ou blocage de la réception de SMS, appels onéreux par exemple). Elles auraient été téléchargées 50 000 à 200 000 fois en quatre jours. (Symantec du 28/02, The Guardian du 02/03, H-Security du 02/03) [Il faut impérativement limiter l’installation d’applications sur les téléphones mobiles et se restreindre à celles fournissant le plus de garanties de confiance.]

A l l o m ô m a n b o b o

http://www.viruslist.com/fr/viruses/analysis?pubid=200676290

Evolution du nombre de chevaux de Troie sous Android

CERT-OSIRIS

P. 37

MONDE - Un botnet cible des équipements réseau : un logiciel malveillant ouvrant une porte dérobée sur des routeurs de particuliers a été découvert, essentiellement en Amérique Latine. Il serait capable de collecter des identifiants et mots de passe par force brute et d’intégrer l'équipement à un réseau de machines zombies (botnets). (TrendMicro du 10/03) [La position stratégique des routeurs de particuliers en fait des cibles de choix, d’autant qu’ils sont trop souvent la seule protection mise en place sur les réseaux informatiques des particuliers, les ordinateurs les composant étant souvent ouverts entre eux.]

B o a t - n e t p e o p l e

CERT-OSIRIS

P. 38

ÉTATS-UNIS - Escroquerie boursière orchestrée par une attaque informatique : au moyen d’un botnet, des attaquants ont lancé une campagne de pourriels incitant les victimes à investir dans des actions à faible prix (« penny stocks »). Ils ont également compromis des comptes de courtage afin de procéder à des achats frauduleux. Les attaquants ont vendu au plus haut avant que les victimes s’aperçoivent du caractère artificiel de la hausse du cours. (FBI Newark et FBI du 21/03, AFP et FINextra du 22/03, synthèse n°538 du 30/03/2007, n°633 du 08/01/2008, synthèse n°856 du 19/03/2010 et synthèse n°860 du 02/04/2010) [Ce type de fraude boursière dit « Pump and Dump » existe depuis plusieurs années. Difficile à contenir, cette fraude s’est modernisée dans un contexte de multiplication depuis 2009 des incidents liés aux plateformes boursières.]

W a l l s t r e e t s o f P h i l a d e l p h i a

CERT-OSIRIS

P. 39

EUROPE - Plus de dix millions d’adeptes de musique en ligne potentiellement infectés : la version gratuite du logiciel Spotify de lecture en continu ("streaming") diffusait des publicités contenant des programmes malveillants. Celles-ci ont infecté des ordinateurs à l’insu des utilisateurs du logiciel. (eWeek et Netcraft du 25/03, synthèse n°805 du 15/09/2009 et n°854 du 12/03/2010) [Les publicités infectées sont un phénomène fréquent. Certaines régies publicitaires sont négligentes et mettent en danger les internautes.]

M u s i c w a s m y f i r s t l o v e

CERT-OSIRIS

P. 40

http://www.microsoft.com/windowsphone/en-us/howto/wp7/web/location-and-my-privacy.aspx

MONDE - Comme l’iPhone et Android, Windows Phone 7 collecte les données de géolocalisation des utilisateurs : l’ordiphone transmet à Microsoft son numéro de série, ses coordonnées GPS et des informations sur les réseaux GSM (2G et 3G) et Wi-Fi environnants. (Cnet du 25/04, Microsoft)

V o t r e o m b r e s ’ a p p e l l e m i c r o s o f t (ou google ou apple)

CERT-OSIRIS

P. 41

MONDE - L’opération internationale « Trident Tribunal » permet le démantèlement de deux cybergangs : en faisant croire aux victimes que leur ordinateur était infecté par un virus, l'un des cybergangs a réussi à vendre de faux logiciels antivirus à 960 000 personnes pour un total de 72 millions de dollars. L’opération internationale de police a permis la saisie de plus de 40 ordinateurs et serveurs dont 25 en Europe (parmi lesquels plusieurs en France) ainsi que plusieurs comptes bancaires. (FBI du 22/06)

« Yo u r c o m p u t e r i s u n d e r a g r e a t r i s k »

CERT-OSIRIS

P. 42

42

Dropbox est un service de stockage et de partage de

fichiers en ligne

MONDE - Faille dans le système d'authentification d’une plate-forme de partage en ligne : dimanche dernier, durant quatre heures, des milliers de comptes utilisateurs de la plate-forme de partage Dropbox étaient librement accessibles. Une mise à jour du site a désactivé le contrôle des mots de passe, seul l’identifiant était vérifié. (Dropbox du 20/06/2011)

G o d s a v e t h e f i l e s

CERT-OSIRIS

P. 43

MONDE - Recrudescence des attaques par filoutage via une pièce jointe malveillante : au lieu de fournir à l’utilisateur un lien menant vers une page contrefaite, le courriel frauduleux comporte la page Internet en pièce jointe. Cette technique permet de contourner les filtres anti-filoutage des navigateurs Internet qui s’appuient sur des bases recensant les sites de filoutage connus. Ces attaques ont ciblé récemment des clients d’établissements bancaires. (M86 du 15/03/11, US-CERT du 18/03/11, V3 du 19/03/11) [Les mécanismes de protection contre le filoutage ne peuvent se substituer à la vigilance permanente de l’utilisateur. Les courriels frauduleux peuvent comporter des pièces jointes ou des liens destinés à tromper l’utilisateur ou à compromettre son ordinateur.]

R i r i , F i f i e t F i l o u

CERT-OSIRIS

P. 44

MONDE - Infection d’un site Internet de Microsoft dédié à la sécurité : l'éditeur de logiciels a désactivé la fonction de recherche sur son site Internet Security Centre. Victime d’un « empoisonnement », le moteur de recherche du site affichait des liens vers des sites à caractère pornographique et infectants. (The Register du 11/07) [Même sur les sites Internet d’éditeurs de confiance dédiés à la sécurité informatique, il convient de faire preuve de vigilance avant de cliquer sur un lien externe, surtout s’il résulte d’une fonction de recherche.]

M i c r o s o f t m a l c h a u s s é

CERT-OSIRIS

P. 45

45

ETATS-UNIS - Des agents du gouvernement américain piégé par une fausse carte de voeux : une cyber-attaque combinant filoutage classique et utilisation d'un logiciel malveillant spécifique a visé des dizaines d'employés du gouvernement américain, dont des spécialistes de la cybersécurité. De nombreux documents sensibles auraient été dérobés. Le code malveillant était dissimulé dans un courriel semblant signé de la Maison Blanche. (Shadow Server Foundation du 30/12, Threatpost du 02/01 et Krebson Security du 03/01) [En cette période de voeux, il convient de redoubler d’attention envers les fichiers joints. Enfin, il est rappelé que le courriel n’est pas fiable et que seule une signature électronique qualifiée certifiée est fiable.]

E x p e r t s p i é g é s

CERT-OSIRIS

P. 46

46

ISRAËL - Le pays recrute des hacktivistes : le porte-parole des forces de défense israéliennes a annoncé le recrutement de cyber-combattants, indiquant que le monde numérique constituait une arme stratégique potentielle. Le Premier ministre a fourni un budget de 1,63 millions de dollars pour le recrutement de 120 soldats spécialisés. (YNetNews du 08/02) [Israël développe une activité non négligeable dans le domaine de la cyberdéfense.]

P r o f i d e e t p a t r i a i n f o r m a t i c a

CERT-OSIRIS

P. 47

CANADA - Le gouvernement victime d’une attaque informatique : des personnes malveillantes ont réussi, courant janvier, à s’introduire illégalement dans les systèmes informatiques du ministère des Finances et du Conseil du Trésor et à obtenir des données classifiées et hautement sensibles. Suite à cette attaque informatique, l'accès à l’Internet de ces deux ministères a été coupé. (CBCNews du 16/02, La Tribune, Reuters et Threatpost du 17/02)

C a n a d a b i s

CERT-OSIRIS

P. 48

USA - Pour réduire les risques pour les avions de l’Otan lors des bombardements en Libye, les Etats-Unis ont examiné l’opportunité de lancer des cyber-attaques contre les moyens de communication et les radars du régime de Kadhafi. “We don’t want to be the ones who break the glass on this new kind of warfare” dixit James Andrew Lewis (The New York Times du 17/10)

C l i c k s k r i e g

CERT-OSIRIS

P. 49

49

UNION EUROPÉENNE - Suspension des transactions sur le marché du CO2 suite à des attaques informatiques : depuis mercredi 19h et jusqu'au 26 janvier, les transactions sont suspendues suite à des attaques contre les registres dans lesquels sont comptabilisés les quotas de CO2 émis. Des attaquants ont réussi à dérober des droits-carbone qu'ils ont immédiatement revendus. Une attaque contre ces registres avait déjà eu lieu il y a un an. (AFP, The Register et The Telegraph du 19/01, Reuters du 18/01, ECRA du 12/01, ICIS Heren du 06/10/2010, Reuters du 20/01, synthèse n°843 du 02/02/2010)

C O 2 m o n a m o u r

UNION EUROPÉENNE - Comment le marché européen du CO2 a été visé : les attaquants d'Europe de l'Est ont envoyé des courriels d’hameçonnage usurpant l’identité d’employés chargés des transactions. Ils ont alors récupéré les identifiants de connexion aux registres afin de procéder à des transactions frauduleuses. Ils ont ensuite détourné les bénéfices des comptes compromis. (USAToday et ComputerWorld du 21/02, synthèse n°944 du 21/01)

CERT-OSIRIS

P. 50

CANADA - Panne majeure de télécommunications : vraisemblablement en raison d’un problème de mise à jour logicielle, un satellite de télécommunications est tombé en panne, ce qui a paralysé le transport aérien dans le nord du Canada et des États-Unis ainsi que de nombreuses infrastructures (hôpitaux, administrations, banques). Les communications et Internet ont été interrompus pendant plusieurs heures. (Cyberpresse et Telesat du 07/10, Canoe du 08/10)

C a n a d a D r y

CERT-OSIRIS

P. 51

EUROPE - Intrusion dans le système d’information de l’Agence spatiale européenne : des identifiants, des condensats de mot de passe ou des adresses de courriels ont été exfiltrés. « Etonnante fuites de données signée par le pirate Zykl0n. Ce "visiteur" numérique, qui a déjà signé plusieurs piratages dont des Ministères de la Défense (France, Uk, US) vient de signer le piratage de l'Agence spatiale Européenne (ESA) », Zataz. (Pastebin du 05/04/12, Zataz du 10/04/12)

CERT-OSIRIS

P. 52

AUTRICHE - Arrestation d’un adolescent soupçonné d’avoir attaqué les serveurs de 259 sociétés en trois mois : âgé de 15 ans, il a été arrêté par la police autrichienne qui l’accuse de défigurations de sites Internet et d’exfiltrations de données sensibles. Il a utilisé plusieurs logiciels largement diffusés sur internet dont certains logiciels d’anonymisation. (Kurier du 13/04/12, ZDNet du 17/04/12)

CERT-OSIRIS

P. 53

UNION EUROPÉENNE - Vers un contrôle des exportations des outils de filtrage et de surveillance des communications : une résolution approuvée ce mercredi par le Parlement européen demande à l’Union européenne de mettre en place de nouvelles règles pour renforcer la responsabilité des entreprises européennes qui exportent des outils pouvant être utilisés pour bloquer des sites Internet ou pour surveiller des communications mobiles. (Parlement européen et PCINpact du 18/04/12)

CERT-OSIRIS

P. 54

FRANCE/MONDE - Attaques ciblant des sites gouvernementaux : un code malveillant a été inséré sur des sites Internet gouvernementaux américains, malaisiens, australiens, colombiens et sur le site du ministère du budget en France. Ce code a pour but de rediriger les internautes vers une page simulant la présence d’un logiciel malveillant sur l’ordinateur. L’utilisateur est ensuite invité à télécharger un logiciel antivirus qui est en réalité un cheval de Troie. (V3 du 21/04/12 et Zscaler du 18/04/12) [Les codes malveillants exploitent souvent des vulnérabilités non corrigées dans le navigateuret ses extensions. Il convient d’appliquer les mises à jour publiées par les éditeurs (Portail Sécurité informatique). La recommandation CERTA-2005-REC-002 permet à l’utilisateur de se sensibiliser contre le risque d’attaque par cheval de Troie.]

CERT-OSIRIS

P. 55

MONDE - Microsoft corrige en cinq jours une vulnérabilité critique touchant sa messagerie Hotmail : la faille permettait de redéfinir à distance le mot de passe d’un utilisateur. (Vulnerability lab et Twitter du 26/04/12) [Les services de messagerie hébergés dans le nuage sont à éviter absolument dans le cadre professionnel comme le recommande le guide de l’enseignement supérieur et de la recherche p.35. Ils n’offrent par ailleurs que très peu de solutions de sauvegardes.]

CERT-OSIRIS

P. 56

MONDE - Exploitation d’une vulnérabilité non corrigée dans le composant Java pour Mac : le logiciel malveillant Flashback demande à la victime le mot de passe administrateur de la machine et télécharge des logiciels malveillants depuis un serveur distant. La faille utilisée, corrigée par Oracle dans la version Windows de Java en février dernier, n’a été corrigée que cette semaine par Apple dans sa version de Java. Flashback contrôlerait à ce jour 600 000 Macs. (F-Secure, Oracle du 17/02/12, Apple du 03/04/12, Ars Technica du 04/04/12) [Il convient de s’assurer de la légitimité de l’application qui demande le mot de passe administrateur de l’ordinateur avant de le saisir. Un logiciel ou un composant faisant l’objet d’une vulnérabilité connue et non corrigée doit être désactivé en attendant une mise à jour par l’éditeur. Un utilisateur ne doit pas naviguer sous un compte d’administrateur.]

CERT-OSIRIS

P. 57

ÉTATS-UNIS - Intrusion dans les serveurs du département de la justice : un communiqué de la mouvance Anonymous revendique l’exfiltration de près de 1,7 gigaoctet de données et de courriels du Bureau of Justice Statistics. Le département de la justice a reconnu l’existence de l’attaque, qui n’aurait pas porté sur des informations sensibles. (ZDNet du 21/05/12)

CERT-OSIRIS

P. 58

ÉTATS-UNIS - La Maison Blanche publie un vademecum sur l’emploi des BYOD* dans les administrations et les entreprises : ce guide recommande des bonnes pratiques pour l’intégration des périphériques personnels dans les organisations. Le document propose également des études de cas issues de différentes administrations, ainsi que des exemples de politiques de sécurité. (White House du 23/08/12) [* Bring Your Own Device] [L’ANSSI recommande d’interdire l’interconnexion d’équipements personnels sur des équipements et des réseaux professionnels, et d’utiliser des terminaux mobiles professionnels gérés par un service informatique, spécialement conçus pour permettre un usage privé résiduel en sécurité.]

CERT-OSIRIS

P. 59

59

MONDE - Divulgation de méthodes d’attaque des systèmes SCADA : une société russe vend sur l’Internet un kit contenant des méthodes d'exploitation de onze vulnérabilités non corrigées ciblant des systèmes de contrôle industriel. Ces méthodes permettraient d'exécuter du code à distance sur des logiciels de contrôle et de supervision industriels installés sur des ordinateurs qui seraient connectés à l’Internet. (eWeek, The Register et Cnet News du 22/03/11)

E a u d e v i e r u s s e

CERT-OSIRIS

P. 60

60

MONDE - Des implants médicaux sont vulnérables à des intrusions informatiques : utilisées par 400 000 Américains diabétiques, des pompes à insuline seraient vulnérables. L’interface de commande utilise un protocole radio non protégé et une intrusion permettrait de modifier subrepticement le dosage de l’insuline. (msnbc du 14/06/11 et Medical Device Security Center)

I l f a u t a l e r t e r l ’ h o m m e q u i v a l a i t 3 m d s

CERT-OSIRIS

P. 61 Bulletin hebdomadaire du CERT Renater

semaine du 23/04/10 au 29/04/10

28 cas d'envoi de spam par des machines de la communauté 10 cas de compromission :

• 8 sites hébergeant du contenu inapproprié • 1 site hébergeant une page piégée • 1 piratage d’une machine Unix via des accès SSH

755 adresses IP infectées par le ver W32/Conficker 556 machines infectées par divers vers ou virus

• dont 203 infections par une variante du cheval de Troie mebroot/Sinowal/Torpig • dont 144 infections par une variante du ver P2P-Worm:W32/Palevo qui se propage via les clef USB. Ces postes sont contrôlés via

l'UDP par les adresses IP suivantes: 91.211.117.111 et 92.241.190.252 • 65 machines infectées par un malware de type Trojan-Dropper • 47 machines infectées par le ver Internet « Win32.Sality » • 39 machines infectées faisaient parti du réseau de botnet nommé "Mariposa".

CERT-OSIRIS

P. 62 Autopsie d’une infection par un ransomware

3 attaques similaires en 3 semaines Ordinateur bloqué, gestionnaire de tâche Ctrl-Alt-Suppr désactivé

CERT-OSIRIS

P. 63

Le blocage s’est manifesté lors d’une navigation sur internet avec le navigateur Internet Explorer

Historique des sites visités

Autopsie d’une infection par un ransomware

CERT-OSIRIS

P. 64

Process Explorer liste tous les processus en cours d’exécution sur l’ordinateur

Le processus aqslliyz.exe n’a pas de « Description » et pas de « Compagny Name »

Autopsie d’une infection par un ransomware

CERT-OSIRIS

P. 65

Dans la phase d’installation, le virus configure le système de manière à se lancer automatiquement à chaque démarrage de l’ordinateur.

Il inscrit le chemin de l’exécutable dans la clé de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Utilisation de l’application Autorun pour trouver l’emplacement du virus.

Le virus se trouve à l’emplacement suivant C:\Users\<utilisateur>\0.1927139202324737.exe

Autorun Cet utilitaire indique tous les programmes configurés pour s'exécuter au lancement du système ou à l’ouverture de la session de l’utilisateur. Il indique les emplacements de démarrage automatique de tous les services et processus lancés.

Autopsie d’une infection par un ransomware

CERT-OSIRIS

P. 66

La connexion sur www.lyricsmania.com a proqué une rafale de 231 connexions sur 86 adresses différentes, durée : 20 secondes

09:26:14 1ère connexion sur www.lyricsmania.com

09:26:34 fin des connexions

Autopsie d’une infection par un ransomware

CERT-OSIRIS

P. 67

Ligne Date Heure Protocole Internet Protocole Source Destination Nom de destination Envoyé Reçu 18623 10/09/2012 07:26:14 http 193.54.209.55 173.194.34.56 www.google.fr 877 19648

18633 10/09/2012 07:26:2

2 http 193.54.209.55 184.107.73.132 www.lyricsmania.com 893 7440

18643 10/09/2012 07:26:23 http 193.54.209.55 216.178.47.37 afe.specificclick.net 845 385 18650 10/09/2012 07:26:23 http 193.54.209.55 216.178.47.37 afe.specificclick.net 894 196

18651 10/09/2012 07:26:24 http 193.54.209.55 174.122.222.154 174.122.222.154 454 918 18663 10/09/2012 07:26:24 http 193.54.209.55 193.51.224.9 b.scorecardresearch.com 1041 43 19085 10/09/2012 07:26:32 http 193.54.209.55 184.169.150.76 t4.liverail.com 1047 0 19096 10/09/2012 07:26:32 http 193.54.209.55 69.171.247.37 www.facebook.com 995 4466 19103 10/09/2012 07:26:32 http 193.54.209.55 23.38.15.144 platform.twitter.com 750 22673 19090 10/09/2012 07:26:33 http 193.54.209.55 193.51.224.7 vox-static.liverail.com 820 35 19091 10/09/2012 07:26:33 http 193.54.209.55 193.51.224.7 vox-static.liverail.com 820 35 19102 10/09/2012 07:26:33 http 193.54.209.55 66.119.34.40 a.scorecardresearch.com 1376 0 19107 10/09/2012 07:26:33 http 193.54.209.55 193.51.224.9 static.ak.fbcdn.net 584 7368 19108 10/09/2012 07:26:33 http 193.54.209.55 23.23.209.54 srv.clickfuse.com 408 3631 19214 10/09/2012 07:26:34 http 193.54.209.55 81.30.148.1 ad.ad-srv.net 710 20 19218 10/09/2012 07:26:34 http 193.54.209.55 93.184.220.20 cti.w55c.net 763 1069 19220 10/09/2012 07:26:34 http 193.54.209.55 208.71.125.35 matcher-rbc.bidder7.mookie1.com 581 0 19238 10/09/2012 07:26:34 http 193.54.209.55 173.194.34.58 cm.g.doubleclick.net 668 336

19239 10/09/2012 07:26:34 http 193.54.209.55 184.173.174.134 rc.d.chango.com 516 0 19240 10/09/2012 07:26:34 http 193.54.209.55 69.89.93.5 connexity.net 584 2 19359 10/09/2012 07:26:34 http 193.54.209.55 69.80.196.159 matcher.bidder8.mookie1.com 621 0 19409 10/09/2012 07:26:34 http 193.54.209.55 68.67.185.208 ib.adnxs.com 1906 43 19411 10/09/2012 07:26:34 http 193.54.209.55 91.237.153.23 ndmuiyerxvcol.generation-string-vwa-gchk-lrn.org 393 26168 19449 10/09/2012 07:26:34 http 193.54.209.55 91.237.153.23 ndmuiyerxvcol.generation-string-vwa-gchk-lrn.org 351 26168

19556 10/09/2012 07:26:34 http 193.54.209.55 91.237.153.23 ndmuiyerxvcol.generation-string-vwa-gchk-lrn.org 305 157184 19557 10/09/2012 07:26:34 http 193.54.209.55 91.237.153.23 ndmuiyerxvcol.generation-string-vwa-gchk-lrn.org 305 169

19319 10/09/2012 07:26:35 http 193.54.209.55 195.189.236.241 banniere.reussissonsensemble.fr 757 0 19407 10/09/2012 07:26:36 http 193.54.209.55 94.245.121.176 view.atdmt.com 767 379

La charge virale a été transmise par le site ndmuiyerxvcol.generation-string-vwa-gchk-lrn.org

Adresse IP (91.237.153.23) localisée en Russie

Taille du fichier virus : 157184 octets

Autopsie d’une infection par un ransomware

CERT-OSIRIS

P. 68

Autopsie d’une infection par un ransomware

CERT-OSIRIS

P. 69

Autopsie d’une infection par un ransomware

CERT-OSIRIS

P. 70

CERT-OSIRIS

P. 71 Comparatif antivirus (2011)

CERT-OSIRIS

P. 72

Autopsie d’une infection par un ransomware

CERT-OSIRIS

P. 73 Rigolo ça …ou pas

CERT-OSIRIS

P. 74 Ransomware : un business mondial

CERT-OSIRIS

P. 75 Liste des méchants…

CERT-OSIRIS

P. 76

CERT-OSIRIS

P. 77

« Réseau de machines

compromises et contrôlées à distance par un ou plusieurs

pirates »

• Envoi de spam

• Opération de fishing

• Attaques groupées (DDoS)

• Stockage de fichiers illicites

• Fraude au clic

Botnet ? A quoi sert un botnet ?

CERT-OSIRIS

P. 78

Etape 1 : infection des postes (spam, fishing)

Etape 2 : Prise de contrôle à distance des postes

Etape 3 :Utilisation des postes distants pour commettre des méfaits

78

BOTNET mode opératoire

CERT-OSIRIS

P. 79

79

Piégeage via la messagerie, exemple 1

CERT-OSIRIS

P. 80 Piégeage via la messagerie, exemple 2

CERT-OSIRIS

P. 81 Piégeage via la messagerie, exemple 2 (suite)

CERT-OSIRIS

P. 82 Piégeage via la messagerie, exemple 3

CERT-OSIRIS

P. 83 Piégeage via la messagerie, exemple 3 (suite)

CERT-OSIRIS

P. 84 Piégeage via la messagerie, exemple 3 (suite)

CERT-OSIRIS

P. 85 Piégeage via la messagerie, exemple 3 (suite)

CERT-OSIRIS

P. 86 Exemple d’un site web attaqué par un botnet (1/3)

CERT-OSIRIS

P. 87 Exemple d’un site web attaqué par un botnet (2/3)

CERT-OSIRIS

P. 88

Origines géographiques des connexions

88

Exemple d’un site web attaqué par un botnet (3/3)

CERT-OSIRIS

P. 89 Botnet WADELAC Répartition géographique des ordinateurs infectés

CERT-OSIRIS

P. 90

Sites web piégés capables d’infecter tout visiteur Type 1 : sites légitimes compromis qui distribuent directement des malwares ou redirigent vers un malware Type 2 : site spécialement conçus pour distribuer des malwares

Quelques chiffres … (origine Google, juin 2012)

Type 1 : sites légitimes compromis qui distribuent directement des malwares ou redirigent vers un malware

Attaque « Drive-by download »

CERT-OSIRIS

P. 91 Quelques chiffres … (origine Google, juin 2012))

Type 2 : nb de nouveaux sites piégés découverts par mois

Attaque « Drive-by download »

http://googleonlinesecurity.blogspot.fr/2012/06/safe-browsing-protecting-web-users-for.html

CERT-OSIRIS

P. 92

Disponibilité

Intégrité

Confidentialité

Défaillance humaine

Disponibilité du personnel

Erreur de manipulation Usurpation de

droits

Perte de services essentiels

Panne électrique

Perte des moyens de communication

Défaillance technique

Panne matérielle

Dysfonctionnement logiciel

Compromission des informations

Espionnage

Infection virale

Vol de matériel

Sinistres physiques

Dégât des eaux

Incendie

Sinistre majeur

CERT-OSIRIS

P. 93 Quel avenir ?

vidberg.blog.lemonde.fr

Eric Filiol « Pour le moment on a de la chance, les attaquants cherchent le gain et le plaisir immédiat »

CERT-OSIRIS

P. 94 Les virus du futurs : vers une menace imparable ?

Utilisation des mathématiques : théorie de l’information, théorie de la calculabilité Evolutions des virus : Polymorphisme, métamorphisme Codes de Bradley, virus cryptographiques, vers combinatoires, vers furtifs, virus stéganographiques

« un antivirus peut toujours être contourné : en amont par l'absence de détection face à un code innovant et en aval avec un blindage viral efficace » Eric Filiol

CERT-OSIRIS

P. 95

Virus K-aire : diviser l’information virale en éléments anodins A l’instant T, seuls quelques éléments sont présents sur la machine

Les virus du futurs : vers une menace imparable ?

CERT-OSIRIS

P. 96

Méthodes de propagation des logiciels malveillants

La bonne nouvelle (… ou pas)