Sûreté de l’information - newsd.admin.ch · Sûreté de l’information – Situation en Suisse...

39
Unité de stratégie informatique de la Confédération (USIC) Service d’analyse et de prévention (SAP) Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI www.melani.admin.ch MELANI – Rapport semestriel 2008/II Sûreté de l’information Situation en Suisse et sur le plan international Rapport semestriel 2008/II (juillet à décembre) En collaboration avec:

Transcript of Sûreté de l’information - newsd.admin.ch · Sûreté de l’information – Situation en Suisse...

  • Unit de stratgie informatique de la Confdration (USIC) Service danalyse et de prvention (SAP)

    Centrale denregistrement et danalyse pour la sret de linformation MELANI www.melani.admin.ch

    MELANI Rapport semestriel 2008/II

    Sret de linformation

    Situation en Suisse et sur le plan international Rapport semestriel 2008/II (juillet dcembre)

    En collaboration avec:

  • Sret de linformation Situation en Suisse et sur le plan international

    Table des matires

    2/39

    MELANI Rapport semestriel 2008/II

    1 Temps forts de ldition 2008/II .....................................................................................3

    2 Introduction.....................................................................................................................4

    3 Situation en Suisse de linfrastructure TIC ..................................................................5 3.1 e-banking: diffusion persistante de chevaux de Troie par des canaux diffrents..5 3.13.2 Rseaux de zombies .............................................................................................6 3.23.3 Courriels falsifis contenant des menaces de suicide...........................................7 3.33.4 Manipulation de comptes FTP...............................................................................7 3.43.5 Condamnation dagents financiers ........................................................................8 3.53.6 Attaques de phishing visant des services Internet suisses .................................10 3.63.7 Attaques diriges contre des serveurs Web........................................................11 3.73.8 Entre en vigueur de la loi rvise sur le droit dauteur ......................................12 3.83.9 Interdiction par le Parlement de la pornographie sur les tlphones portables...13 3.93.10 Dcouverte dune plate-forme Internet contenu pdophile...............................13 3.103.11 Blocages daccs dans les grandes entreprises .................................................14 3.11

    4 Situation internationale de linfrastructure TIC..........................................................14 4.1 Etats-Unis: larme interdit lutilisation des supports amovibles de stockage de

    donnes...............................................................................................................14 4.1

    4.2 Succs remports contre des cybercriminels......................................................16 4.24.3 Allemagne: important vol de donnes chez Telekom..........................................16 4.34.4 UE: adoption dun vaste plan de coopration dans la lutte contre la

    cybercriminalit....................................................................................................17 4.4

    4.5 Allemagne: conservation des donnes des fournisseurs daccs Internet..........17 4.54.6 Allemagne: entre en vigueur de la loi rvise relative lOffice fdral de police

    criminelle .............................................................................................................18 4.6

    4.7 Grande-Bretagne: entre en vigueur dune nouvelle loi sur la cybercriminalit ..18 4.7

    5 Tendances / Perspectives............................................................................................18 5.1 Evolution gnrale de la cybercriminalit ............................................................18 5.15.2 Modles commerciaux et services indits: recrudescence de la

    cybercriminalit en 2009......................................................................................19 5.2

    5.3 Gestion des donnes inutiles de la socit de linformation................................22 5.35.4 Attrait croissant des donnes daccs aux services Internet...............................22 5.4

    6 Glossaire .......................................................................................................................23

    7 Annexe...........................................................................................................................27 7.1 Effacement complet des donnes dun support numrique ................................27 7.17.2 Dsactivation de la fonction AutoRun dans Windows .........................................30 7.27.3 Failles des protocoles DNS et MD5.....................................................................35 7.37.4 Hbergeurs: lEst prend le relais de McColo .......................................................36 7.4

  • Sret de linformation Situation en Suisse et sur le plan international

    1 Temps forts de ldition 2008/II 1 Temps forts de ldition 2008/II

    e-banking diffusion persistante de chevaux de Troie par des canaux diff-rents

    Les tentatives de diffuser des maliciels sen prenant aux systmes de e-banking se sont poursuivies au deuxime semestre 2008. Diverses vagues de pourriels ont t observes en dbut de semestre. En outre, les cyberpirates se sont concentrs sur les infections par drive-by download, soit lors de la simple visite dun site Web sans interaction de lutilisateur. Enfin, une nouvelle famille de che-vaux de Troie spcialiss dans le e-banking est apparue en fin de semestre. Situation actuelle en Suisse: chapitre 3.1

    Condamnation dagents financiers Lan dernier, plusieurs jugements ont t rendus contre des agents financiers. Le tribunal de district de Zurich a condamn une peine de 30 jours-amende et une amende de 500 francs un agent financier inculp de blanchiment. En outre, le tribunal a accord la victime des dommages-intrts hauteur de la perte subie. Dans un autre cas, la personne inculpe a t condamne une peine pcuniaire de 150 jours amende et une amende de 1000 francs. L encore, les crances en dommages-intrts et les frais judiciaires sajoutent la peine prononce. Situation actuelle en Suisse: chapitre 3.3

    Cyberattaques visant des services Internet suisses Lanne dernire, diverses tentatives classiques de phishing ont t observes contre des prestataires de services suisses. Le phishing vise attirer la victime, au moyen de courriels dont ladresse dexpditeur a t falsifie et dun hyperlien, sur un site truqu pour lamener rvler ses donnes douverture de session. Le pourcentage des tentatives de phishing visant des prestataires financiers est tou-tefois extrmement faible. En revanche, les sites de ventes aux enchres et les plates-formes dannonces publicitaires sont toujours plus souvent viss. Situation actuelle en Suisse: chapitre 3.4 Attaques bases sur des cls USB En novembre 2008, le Commandement stratgique de larme amricaine a dci-d dinterdire jusqu nouvel avis tous les membres de larme lusage dappareils amovibles de stockage des donnes. La raison en est la propagation rapide dun virus qui se copiait sur les systmes auxquels de tels supports taient raccords. Le ver Conficker a galement tir parti des cls USB pour sa diffusion.

    Le chapitre 4.1

    3/39

    MELANI Rapport semestriel 2008/II

    et lannexe (chapitre 7.2) donnent des conseils sur lutilisation des supports amovibles de stockage des donnes.

    Gestion des donnes inutiles de la socit de linformation Aujourdhui, presque tous les appareils lectroniques sont dots dune carte-mmoire. Chacun stocke ainsi, son insu, une quantit croissante de donnes. Do limportance deffacer correctement ses donnes personnelles, notamment en cas de changement de propritaire dun appareil photo, dun tlphone mobile ou dune cl USB. Vous trouverez en annexe des conseils utiles. Tendances, voir les perspectives au chapitre 5.3 Annexe: chapitre 7.1

  • Sret de linformation Situation en Suisse et sur le plan international

    4/39

    2 Introduction Le huitime rapport semestriel (de juillet dcembre 2008) de la Centrale denregistrement et danalyse pour la sret de linformation (MELANI) commente les grandes tendances et les risques lis aux technologies de linformation et de la communication (TIC), livre un aper-u des vnements survenus en Suisse et ltranger, signale un temps fort de la prven-tion et rsume les activits des acteurs tatiques ou privs. Les termes techniques ou sp-cialiss (crits en italique) sont expliqus dans un glossaire (chapitre 6) la fin du rapport. Quant aux jugements ports par MELANI, ils figurent chaque fois dans des encadrs en couleur.

    La structure du rapport est plus simple que dans les ditions prcdentes. Elle comprend dsormais deux grands chapitres consacrs la situation actuelle en Suisse, dune part, et sur le plan international, dautre part. Les anciens chapitres concernant les nouvelles bases lgales, les activits du secteur priv ou des collectivits publiques, ou encore les tudes et statistiques consacres aux TIC ont t intgrs la nouvelle structure.

    Le chapitre 1 esquisse certains thmes du prsent rapport semestriel.

    Les chapitres 3 et 4 passent en revue les pannes et les incidents, les attaques, la criminalit et le terrorisme visant les infrastructures TIC. Des exemples choisis illustrent les principaux vnements des six derniers mois de lanne 2008.

    Le chapitre 5 dcrit les tendances et donne un aperu des dveloppements prvoir.

    Le chapitre 7 est une annexe contenant des dveloppements ou instructions techniques sur certains thmes du rapport semestriel.

    MELANI Rapport semestriel 2008/II

  • Sret de linformation Situation en Suisse et sur le plan international

    5/39

    3 Situation en Suisse de linfrastructure TIC

    33..11 e-banking: diffusion persistante de chevaux de Troie par des canaux diffrents

    Les tentatives de diffuser des maliciels (chevaux de Troie) contre la clientle du e-banking se sont poursuivies au deuxime semestre 2008. Les cyberpirates ont cherch rpandre leurs chevaux de Troie soit par des pourriels, soit laide de sites infects (drive-by download). Vers la fin de lanne, MELANI a constat une trs nette tendance labandon des envois de pourriels au profit des infections par drive-by download.

    Le semestre a commenc par diverses vagues de pourriels (comportant le cheval de Troie WSNPoem) invitant la victime cliquer sur une annexe. Les plus frquents prtendaient quun paquet de lentreprise UPS navait pu tre livr. Le destinataire tait pri dimprimer le document annex afin de pouvoir retirer le colis. Or au lieu du fichier PDF attendu, le docu-ment contenait en annexe un fichier exe. De tels courriels taient rdigs aussi bien en alle-mand quen franais, ce qui suggre que les cybercriminels lorgnent dsormais sur une grande partie de la Suisse.

    "UPS colis postal"

    "Bon matin, malheureusement, nous avons manque de livrer le pli (votre colis postal), que vous avez envoy le 1er juillet, parce que ladresse du Destinataire nexiste pas. Sil vous plait, imprimez la facture envoyee en fichier joint a ce message, et venez chercher le pli a notre office a ladresse indiquee a la facture. Consultant Esther Jennings, UPS" Exemple de pourriel en franais comportant en annexe un cheval de Troie La dernire vague pour linstant de cette famille de chevaux de Troie, dguiss cette fois en billets davion, a t envoye le 28 aot 2008: "Your Online Flight Ticket N 12557"

    "Good morning, Thank you for using our new service "Buy flight ticket Online" on our website. Your account has been created: Your login: [email protected] Your password: passNFEC Your credit card has been charged for $641.68. We would like to remind you that whenever you order tickets on our website you get a discount of 10%! Attached to this message is the purchase Invoice and the airplane ticket. To use your ticket, simply print it on a color printed, and you are set to take off for the journey! Kind regards, Spirit Airlines" Exemple de pourriel en anglais comportant en annexe un cheval de Troie Puis les vagues de pourriels ont brusquement cess. Comme devait le signaler deux mois plus tard le Ministre public nerlandais, un coup de filet parmi les escrocs du e-banking avait abouti ce moment prcis larrestation de trois personnes. Il semble donc que ces individus aient eu une part de responsabilit dans les attaques susmentionnes. Des prci-sions concernant cette arrestation figurent au chapitre 4.2.

    MELANI Rapport semestriel 2008/II

  • Sret de linformation Situation en Suisse et sur le plan international

    En dcembre, des cybercriminels ont tent de simplanter en Suisse avec la nouvelle famille de chevaux de Troie Gozi, alias Infostealer.Snifula. Un pourriel au contenu douteux

    6/39

    MELANI Rapport semestriel 2008/II

    1 cher-chait attirer les victimes potentielles sur des sites pornographiques spcialement prpars. Les noms de domaine de ces sites contenaient gnralement le mot Switzerland, ce qui montre que la vague tait dirige contre la Suisse. Le site Internet invitait lutilisateur tl-charger et installer un plugiciel Flash soi-disant pour accder aux contenus visuels du site Internet. Or un cheval de Troie spcialis dans le e-banking sy dissimulait.

    La diffusion de chevaux de Troie lors dinfections par drive-by download sest poursuivie en 2008. Il suffit que la victime se rende sur un site (drive-by) pour que son ordinateur soit infec-t. Les cybercriminels ont besoin des comptes FTP des dtenteurs de sites, afin de pouvoir y tlcharger leur code malveillant. Ils se les procurent lors doprations de cyberpiratage grande chelle, comme le montrent les explications du chapitre 3.4.

    Chacun devrait observer certaines rgles de comportement concernant lutilisation du cour-rier lectronique et la navigation sur Internet. Il importe ainsi de maintenir jour son systme dexploitation et ses applications, ainsi que demployer des antivirus et des pare-feu actuels (voir recommandations du site MELANI).2 En outre, les restrictions dutilisation dActiveX ou de Javascript aident se prmunir contre les infections par drive-by download. Limitez au-tant que possible lexcution des contrles ActiveX dans les paramtres du navigateur. R-glez sur lev le niveau de scurit dInternet Explorer. Les pages 5 et 6 des instructions Paramtres de scurit de Windows XP3 expliquent pas pas comment procder. En cas dutilisation du navigateur Firefox, le programme Noscript4 permet de limiter individuellement, pour chaque site Internet, lutilisation de Javascript. En cas dirrgularit lors dune session de e-banking, il importe de prvenir immdiatement sa banque. Les indices suspects sont la demande de rpter la procdure douverture de session, un soudain changement de procdure sans avertissement pralable de la banque, ou une interruption de session quand toutes les donnes daccs ont t transmises.

    33..22 Rseaux de zombies

    Un rseau de zombies est un ensemble dordinateurs infects par des programmes malveil-lants. Un pirate (le propritaire du rseau) les contrle compltement distance. Le fournis-seur daccs amricain McColo (chapitre 7.4) a hbrg une quantit important de serveurs Command and Control, ce qui a conduit sa dconnexion temporaire dInternet. Cet inci-dent a eu des effets jusquen Suisse: une partie des maliciels sattaquant aux sites de e-banking ont immdiatement cess dtre diffuss.

    1 http://www.melani.admin.ch/dienstleistungen/archiv/01074/index.html?lang=fr (tat au 02.02.2009). 2 Voir http://www.melani.admin.ch/themen/00166/index.html?lang=fr (tat au 02.02.2009). 3 Instructions publies sous http://www.melani.admin.ch/dienstleistungen/00132/00149/index.html?lang=fr (tat au 02.02.2009). 4 Addon Noscript pour Mozilla Firefox https://addons.mozilla.org/fr/firefox/addon/722 (tat au 02.02.2009).

    http://www.melani.admin.ch/dienstleistungen/archiv/01074/index.html?lang=frhttp://www.melani.admin.ch/themen/00166/index.html?lang=frhttp://www.melani.admin.ch/dienstleistungen/00132/00149/index.html?lang=frhttps://addons.mozilla.org/fr/firefox/addon/722

  • Sret de linformation Situation en Suisse et sur le plan international

    3

    7/39

    MELANI Rapport semestriel 2008/II

    3..33 Courriels falsifis contenant des menaces de suicide

    Plus de 100 000 pourriels ont t envoys des adresses lectroniques suisses, dans la nuit du 4 au 5 aot 2008. Un jeune informaticien y menaait de tuer sa petite amie et lamant de celle-ci, puis de se suicider. Des citoyens inquiets ont prvenu la police cantonale zuri-choise, qui a tir du lit le prtendu suicid deux heures du matin. Le courriel tait un faux et la menace tait fictive. Le lien signal dans le courriel ne distribuait pas non plus de maliciel. Selon la Centrale denregistrement et danalyse pour la sret de linformation (MELANI), des cybercriminels auraient voulu ainsi se venger de cet informaticien qui, depuis longtemps, dcrivait en dtail sur son site abuse.ch les maliciels sattaquant au e-banking. Il venait de publier un document analysant en dtail le fonctionnement de linfrastructure informatique lorigine des cyberattaques visant des tablissements financiers suisses. Cette publication est sans doute la goutte qui a fait dborder le vase et incit les escrocs adopter des mesu-res de rtorsion. Leurs tentatives dintimidation ont pris la forme dattaques par dni de ser-vice (DoS) du site abuse.ch et se sont poursuivies par lenvoi du courriel en question.

    La cybercriminalit reste souvent perue comme un phnomne purement virtuel et insaisis-sable, ou comme de mauvais tours jous par quelques surdous en informatique. Comme lindiquent dj les prcdents rapports semestriels, ce nest plus le cas. La cybercriminalit implique aujourdhui des bandes bien organises et dissmines travers le monde, en qute dun enrichissement rapide. De tels milieux sont eux aussi soumis aux lois du march et de la concurrence: les pirates se conforment un modle commercial donn aussi long-temps que le rapport entre les charges et les produits, les risques et bnfices reste intres-sant. Dans le cas de la mesure de rtorsion visant linformaticien suisse, les cyberpirates ont visiblement cherch liminer ce facteur aux rpercussions ngatives sur leurs activits.

    33..44

    Manipulation de comptes FTP

    Lentreprise de scurit isralienne Aladdin a dcouvert au deuxime semestre 2008 un ser-veur hbergeant plus de 200 000 coordonnes daccs FTP des serveurs Web publics.

    Les propritaires de sites recourent gnralement un compte FTP, quils dtiennent auprs dun fournisseur dhbergement, afin de charger des donnes sur un serveur Web. 82 000 sites administrs par de tels comptes avaient dj subi une infection par des maliciels. Parmi les victimes figuraient les sites dentreprises darmement, celui dUS Postal Service, des si-tes duniversits et mme des sites gouvernementaux.

    MELANI a appris quels taient les sites suisses touchs: les attaquants avaient fait main basse sur plus de 3000 comptes FTP suisses5. Un accs non autoris a t constat sur plus de 130 sites Web. Les pirates les avaient modifis pour provoquer des infections par drive-by download et pouvoir ensuite contaminer le systme des internautes de passage. Ils avaient principalement rpandu des chevaux de Troie pour compromettre les sessions de e-banking. Il y a plusieurs tactiques pour collecter les donnes FTP: usage dun enregistreur de frappes (keylogger), maliciel install sur lordinateur des administrateurs de sites Web; espionnage des changes de donnes entre client et serveur; exploitation dune faille de scurit de lhbergeur. Le protocole FTP offre de nombreux avantages mais prsente aussi

    5 http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=Windows&articleId=9116138&taxonomyId=125&pageNumber=1

    http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=Windows&articleId=9116138&taxonomyId=125&pageNumber=1http://www.computerworld.com/action/article.do?command=viewArticleBasic&taxonomyName=Windows&articleId=9116138&taxonomyId=125&pageNumber=1

  • Sret de linformation Situation en Suisse et sur le plan international

    des inconvnients. En particulier, les changes de donnes seffectuent sans cryptage, et par consquent les codes daccs risquent dtre intercepts.

    8/39

    MELANI Rapport semestriel 2008/II

    La fondation SWITCH, qui gre les domaines .ch, a galement t informe. Par la suite, les donnes en sa possession ont t transmises pour information divers fournisseurs daccs. MELANI a directement contact les propritaires des sites les plus exposs, afin quils puissent liminer au plus vite les risques encourus.

    A linstar de la socit Aladdin, lexploitant du site abuse.ch The Swiss Security Blog a dcouvert la fin de 2008 un serveur renfermant les coordonnes de 100 000 comptes FTP. Il a communiqu ces donnes MELANI qui, aprs les avoir analyses en profondeur, a prvenu les propritaires de comptes par le biais de leurs fournisseurs dhbergement en Suisse ou des services comptents ltranger.

    33..55 Condamnation dagents financiers

    Des courriels vantant des offres de travail et promettant des gains levs circulent rguli-rement en Suisse. Ils manent gnralement de bandes criminelles cherchant transfrer, avec laide de citoyens nafs, le butin de leurs activits illgales. Dear Sir/Madam, Were glad to offer you a position in our company Donation Europe. We are a charity organization in Central Europe. We help and support the community in Europe to help children of all ages. Donation Europe is an organi-zation which supported by donations. All information about us you can read at our website You can earn money and help children with us. We are looking for freelance representatives in EUROPEAN COUNTRIES. Donation Europe receive donations in Europe, you have a possibility to become a Freelance repre-sentative? of our company. You do not need any funds to work and you do not need to find anybody. We hire people for freelance work. You can combine it with your full-time work, 2-3 hours a day are required from you. The salary is 450 - 2500 EUR per week. We have special offer for COMPANIES also. If you have an interest to our proposition and have a desire to help children send your reply to [e-mail at Yahoo]. Our manager will send you more information about the job and the terms of employment. PLEASE REPLY TO [e-mail Yahoo] ONLY Renee Johnson Donation Europe. Poland Nowoursynowska st. 119, 02-776 Warsaw Charity Registration No.: 101682 Company Registration No.: 2350841 Courriel diffus large chelle en vue du recrutement dagents financiers, en Suisse notamment, par une prtendue organisation caritative du nom de Donation Europe. Dhabitude, les personnes ragissant ce genre doffres reoivent trs rapidement un mon-tant sur leur compte. Aprs dduction dune commission, le montant doit tre vir ltranger, gnralement via les services de transfert dargent Western Union ou Mo-neyGram. Or largent provient toujours dactivits illgales. Les organisations offrant de tels emplois se servent de personnes naves pour transfrer ltranger de largent escroqu via Internet. Quiconque participe de telles affaires ou transactions sexpose faire lobjet dune procdure pnale pour complicit de blanchiment dargent (art. 305bis CP). Entre-temps, de premiers jugements ont t rendus contre des agents financiers suisses. Toute la question est de savoir sil y a eu acte intentionnel ou au moins dol ventuel, et donc si llment constitutif de linfraction de blanchiment dargent est ralis du point de vue subjec-tif. Un site bien connu, portant le nom de Donation Europe, a servi recruter des agents fi-nanciers dans toute lEurope. Pour appter des complices potentiels de blanchiment, le site prtendait quils devaient transfrer en Russie et en Ukraine, via MoneyGram, largent vers

  • Sret de linformation Situation en Suisse et sur le plan international

    par les donneurs. En ralit, largent ne provenait pas de donneurs mais descroqueries diri-ges contre le e-banking.

    Donation Europe. Organisation soi-disant caritative servant au transfert du butin du phishing en Russie et en Ukraine. Le site (voir image) donnait une impression de professionnalisme. Un accus ayant rpondu une telle offre demploi a confirm avoir tudi la page daccueil de Donation Europe et lui avoir trouv une apparence srieuse. Il lui a nanmoins fallu accepter le reproche davoir agi navement.6 Lors de lenqute, laccus a admis stre tonn de la manire dont les dons taient effectus. Lobligation de transfrer largent par MoneyGram navait fait quaccrotre sa perplexit. Il aurait donc demand par tlphone pourquoi il devait effectuer les virements par MoneyGram. Ses propres recherches lui avaient appris que MoneyGram contrle moins svrement la provenance des fonds que dautres services de transfert dargent. De son ct, le tribunal a fait valoir quil tait tout fait inhabituel quune organisation caritative invite ses donneurs verser de largent sur le compte dun tiers quelle ne connat mme pas. Pour cette seule raison, laccus aurait d douter du srieux de lorganisation Donation Europe. Sa mfiance aurait d tre renforce par la possibilit de percevoir une commission de 10% sur les transferts quil tait charg deffectuer pour elle. Car une commission aussi leve est absolument disproportionne par rapport leffort minime requis. Le tribunal a conclu que laccus aurait d penser la possibilit quil sagisse non pas dune organisation caritative, mais dune organisation transfrant par lintermdiaire dagents financiers de largent tir dagissements criminels. Il est donc bien clair que du point de vue subjectif, laccus avait ralis llment constitutif de linfraction de blanchiment dargent. Dautres tribunaux voient les choses de la mme faon et ont rendu des jugements allant dans le mme sens. Le tribunal de district de Zurich a ainsi condamn un agent financier pour blanchiment une peine de 30 jours-amende. En outre, le tribunal a accord la vic- 6 https://www.a-i3.org/content/view/1535/130/ (tat au 02.02.2009).

    9/39

    MELANI Rapport semestriel 2008/II

    https://www.a-i3.org/content/view/1535/130/

  • Sret de linformation Situation en Suisse et sur le plan international

    time des dommages-intrts hauteur de la perte subie. Dans un autre cas, le tribunal dArbon a condamn la personne inculpe une peine pcuniaire de 150 jours amende et une amende de 1000 francs. L encore, les crances en dommages-intrts et les frais judi-ciaires sajoutent la peine prononce.

    10/39

    MELANI Rapport semestriel 2008/II

    Les jugements rendus ce jour montrent clairement quil ne sagit pas de dlits mineurs. Mme si les accuss ont chaque fois prtendu ne pas stre rendu compte quil sagissait de blanchiment dargent. Les nombreux points dinterrogation et les absurdits inhrentes ce genre doffres demploi finissent forcment par veiller des soupons chez les personnes recrutes comme agents financiers. Elles disposent de suffisamment dindices, comme le gain injustifi. Si elles virent malgr tout le montant demand, il y a dol et donc condamnation. Le cas chant, la navet ne met pas labri dune sanction. Et si, comme cest gnralement le cas, largent transfr par ses soins ne peut tre r-cupr, lagent financier doit en outre sattendre des crances en dommages-intrts se chiffrant en dizaines de milliers de francs. Dans tous les cas, les offres faisant miroiter de juteux bnfices requirent une extrme prudence. Personne ne devrait mettre son propre compte bancaire disposition de tiers. En cas de soupon descroquerie ou de blanchiment dargent, il importe dalerter les autorits comptentes (poste de police local ou Service national de coordination de la lutte contre la criminalit sur Internet SCOCI).

    33..66

    Attaques de phishing visant des services Internet suisses

    Lanne dernire, diverses tentatives classiques de phishing ont t constates lencontre de prestataires suisses de services sur Internet. Le phishing consiste envoyer des courriels prsentant une adresse dexpditeur falsifie et un hyperlien dguis, afin dattirer la victime sur un site truqu et de lui soutirer ses donnes douverture de session. Le pourcentage des tentatives de phishing visant des prestataires financiers est toutefois extrmement faible. Par ailleurs, des tentatives de phishing ont pris pour cible des sites de ventes aux enchres, comme Ricardo7, ou des plates-formes de petites annonces comme Autoscout248. Dans le cas dAutoscout24, des cybercriminels se sont servis des donnes daccs pour manipuler les annonces de vendeurs dignes de confiance, afin par exemple quun vhicule mis en vente pour 120 000 francs nen cote plus apparemment que 44 000. Les pirates avaient corrig le prix la baisse. Les victimes potentielles devaient profiter dune telle au-baine. Les escrocs rpondaient aux utilisateurs dAutoscout24 intresss que le vhicule se trouvait Londres et quils devaient dabord en rgler le montant ou verser un acompte sur un compte situ ltranger. En ralit, les acheteurs dups nont jamais vu la couleur de la voiture cense leur appartenir. Les fournisseurs daccs sont galement dans la ligne de mire des cyberescrocs. En octo-bre, lhbergeur Genotec a ainsi mis en garde contre une vague de phishing visant sa propre clientle9. La motivation des cybercriminels est parfaitement claire. Ils cherchaient prendre le contrle dun maximum de sites pour y hberger leurs propres contenus, comme des che-vaux de Troie ou de la pornographie infantile. Les cybercriminels sen sont galement pris aux clients de Bluewin. Ils ont ainsi tent de se procurer les donnes daccs aux botes aux lettres Bluewin. Le cas chant, ils peuvent faire main basse sur les carnets dadresses ou expdier des pourriels au nom de la victime.

    7 http://www.online-betrug.ch/?p=105 (tat au 02.02.2009). 8 http://www.tagesanzeiger.ch/digital/internet/story/19938467 (tat au 02.02.2009). 9 http://www.genotec.ch/desktopdefault.aspx/tabid-219/184_read-458/ (tat au 02.02.2009).

    http://www.online-betrug.ch/?p=105http://www.tagesanzeiger.ch/digital/internet/story/19938467http://www.genotec.ch/desktopdefault.aspx/tabid-219/184_read-458/

  • Sret de linformation Situation en Suisse et sur le plan international

    11/39

    De : webmail.bluewin.ch Date : 9 dcembre 2008 10:53:21 GMT+01:00 : Objet : Confirm your Dear bluewin.ch Subscriber, To complete your bluewin.ch Account, you must reply to this email immediately and enter your password here (*********) Failure to do this will immediately render your email address deactivated from our database. You can also confirm your email address by logging into your bluewin.ch Account at https://webmail.bluewin.ch Thank you for using bluewin.ch! THE bluewin.ch TEAM SUPPORT Exemple de courriel de phishing visant Bluewin.ch Les universits de Zurich10 et Ble11 ont galement souffert dattaques de phishing. Les es-crocs ont tent, parfois avec succs, damener les tudiants livrer les donnes daccs leur messagerie lectronique, soit coordonnes des serveurs de luniversit. Par la suite, plusieurs comptes de messagerie ont servi des envois de pourriels ou dautres escroque-ries. Avec pour effet que les adresses lectroniques de ces deux institutions ont abouti sur les listes noires de divers filtres anti-pourriels. Les derniers rapports semestriels signalaient une diminution des tentatives de phishing vi-sant des prestataires financiers. Au deuxime semestre 2008, les essais de phishing se sont multiplis contre les services Internet en tous genres. Tout ce qui est protg seulement par un nom dutilisateur et un mot de passe et non par une authentification deux facteurs savre ici intressant. Les cybercriminels ont en effet remarqu quil y a l aussi de largent gagner, car de telles donnes leur livrent elles aussi des informations intressan-tes et leur confrent de prcieux droits. La recommandation de ne jamais divulguer ses don-nes douverture de session reste donc valable et doit tre tendue tous les services pro-tgs par mot de passe.

    33..77

    Attaques diriges contre des serveurs Web

    Diverses cyberattaques ont fait grand bruit au deuxime semestre. La page contenant les communiqus de presse de la police municipale zurichoise a ainsi t vandalise. Il sagissait dune dfiguration de site (defacement). Le pirate y a laiss le message Hacked by Burak. Un dessin montrait galement deux jeunes gens en train de ligoter une troisime personne.12

    10 http://www.20min.ch/news/schweiz/story/24375194 (tat au 02.02.2009). 11 Voir communiqu de lUniversit de Ble: http://www.unibasel.ch/index.cfm?uuid=21A8F3823005C8DEA3B81CC699203FF9&type=search&show_long=1 (tat au 02.02.2009). 12 Pour plus d'informations, voir: http://www.bluewin.ch/de/index.php/25,77047/Unbekannte_hacken_Internetseite_der_Stadtpolizei_Zuerich/ (tat au 02.02.2009).

    MELANI Rapport semestriel 2008/II

    https://webmail.bluewin.ch/http://www.20min.ch/news/schweiz/story/24375194http://www.unibasel.ch/index.cfm?uuid=21A8F3823005C8DEA3B81CC699203FF9&type=search&show_long=1http://www.bluewin.ch/de/index.php/25,77047/Unbekannte_hacken_Internetseite_der_Stadtpolizei_Zuerich/

  • Sret de linformation Situation en Suisse et sur le plan international

    12/39

    MELANI Rapport semestriel 2008/II

    Des pirates se sont galement introduits dans un serveur de lOrganisation europenne pour la recherche nuclaire (CERN), dont ils ont dfigur le site13. L encore, ils ont laiss un message pour se moquer des techniciens informatiques du site genevois. Ils les ont qualifis dcoliers pour avoir tolr une telle faille de scurit.

    La dfiguration de site ne donne gnralement pas accs aux donnes, mais tire parti des failles de scurit des logiciels ou des applications prsentes sur le serveur. Dans les deux cas, lattaque a t rapidement dcouverte et aucun dommage na t subi.

    En octobre, les cyberpirates ont tent de pntrer dans plusieurs serveurs centraux de lEcole polytechnique fdrale de Zurich. La surveillance interne a toutefois permis didentifier ces attaques et dadopter des mesures de prvention. Un nouveau concept de scurit a t examin suite cet incident.14

    33..88

    Entre en vigueur de la loi rvise sur le droit dauteur

    La rvision de la loi fdrale sur le droit dauteur et les droits voisins15 est entre en vigueur le 1er juillet 2008. Les principaux changements quelle apporte sont les suivants: Les mesures techniques (p. ex. protection anticopies sur les CD audio) font dsormais lobjet dune protection. Toute personne fournissant ou utilisant des logiciels de contournement est punissable. Il reste en revanche permis de crer une copie prive, mme si cela implique de contourner les mesures techniques mises en place.

    13 Pour plus dinformations, voir http://diepresse.com/home/techscience/wissenschaft/414065/index.do?from=rss (tat au 02.02.2009). 14 http://www.infoweek.ch/security/hacking/articles/164957/ (tat au 02.02.2009). 15 Principales modifications apportes la loi sur le droit dauteur: http://www.ige.ch/f/jurinfo/j10300.shtm (tat au 02.02.2009).

    http://diepresse.com/home/techscience/wissenschaft/414065/index.do?from=rsshttp://www.infoweek.ch/security/hacking/articles/164957/http://www.ige.ch/f/jurinfo/j10300.shtm

  • Sret de linformation Situation en Suisse et sur le plan international

    3

    13/39

    MELANI Rapport semestriel 2008/II

    3..99 Interdiction par le Parlement de la pornographie sur les tlphones portables

    Aprs le Conseil des Etats, le Conseil national a dcid son tour, le 25 septembre 2008, que le Conseil fdral devra lgifrer contre son gr pour interdire totalement les images pornographiques ou violentes sur les tlphones portables.16 Selon les circonstances, il sera amen modifier lordonnance sur les services de tlcommunication. Concrtement, les concessionnaires du service universel auraient lobligation de bloquer laccs aux services commerciaux plus-value qui proposent des images, des textes ou des bandes sonores rotiques ou pornographiques aux jeunes de moins de 16 ans. Les exploitants de ces m-mes services auraient de surcrot linterdiction de fournir de tels contenus ces jeunes.

    Le dbat parlementaire faisait suite la motion Schweiger17. Le Conseil fdral a signal, dans sa rponse cette motion, que le Code pnal interdit dj doffrir des crits ou des images pornographiques des personnes de moins de 16 ans. Une peine est prvue mme si lauteur na pas agi dans un dessin de lucre. En lieu et place dune nouvelle disposition lgale, Il suffirait par consquent dappliquer rigoureusement le droit en vigueur. Il faudra par ailleurs veiller amnager la nouvelle ordonnance de la manire la plus neutre possible du point de vue technologique. Car la motion vise trs clairement la pornographie commerciale base sur les services WAP ou MMS. Or sous leffet de la convergence technique, les tl-phones portables ont tendance devenir entirement compatibles avec Internet. Autrement dit, les contenus accessibles par ces tlphones intelligents ne sont plus spcialement conus pour les tlphones portables mais correspondent tout bonnement ce quun utilisa-teur informatique peut consulter sur Internet. A moins dtre technologiquement neutre, linterdiction de loffre, des fins commerciales, de pornographie pour tlphones portables risque dentrer en vigueur un moment o ce phnomne aura cess dexister.

    33..1100

    Dcouverte dune plate-forme Internet contenu p-dophile

    Le Service national de coordination de la lutte contre la criminalit sur Internet (SCOCI) a dcouvert, sur la base de ses recherches sur Internet, un site pour pdophiles hberg au-prs dun fournisseur daccs saint-gallois. Il sagissait dun forum donnant ses utilisateurs loccasion de lier connaissance et de crer un rseau priv virtuel. Le SCOCI a constat que la plate-forme servait changer des astuces et des expriences au sujet de petites filles, ou des indications visant faciliter le premier contact avec elles. Des fichiers pdophiles cir-culaient galement par ce biais.

    LOffice fdral de la police (fedpol) a directement communiqu aux pays concerns les in-formations relatives aux participants et aux responsables de la plate-forme. Lenqute vise 600 Allemands, 40 Autrichiens et quatre citoyens du Liechtenstein. Les constatations faites sur les participants suisses ont t transmises aux autorits de poursuite pnale de Saint-Gall, canton o le fournisseur daccs a son sige. A ce jour, une procdure pnale a t ouverte contre treize citoyens suisses. Quatre personnes ont t arrtes pour actes dordre sexuel sur des enfants ou fabrication dimages et films caractre pornographique mettant

    16 http://www.heise.de/newsticker/Schweizer-Parlament-verabschiedet-Pornoverbot-auf-Handys--/meldung/116550 (tat au 02.02.2009). 17 Voir la motion 06.3884 Pas de pornographie en vente sur les tlphones portables: http://www.parlament.ch/f/suche/pages/geschaefte.aspx?gesch_id=20063884 (tat au 02.02.2009).

    http://www.heise.de/newsticker/Schweizer-Parlament-verabschiedet-Pornoverbot-auf-Handys--/meldung/116550http://www.heise.de/newsticker/Schweizer-Parlament-verabschiedet-Pornoverbot-auf-Handys--/meldung/116550http://www.parlament.ch/f/suche/pages/geschaefte.aspx?gesch_id=20063884

  • Sret de linformation Situation en Suisse et sur le plan international

    en scne une fillette abuse. Les enquteurs ont perquisitionn les domiciles de tous les suspects et ont saisi un abondant matriel, comprenant des disques durs dordinateurs et dautres supports de donnes informatiques. Les examens prendront encore du temps. Il ressort toutefois des premiers lments runis que ce rseau possdait une trs grande quantit dimages et de films caractre pdophile.

    14/39

    MELANI Rapport semestriel 2008/II

    18

    33..1111 Blocages daccs dans les grandes entreprises

    Au semestre pass, plusieurs entreprises, par exemple du secteur bancaire et assurance, ont verrouill laccs des sites de rseautage social comme Facebook. Ces employeurs ont invoqu aussi bien lutilisation intempestive de tels sites pendant les heures de travail que le risque que des informations ainsi divulgues par le personnel ne donnent lieu des attaques de social engineering (subversion psychologique). Car les informations personnel-les publies sur Facebook peuvent aider complter un certain profil dune personne ou dun groupe de personnes: Qui appartient qui? O travaille la personne? Que fait-elle pen-dant ses loisirs? O se trouve-t-elle en ce moment? etc. Moyennant des recoupements avec dautres donnes trouves sur Internet, ces informations serviront gagner la confiance de cette personne et, ce faisant, accder plus facilement des donnes confidentielles.

    Toutes sortes de raisons justifient de bannir certains sites Internet au sein dentreprises. Lemployeur peut ainsi, dune part, proscrire un canal de diffusion de maliciels et, dautre part, protger lardeur au travail face des applications Web 2.0 comme Facebook. Le cas chant, le blocage de sites Internet ne suffira pas contre la prparation dattaques de social engineering. En effet, quun employ divulgue certaines donnes pendant les heures de tra-vail ou de la maison, le rsultat est le mme. Do limportance que les entreprises adoptent des directives exhaustives sur le genre dinformations professionnelles dont elles autorisent la publication sur de tels sites.

    Certaines entreprises ont galement verrouill Doodle, outil pratique pour fixer des rendez-vous. Largument invoqu est que des donnes confidentielles, comme des rendez-vous daffaires ou des noms de clients, risquaient de figurer sur des plates-formes publiques en dehors de tout contrle.

    4 Situation internationale de linfrastructure TIC

    44..11

    Etats-Unis: larme interdit lutilisation des supports amovibles de stockage de donnes

    En novembre 2008, le Commandement stratgique de larme amricaine a dcid dinterdire jusqu nouvel avis tous les membres de larme lutilisation des supports amo-vibles de stockage de donnes (cls USB, CD, DVD, etc.). Peu auparavant, un virus stait

    18 Voir le communiqu officiel du Ministre public saint-gallois: http://www.staatsanwaltschaft.sg.ch/news/staatsanwaltschaft/2008/09/internet_plattform.html (tat au 02.02.2009).

    http://www.staatsanwaltschaft.sg.ch/news/staatsanwaltschaft/2008/09/internet_plattform.html

  • Sret de linformation Situation en Suisse et sur le plan international

    rapidement propag en se copiant sur les systmes partir de cls USB.

    15/39

    MELANI Rapport semestriel 2008/II

    19 Larme amri-caine a pris cette occasion une mesure radicale. Elle nest toutefois pas seule ragir aux dangers que comporte lusage de supports de donnes externes. Ainsi, Symantec a gale-ment mis en garde, dans un rapport, contre les maliciels diffuss par les cls USB.20

    A lheure actuelle, deux tactiques sont privilgies pour diffuser des maliciels laide dune cl USB ou dun autre support amovible de stockage de donnes. Dune part, des maliciels parviennent se copier directement dun ordinateur infect sur la cl USB raccorde. Quand lutilisateur la branche ensuite sur son propre ordinateur et ouvre le fichier infect ( son in-su), le virus se copie sur son systme. Un tel mode dinfection exige de lutilisateur quil ac-tive manuellement le programme infect. Dautre part, certains maliciels crent ou modifient une fonction de lancement automatique (autorun) du support de stockage de donnes. Au moment o lutilisateur raccorde sa cl USB son ordinateur, le maliciel pourra ainsi se co-pier automatiquement sur son systme.

    En t 2008, lAgence europenne charge de la scurit des rseaux et de linformation (ENISA) a publi un rapport qui fait le point sur les risques auxquels lutilisation de cls USB expose les entreprises et renferme des conseils pratiques pour en scuriser lutilisation. Ou-tre que les cls USB constituent un vecteur dinfection supplmentaire, le rapport insiste sur les risques de perte ou de vol. LENISA recommande donc de procder une valuation des risques ainsi que ddicter des directives contraignantes en matire dutilisation des supports amovibles.21

    Principaux conseils pour lutilisation des cls USB: Dsactiver la fonction de lancement automatique (autorun). Ainsi, lexcution des fichiers

    prsents sur la cl USB exigera toujours une intervention manuelle pralable. Des ins-tructions ce sujet figurent en annexe.

    Vrifier la cl USB avec un antivirus jour. Crypter systmatiquement les informations confidentielles. En cas de vol, la cl USB sera

    certes perdue mais les informations ou fichiers quelle renferme resteront protgs. Toute entreprise, petite ou grande, devrait rglementer dans des directives obligatoires

    lutilisation des cls USB. Il sagit de dfinir quelles conditions une cl peut tre utilise. Certaines cls USB cherchent installer des logiciels sur le systme auquel elles sont raccordes. La remise de cls USB achetes de manire centralise permet tout au moins de circonscrire ce risque. Les autres possibilits envisageables consistent res-treindre les droits dadministrateur ou dsactiver les ports USB.

    19 http://blog.wired.com/defense/2008/11/army-bans-usb-d.html (tat au 02.02.2009). 20 https://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/220 (tat au 02.02.2009). 21 http://www.enisa.europa.eu/doc/pdf/publications/secure_usb_flash_drives_fr.pdf (tat au 02.02.2009).

    http://blog.wired.com/defense/2008/11/army-bans-usb-d.htmlhttps://forums.symantec.com/t5/blogs/blogarticlepage/blog-id/malicious_code/article-id/220http://www.enisa.europa.eu/doc/pdf/publications/secure_usb_flash_drives_fr.pdf

  • Sret de linformation Situation en Suisse et sur le plan international

    16/39

    44..22 Succs remports contre des cybercriminels

    La lutte contre la cybercriminalit a enregistr plusieurs succs au deuxime semestre 2008. Le Ministre public nerlandais a annonc en octobre larrestation, en Ukraine et en Russie, dun groupe lorigine de nombreuses arnaques au e-banking, commises probablement en Suisse aussi.22

    Les dommages causs par les escrocs sont estims plus de 100 000 euros. Des ordina-teurs et dautres moyens de preuve ont t squestrs dans plusieurs villes ukrainiennes ou russes. Trois tudiants en informatique sont sous les verrous. Il sagit du plus gros coup de filet contre les pirates sen prenant aux applications de e-banking depuis larrestation par lOffice fdral allemand de police criminelle, en septembre 2007, de huit suspects23. A lpoque, il sagissait de deux femmes de 22 et 23 ans et de six hommes de 20 36 ans originaires de Russie, dUkraine et dAllemagne.

    44..33

    Allemagne: important vol de donnes chez Telekom

    En 2008, de nombreux cas de perte de donnes ont t signals travers le monde. Tant des entreprises prives que des services gouvernementaux comptent parmi les victimes.

    En Allemagne, lannonce par Telekom de la perte de donnes concernant plus de 17 millions de clients a relanc le dbat sur la scurit et la protection des donnes.24 Parmi les don-nes drobes figuraient des informations hautement confidentielles (numro de tlphone portable et adresse prive) sur des politiciens connus et des dcideurs conomiques. Le vol remontait 2006. Les autorits taient alors intervenues, mais sans que lincident soit port la connaissance du grand public. Par la suite, ces donnes se sont changes sur Internet parmi les milieux criminels et en octobre 2008, le magazine Der Spiegel publiait cette b-

    22 Communiqu du Ministre public nerlandais (en nerlandais): http://www.om.nl/actueel/nieuws-_en/@149040/internationale/ (tat au 02.02.2009). 23 http://www.heise.de/newsticker/BKA-verhaftet-Phisher-Gruppe--/meldung/95928 (tat au 02.02.2009). 24 Voir le communiqu publi par Telekom: http://www.telekom.com/dtag/cms/content/dt/de/595698?archivArticleID=572376 (tat au 02.02.2009).

    MELANI Rapport semestriel 2008/II

    http://www.om.nl/actueel/nieuws-_en/@149040/internationale/http://www.om.nl/actueel/nieuws-_en/@149040/internationale/http://www.heise.de/newsticker/BKA-verhaftet-Phisher-Gruppe--/meldung/95928http://www.telekom.com/dtag/cms/content/dt/de/595698?archivArticleID=572376

  • Sret de linformation Situation en Suisse et sur le plan international

    vue.

    17/39

    MELANI Rapport semestriel 2008/II

    25 Le gouvernement a alors dcid danalyser les risques encourus par les personnalits en vue concernes par cette atteinte la vie prive.

    Cet incident est un exemple particulirement frappant de perte de donnes. Or les couacs et les pertes de donnes sont nombreux et touchent autant le secteur priv que les collectivits publiques. Les raisons en sont varies et comprennent le vol interne ou externe, les pertes et le vol de supports numriques (ordinateurs portables, cls USB, etc.), la publication et la diffusion involontaires de donnes, ou encore les donnes gares par des prestataires ex-ternes (comme les entreprises de conseil).

    Notre socit de linformation a naturellement tendance accumuler toujours plus de don-nes personnelles. Or les donnes et informations ainsi collectes reprsentent tout la fois un potentiel de valeur ajoute et un risque. Do limportance que lutilisation faite des don-nes soit dment rglemente et axe sur la scurit et la confiance. Une gestion scrupu-leuse des risques lis lutilisation des donnes et des informations savre importante aussi bien pour le secteur priv que pour le secteur public26.

    44..44 UE: adoption dun vaste plan de coopration dans la lutte contre la cybercriminalit

    A la fin de novembre 2008, les ministres de la Justice et de lIntrieur de lUnion europenne (UE) ont adopt un ambitieux plan de coopration dans la lutte contre la cybercriminalit. Les mesures oprationnelles prvues incluent une plate-forme europenne de signalement des cyberinfractions releves, lchange dinformations entre les autorits rpressives et le secteur priv, le recours des quipes denqute transfrontires, une meilleure coordination du blocage et de la fermeture des sites criminels et la cration dune liste noire commune, ainsi que la facilitation des perquisitions distance (pour autant que le droit national en pr-voie la possibilit).27

    44..55

    Allemagne: conservation des donnes des fournis-seurs daccs Internet

    Depuis le 1er janvier 2009, toutes les donnes de communication concernant Internet doivent tre conserves en Allemagne pendant six mois, mme en labsence de tout soupon concret. La reprise en droit allemand de la directive europenne sur la conservation des donnes de communication concernant laccs la tlphonie et Internet a mme com-menc un an plus tt28. Depuis le 1er janvier 2008 en effet, les donnes de communication

    25 http://www.spiegel.de/wirtschaft/0,1518,581938,00.html (tat au 02.02.2009). 26 A propos des entreprises et de leur gestion de linformation, voir ltude ralise sur mandat de lEconomist Intelligence Unit: http://switzerland.emc.com/collateral/analyst-reports/economist-intell-unit-info-governence.pdf (tat au 02.02.2009). 27 Voir les conclusions du Conseil Justice et Affaires intrieures: http://register.consilium.europa.eu/pdf/fr/08/st15/st15569.fr08.pdfet le communiqu de la Commission europenne: http://europa.eu/rapid/pressReleasesAction.do?reference=IP/08/1827&format=HTML&aged=0&language=FR&guiLanguage=en (tat au 02.02.2009). 28 Voir rapport MELANI 2007/2, chapitre 7.1: http://www.melani.admin.ch/dokumentation/00123/00124/01048/index.html?lang=fr (tat au 02.02.2009).

    http://www.spiegel.de/wirtschaft/0,1518,581938,00.htmlhttp://switzerland.emc.com/collateral/analyst-reports/economist-intell-unit-info-governence.pdfhttp://register.consilium.europa.eu/pdf/fr/08/st15/st15569.fr08.pdfhttp://europa.eu/rapid/pressReleasesAction.do?reference=IP/08/1827&format=HTML&aged=0&language=FR&guiLanguage=enhttp://europa.eu/rapid/pressReleasesAction.do?reference=IP/08/1827&format=HTML&aged=0&language=FR&guiLanguage=enhttp://www.melani.admin.ch/dokumentation/00123/00124/01048/index.html?lang=fr

  • Sret de linformation Situation en Suisse et sur le plan international

    relatives la tlphonie tant fixe que mobile doivent tre sauvegardes. Les fournisseurs Internet bnficiaient dun dlai transitoire, qui a expir la fin de 2008.

    18/39

    MELANI Rapport semestriel 2008/II

    29

    44..66 Allemagne: entre en vigueur de la loi rvise relative lOffice fdral de police criminelle

    LAllemagne a mis en vigueur le 1er janvier 2009 la loi modifie sur lOffice fdral de police criminelle (Bundeskriminalamt, BKA). Cette loi introduit de nouvelles comptences dans la lutte contre le terrorisme et autorise notamment les perquisitions secrtes en ligne.30

    44..77 Grande-Bretagne: entre en vigueur dune nouvelle loi sur la cybercriminalit

    Le 1er octobre 2008, lAngleterre et le Pays de Galles ont mis en vigueur une nouvelle lgi-slation, le Computer Misuse Act. Parmi les principales innovations, les peines frappant laccs non autoris un systme informatique sont durcies, et il est dsormais interdit de lancer des attaques par dni de service (DoS, denial of service) ou de diffuser des outils de piratage (hacker tools).31

    5 Tendances / Perspectives

    55..11

    Evolution gnrale de la cybercriminalit

    Techniquement parlant, les moyens disposition des cybercriminels nont pas connu dvolution majeure durant le semestre coul. Les pourriels et les infections par drive-by download restent les principales tactiques de diffusion de maliciels. Outre langlais, les mali-ciels envoys en Suisse sont rdigs en allemand, en franais et en italien. Des chevaux de Troie et le phishing servent accder aux donnes personnelles. Les chevaux de Troie pos-sdent la fonction de rootkit, qui les aide se dissimuler. Quant aux sites de phishing, ils sont hbergs sur des rseaux fast-flux. Les rseaux de zombies restent larme de prdi-lection des cyberpirates, qui en grent un grand nombre. Enfin, les lacunes de scurit continuent jouer un (trop) grand rle dans la diffusion des maliciels, comme la rcemment montr la propagation du ver Conficker.

    29 Pour des informations plus compltes, voir la page suivante du Commissaire fdral allemand la protection des donnes et au droit linformation: http://www.bfdi.bund.de/cln_007/nn_533578/DE/Schwerpunkte/Vorratsdaten/Artikel/Vorratsdatenspeicherung.html (tat au 02.02.2009).30 Texte de loi, voir: http://www.bgblportal.de/BGBL/bgbl1f/bgbl108s3083.pdf; sur le dbat concernant les perqui-sitions en ligne en Allemagne, voir aussi le rapport MELANI 2008/1, chap. 7.1: http://www.melani.admin.ch/dokumentation/00123/00124/01065/index.html?lang=fr (tat au 02.02.2009). 31 Voir lacte normatif: http://www.opsi.gov.uk/si/si2008/uksi_20082503_en_1; voir le Computer Misuse Act: http://www.opsi.gov.uk/acts/acts1990/UKpga_19900018_en_1.htm et le Police and Justice Act: http://www.opsi.gov.uk/Acts/acts2006/ukpga_20060048_en_1 (tat au 02.02.2009). Voir aussi larticle: http://www.theregister.co.uk/2008/09/30/uk_cybercrime_overhaul/ (tat au 02.02.2009).

    http://www.bfdi.bund.de/cln_007/nn_533578/DE/Schwerpunkte/Vorratsdaten/Artikel/Vorratsdatenspeicherung.htmlhttp://www.bgblportal.de/BGBL/bgbl1f/bgbl108s3083.pdfhttp://www.melani.admin.ch/dokumentation/00123/00124/01065/index.html?lang=frhttp://www.opsi.gov.uk/si/si2008/uksi_20082503_en_1http://www.opsi.gov.uk/acts/acts1990/UKpga_19900018_en_1.htmhttp://www.opsi.gov.uk/Acts/acts2006/ukpga_20060048_en_1http://www.theregister.co.uk/2008/09/30/uk_cybercrime_overhaul/

  • Sret de linformation Situation en Suisse et sur le plan international

    En revanche, les structures commerciales des cybercriminels voluent, avec la mise en place progressive dune vritable organisation de services. Aux groupes oprant isolment ont succd des structures en rseau, qui se concentrent sur des tches spcifiques. Les changes dinformation entre ces groupes fonctionnent visiblement merveille. Chaque pi-rate se met en qute dune niche et tente ensuite dcouler son produit sur le march. En-tre-temps, des paquets complets de services sont proposs (

    19/39

    MELANI Rapport semestriel 2008/II

    chapitre 5.2)

    Le problme tant dsormais connu, on pourrait penser que la mise en uvre de contre-mesures soit relativement aise. Des succs ponctuels, comme larrestation dune bande descrocs au e-banking (chapitre 4.4) ou la dsactivation du fournisseur daccs McColo (chapitre 4.2), incitent la confiance. Or en dpit de ces succs, lampleur des dommages causs reste considrable. Car leurs auteurs parviennent toujours sadapter de faon op-timale la nouvelle situation. Si un maillon de la chane cde, le suivant prend la relve afin de combler la lacune au plus vite. A titre dexemple, la dsactivation de McColo na rduit que temporairement les envois de pourriels. Ds la premire semaine de fvrier 2009, ils avaient retrouv leur niveau moyen davant le blocage de cet hbergeur.32 De mme, larrestation de pirates du e-banking na valu la Suisse quun rpit de courte dure. Quatre mois plus tard, un nouveau groupe tentait dj de sy tablir avec une nouvelle famille de chevaux de Troie.

    La rpression officielle pche malheureusement par sa lenteur. Bien souvent, le dbat sur la responsabilit en matire de cyberscurit reste inachev. Selon le contexte et le cas despce, les acteurs responsables seront les autorits de poursuite pnale, les hbergeurs, les bureaux denregistrement de noms de domaine, les exploitants de sites Web ou les inter-nautes eux-mmes. Bien des attaques pourraient tre vites condition de ragir rapide-ment ou si plusieurs de ces parties se concertaient. Il parat donc clair que quiconque pro-pose ou utilise des services Internet porte une part de responsabilit. Mais il est hlas trop frquent de jeter la pierre un tiers, au lieu de tirer les leons qui simposent des incidents et duvrer la mise en place de solutions qui renforcent la scurit dInternet.

    55..22

    Modles commerciaux et services indits: recru-descence de la cybercriminalit en 2009

    Le modle commercial Crimeware-as-a-Service (CaaS)33 a t mis au point lanne der-nire. Grce lui, les pirates sensibiliss aux difficults techniques que posent la gestion des serveurs, linstallation doutils de piratage ou encore la contamination de sites Web ont la possibilit de louer le service dsir. Les donnes (cartes de crdit, donnes daccs des comptes bancaires, serveurs Web, etc.) sacquirent sur des plates-formes spcifiques di-rectement auprs dautres cybercriminels (criminal-to-criminal, C2C). Do diverses possibili-ts denrichissement (transactions financires, revente de donnes ou achat de biens) pour les escrocs. Ce nouveau modle commercial connatra au cours de lanne 200934 un impor-tant essor sous leffet conjugu de divers facteurs, comme la crise conomique ou la diffi-cult de dcouvrir les criminels et de les poursuivre pnalement.

    32 Voir aussi: http://www.eleven.de/de/aktuell/pressemitteilungen/eleven-spam-aufkommen-hat-sich-von-mccolo-abschaltung-erholt-398.html (tat au 02.02.2009). 33 http://www.finjan.com/Pressrelease.aspx?id=1922&PressLan=1819&lan=3 (tat au 03.02.2009). 34 http://www.finjan.com/GetObject.aspx?Objld=641&Openform=50 (tat au 15.01.2009; cette tude nest tl-chargeable que moyennement un enregistrement pralable).

    http://www.eleven.de/de/aktuell/pressemitteilungen/eleven-spam-aufkommen-hat-sich-von-mccolo-abschaltung-erholt-398.htmlhttp://www.eleven.de/de/aktuell/pressemitteilungen/eleven-spam-aufkommen-hat-sich-von-mccolo-abschaltung-erholt-398.htmlhttp://www.finjan.com/Pressrelease.aspx?id=1922&PressLan=1819&lan=3http://www.finjan.com/GetObject.aspx?Objld=641&Openform=50

  • Sret de linformation Situation en Suisse et sur le plan international

    Laccs ce genre dactivits criminelles est-il aussi simple que certaines tudes laffirment? La question revient souvent car comme toute activit illgale, la cybercriminalit merge dans un contexte toujours nouveau et inconnu, pour tromper autant que possible la vigilance des forces de lordre, des chercheurs et des experts en scurit. Lusage pour la communi-cation du protocole IRC (Internet Relay Chat) garantit un certain degr danonymat. Certains serveurs ne disposent que de quelques canaux, alors que dautres en comptent des dizaines de milliers. Les cybercriminels prenant contact de cette manire savent pertinemment quils ne courent gure de risque dtre reconnus. Concrtement, ils vendent leurs services et en achtent des tiers

    20/39

    MELANI Rapport semestriel 2008/II

    35. Or les cybercriminels ont beau offrir un service global aux nophytes, ils ont du mal atteindre ce nouveau public. Dune part, les dbutants rencontrent des pro-blmes techniques lors de lutilisation des canaux IRC, dautre part, la plthore de canaux complique laccs linformation recherche.

    Quoi de mieux quun service bas sur le Web? Le premier service de ce genre tait le site 76service.com36. Les abonns devaient justifier de leur identit, puis pouvaient tlcharger les donnes rcemment drobes par un maliciel du nom de Gozi37. 76service.com a fait des mules: quantit de services similaires se sont mis vendre presque en temps rel les donnes drobes permettant soit daccder des comptes bancaires, soit de falsifier des cartes de crdit38.

    Les modles commerciaux conus par les cybercriminels vont plus loin encore. Non contents de proposer ouvertement leurs services, ils offrent dsormais galement des outils de pira-tage sur des canaux accessibles au grand public, comme des forums ouverts. Quiconque a besoin dun mode demploi des maliciels achets ou dune aide pour les adapter y trouvera le support idal:

    Dans le cas des solutions les plus rpandues et les plus apprcies, comme El Fiesta ou IcePack, les maliciels sont souvent proposs avec les exploits correspondants. Il sagit gn-ralement de copies pirates de ces maliciels. Les dveloppeurs de ces logiciels criminels (crimeware) sont mme parvenus les doter de licences dutilisation exclusives pour prot-ger la proprit intellectuelle de leur travail, comme lindiquait dj le rapport MELANI du premier semestre 200839.

    35 http://www.symantec.com/content/de/de/about/downloads/PressCenter/20081124_UE_Report_Final.pdf (tat: 17.12.2008). 36 http://rbnexploit.blogspot.com/2007/10/rbn-76service-gozi-hangup-team-and-us.html (tat: 02.2009). 37 http://www.secureworks.com/research/threats/gozi/?threat=gozi (tat: 02.2009). 38 http://ddanchev.blogspot.com/2008/12/zeus-crimeware-as-service-going.html39 http://www.melani.admin.ch/dokumentation/00123/00124/01065/index.html?lang=fr (Professionnalisation de la criminalit: lexemple de ZeuS, tat: 12.02.2009).

    http://www.symantec.com/content/de/de/about/downloads/PressCenter/20081124_UE_Report_Final.pdfhttp://rbnexploit.blogspot.com/2007/10/rbn-76service-gozi-hangup-team-and-us.htmlhttp://www.secureworks.com/research/threats/gozi/?threat=gozihttp://ddanchev.blogspot.com/2008/12/zeus-crimeware-as-service-going.htmlhttp://www.melani.admin.ch/dokumentation/00123/00124/01065/index.html?lang=fr

  • Sret de linformation Situation en Suisse et sur le plan international

    21/39

    MELANI Rapport semestriel 2008/II

    Cette offre ne se limite dailleurs pas la vente de maliciels et propose un support technique le tout ntant quune question de prix.

    Au-del de lexternalisation de la cybercriminalit du moins aux personnes possdant les connaissances de base ncessaires , une chose est sre: en priode de crise conomique et vu les difficults inhrentes la poursuite pnale des cybercriminels, la mise disposition des moyens de commettre des crimes sur des canaux librement et facilement accessibles aux internautes donnera cette branche de nouvelles impulsions en 2009.

  • Sret de linformation Situation en Suisse et sur le plan international

    5

    22/39

    MELANI Rapport semestriel 2008/II

    5..33 Gestion des donnes inutiles de la socit de linformation

    La capacit de stockage dinformation des appareils lectroniques augmente constamment. En outre, presque tous les appareils comportent aujourdhui une carte mmoire. Chacun de nous accumule ainsi une quantit croissante de donnes. Do limportance, pour y rem-dier, deffacer les donnes devenues inutiles.

    Bien des gens ignorent toutefois comment effacer correctement leurs donnes. Or quand on donne autrui, par exemple, son appareil photo, son tlphone mobile ou sa cl USB, il est indispensable deffacer les donnes enregistres. Certaines consignes doivent tre respec-tes dans ce contexte et il faut opter pour une procdure adapte au mdia, au besoin de protection des informations et au cas concret.

    Le chapitre 7.1 de lannexe donne des conseils pratiques utiles tant pour les particuliers que pour les entreprises. En rsum: Il ne suffit pas deffacer les donnes, qui pourront tre restaures le cas chant. La mthode deffacement dpend du degr de confidentialit des donnes. Il faut utiliser des outils spciaux de nettoyage (wipe tools). Idalement, les supports optiques de stockage de donnes seront dtruits.

    55..44 Attrait croissant des donnes daccs aux services In-ternet

    Comme le phishing classique ne sutilise plus que ponctuellement en Suisse contre la clien-tle du e-banking, on pourrait supposer que le problme appartient au pass. Or les annon-ces que MELANI et le SCOCI reoivent rgulirement montrent quil nen est rien. Tous les services Internet requirent un nom dutilisateur et un mot de passe. Cela vaut par exemple pour les comptes de messagerie, pour laccs aux serveurs de sites, pour les plates-formes de vente aux enchres ou de trading, ainsi que pour les boutiques en ligne. Ces donnes exciteront lavenir toujours plus la convoitise des cybercriminels. Dautant plus qu la diff-rence des comptes de e-banking, qui prvoient une authentification deux facteurs, la pro-tection offerte se limite gnralement un nom dutilisateur et un mot de passe. En rgle gnrale, les cyberpirates nen veulent pas aux dtenteurs de comptes, qui ne servent que de moyen pour linfraction commettre. Par exemple, ils chercheront usurper une identit, truquer le montant denchres ou placer sur des sites Internet des infections par drive-by download qui leur serviront diffuser des chevaux de Troie. Dans le dernier cas, le phishing sert donc rpandre des maliciels qui sen prendront leur tour aux applications de e-banking. A lavenir, les aspects lis la scurit ne pourront plus tre considrs isolment, mais de-vront tre envisags comme un tout et faire lobjet de mesures de lutte globales. Quiconque utilise ou propose un service en ligne est partie prenante la scurit dInternet. Do la n-cessit de renforcer lavenir cette conscience et la responsabilit qui en dcoule. En parti-culier, les fournisseurs daccs seront toujours plus souvent pris pour cibles par les cyber-criminels.

  • Sret de linformation Situation en Suisse et sur le plan international

    6 Glossaire

    23/39

    MELANI Rapport semestriel 2008/II

    Le prsent glossaire contient tous les termes indiqus en lettres italiques. Un glossaire plus complet est publi ladresse: http://www.melani.admin.ch/glossar/index.html?lang=fr.

    ActiveX Technologie dveloppe par Microsoft pour charger de petits pro-grammes les composants ActiveX lors de laffichage de pages Web sur lordinateur de linternaute, do ils seront ensuite excu-ts. Ils permettent de raliser divers effets ou fonctions. Cette technologie est malheureusement souvent sujette un emploi abusif et reprsente un risque au niveau de la scurit. Par exem-ple, de nombreux "numroteurs" (dialer) sont chargs et excuts sur lordinateur par ActiveX. Le caractre problmatique dActiveX ne concerne que Internet Explorer, car cette technologie nest pas compatible avec les autres navigateurs.

    Agent financier Un agent financier est un intermdiaire lgal effectuant des opra-tions de courtage en devises. Depuis peu, cette notion sutilise aussi propos de transactions financires illgales.

    Attaque DoS Attaque par dni de service (denial of service). Vise rendre im-possible laccs des ressources, ou du moins le restreindre fortement aux utilisateurs.

    Authentification deux facteurs

    Au moins deux des trois facteurs dauthentification sont exigs : un lment que lon connat (p. ex. mot de passe, code PIN, etc.) un lment que lon dtient (p. ex. certificat, jeton, liste biffer, etc.) un lment qui nous est propre (p. ex. empreinte digitale, scanner rtinien, reconnaissance vocale, etc.)

    Bot / Malicious Bot Du terme slave robota, signifiant travail. Programme conu pour excuter, sur commande, certaines actions de manire indpen-dante. Les programmes malveillants (malicious bots) peuvent diri-ger distance les systmes compromis et leur faire excuter tou-tes sortes dactions.

    CA Certificate Authority (autorit de certification)

    Une autorit de certification est une organisation dlivrant des cer-tificats numriques. Un certificat numrique est lquivalent, dans le cyberespace, dune pice didentit et sert attribuer une cl publique spcifique une personne ou organisation. Il porte la si-gnature numrique de lautorit de certification.

    Carte mmoire flash Les cartes mmoire flash sont des puces lectroniques. Elles sutilisent pour stocker linformation dans un minimum despace. Exemples: cls USB, cartes mmoire pour appareils photo num-riques, tlphones portables, stations mobiles de travail, lecteurs MP3.

    ccTLD Country Code Top Level Domain (domain national)

    Chaque nom de domaine est form dune suite de signes, spars par des points. Le domaine de premier niveau (TLD) est toujours

    http://www.melani.admin.ch/glossar/index.html?lang=fr

  • Sret de linformation Situation en Suisse et sur le plan international

    24/39

    situ lextrme droite du nom Internet. Par exemple, dans ladresse http://www.melani.admin.ch, le TLD est ch. Quand il correspond un code de pays, reprsent par des abrviations deux caractres, on parle de domaine national (ccTLD).

    Certificat pour serveur SSL/TLS

    Un certificat numrique est lquivalent, dans le cyberespace, dune pice didentit et sert attribuer une cl publique spcifique une personne ou organisation. Il porte la signature numrique de lautorit de certification.

    Cheval de Troie Les chevaux de Troie sont des programmes qui, de manire lar-ve, excutent des actions prjudiciables tout en se prsentant lutilisateur comme des applications ou des fichiers utiles.

    Defacement Dfiguration de sites Web.

    DNS

    Systme de noms de domaine (Domain Name System).

    Le DNS rend les services Internet plus conviviaux, puisquau lieu de ladresse IP les utilisateurs composent un nom (p. ex. www.melani.admin.ch).

    Exploit Code (Exploit). Programme, script ou ligne de code utilisant les lacunes de systmes informatiques.

    Fast Flux Fast Flux est une technique base sur le protocole DNS dont les rseaux de zombies se servent pour rpartir entre diverses machi-nes htes, et donc dissimuler, des sites de phishing ou renfermant des maliciels. Si un ordinateur cesse de fonctionner, le suivant prend le relais.

    Firewall

    Un pare-feu (firewall) protge les systmes informatiques en sur-veillant et, ventuellement refusant, les connexions entrantes ou sortantes. Un pare-feu personnel (personal firewall ou desktop firewall) est en revanche install pour protger un ordinateur uni-que; il est directement install sur le systme protger, c'est--dire sur votre ordinateur.

    Flash Adobe Flash (sabrgeant Flash, auparavant Macromedia Flash) est un environnement de dveloppement intgr propritaire ser-vant crer des contenus multimdia. Flash semploie aujourdhui sur de nombreux sites Web, dans des bannires publicitaires ou comme fonction dun site, p. ex. comme menu systme. Des sites sont entirement dvelopps laide de Flash.

    Fonction de hachage MD5

    Lalgorithme MD5 (message digest 5) gnre une srie de chiffres de mme longueur, quelle que soit la longueur du texte soumis.

    Les fonctions de hachage semploient dans trois domaines: cryptographie; systmes de banques de donnes. Les fonctions de ha-

    chage permettent deffectuer des recherches efficaces dans une grande masse de donnes.

    sommes de contrle. Chaque fichier reoit une valeur ha-

    MELANI Rapport semestriel 2008/II

    http://www.melani.admin.ch/

  • Sret de linformation Situation en Suisse et sur le plan international

    25/39

    che. Toute modification est un indice de manipulation.

    FTP File Transfer Protocol (FTP)

    File Transfer Protocol est un protocole de transfert de fichiers sur un rseau TCP/IP. Il sutilise par exemple pour charger des pages Web sur un serveur Web.

    ICANN Internet Corporation for Assigned Names and Numbers (ICANN)

    LICANN est une organisation de droit priv but non lucratif dont le sige est Marina del Rey, petite ville ctire de Californie. Elle fixe les standards de base pour la gestion des domaines de pre-mier niveau. Ainsi, lICANN coordonne les aspects techniques dInternet, sans dicter de droit contraignant. Elle est soumise au Ministre amricain du commerce (Department of Commerce) et dpend ce titre du gouvernement amricain.

    Infection par drive-by download

    Infection dun ordinateur par un maliciel, lors de la simple visite dun site Web. Les sites concerns contiennent dans bien des cas des offres srieuses, mais ont t compromis auparavant pour la diffusion de maliciels. Diffrents exploits, tirant parti des lacunes de scurit non combles par le visiteur, sont souvent tests cet effet.

    IRC

    Internet Relay Chat

    Un des premiers protocoles de bavardage en ligne (diffre de linstant messaging).

    Javascript Langage de script bas objet pour le dveloppement dapplications. Les Javascripts sont des lments de programmes intgrs au code HTML qui permettent d'implmenter certaines fonctions dans le navigateur Internet. Un exemple est le contrle des indications saisies par lutilisateur dans un formulaire Web. Il permet de vrifier que tous les caractres introduits dans un champ demandant un numro de tlphone sont effectivement des chiffres. Comme les composants ActiveX, les Javascripts sexcutent sur lordinateur de linternaute. Outre les fonctions uti-les, il est malheureusement possible aussi den programmer de nuisibles. Au contraire dActiveX, le langage JavaScript est compa-tible avec tous les navigateurs.

    Lacunes de scurit

    Erreur inhrente au matriel ou aux logiciels, permettant un pi-rate daccder au systme.

    Malicious Code Programme malveillant. Terme gnrique employ pour tout logi-ciel excutant des fonctions nuisibles sur un ordinateur (comme p.ex. les virus, les vers ou les chevaux de Troie).

    MoneyGram MoneyGram International, Inc. est une entreprise amricaine ayant son sige Minneapolis, qui fournit ses services dans le monde entier sur les marchs financiers. Lexpditeur verse dans une agence un montant en espces que le destinataire retire ensuite dans une autre agence, grce un numro de rfrence unique.

    MELANI Rapport semestriel 2008/II

  • Sret de linformation Situation en Suisse et sur le plan international

    Peering

    26/39

    MELANI Rapport semestriel 2008/II

    Le terme Peering (peer = gal) dsigne un partage de ressources entre deux partenaires locaux (p. ex. fournisseurs daccs) qui ac-ceptent dinterconnecter leurs rseaux IP afin dchanger leur trafic de donnes.

    Phishing (hameon-nage)

    Via l'hameonnage, des pirates tentent daccder aux donnes confidentielles dutilisateurs Internet ne se doutant de rien. Il peut sagir p. ex. dinformations concernant les comptes pour des sou-missionnaires de ventes aux enchres en ligne (p. ex. eBay) ou des donnes daccs pour le e-banking. Les pirates font appel la bonne foi, la crdulit ou la serviabilit de leurs victimes en leur envoyant des courriels avec des adresses dexpditeur falsifies.

    Plug-In, Plugin

    Plugiciel

    Logiciel complmentaire qui tend les fonctions de base d'une ap-plication. Exemple : les plugiciels Acrobat pour navigateurs Internet permettent un affichage direct des fichiers PDF.

    Rseau de zombies

    Rseau dordinateurs infects par des programmes malveillants (bots). Un pirate (le propritaire du rseau de zombies) les contrle compltement distance. Un rseau de zombies peut compter de quelques centaines des millions dordinateurs compromis.

    Rootkit

    Ensemble de programmes et de techniques permettant d'accder sans tre remarqu un ordinateur pour en prendre le contrle.

    Serveur Command & Control

    La plupart des rseaux de zombies reoivent des instructions de leur crateur, qui les surveille par un canal de communication. Le cas chant, on parle de serveur Command & Control (C&C).

    SHA Secure Hash Algorithm (algorithme de hachage scuris)

    Le terme SHA dsigne un groupe de fonctions de hachage stan-dardises utilises en cryptographie. Elles servent au calcul dune valeur de vrification univoque pour toutes sortes de donnes lec-troniques.

    Social Engineering Les attaques de social engineering (subversion psychologique) utilisent la serviabilit, la bonne foi ou linscurit des personnes pour accder par exemple des donnes confidentielles ou conduire la victime excuter certaines actions spcifiques.

    UDP User Datagram Protocol (protocole UDP)

    UDP est un protocole rseau simple, sans connexion, faisant par-tie de la couche de transport de la famille de protocoles Internet. UDP a pour tche de dlivrer lapplication correcte les donnes changes par Internet.

    Ver

    A la diffrence des virus, les vers nont pas besoin de programme hte pour se reproduire. Ils utilisent les lacunes de scurit ou des erreurs de configuration des systmes dexploitation ou des appli-cations, pour se propager dordinateur en ordinateur.

  • Sret de linformation Situation en Suisse et sur le plan international

    Western Union

    27/39

    MELANI Rapport semestriel 2008/II

    Western Union, leader mondial dans le service du transfert dargent, offre la possibilit denvoyer des espces en quelques minutes dans le monde entier, de rgler des factures et dobtenir des instructions de paiement.

    7 Annexe

    77..11

    Effacement complet des donnes dun support num-rique40

    Il est ncessaire de prvoir une procdure bien dfinie deffacement ou de destruction des donnes et de leurs supports, pour viter que des donnes enregistres ne tombent dans les mauvaises mains. Il faut ainsi compltement effacer les donnes avant la rutilisation dun support de donnes, a fortiori sil est remis des tiers.

    Il existe diffrentes mthodes pour effacer les informations figurant sur des supports de don-nes. Le choix de la mthode dpend essentiellement du besoin de protection des donnes effacer, et aussi naturellement du type de support. Les supports de donnes en usage au-jourdhui sont les suivants: supports de stockage magntiques, comme les disques durs, les disquettes, les disques

    amovibles, les disquettes Zip ou les bandes magntiques;

    supports de stockage optiques (p. ex. CD, DVD);

    supports de stockage lectroniques (p. ex. supports ou cartes Flash, comme les cls USB ou les autres cartes ou disques mmoire lectroniques).

    Les conseils et recommandations qui suivent ont trait aux principales mthodes servant effacer et dtruire les supports de donnes:

    Commandes deffacement Les commandes deffacement sont des ordres ou fonctions mis disposition par le systme dexploitation pour effacer des fichiers ou des rpertoires. Lors de leur utilisation, il faut se souvenir quen gnral les informations du fichier ne sont pas effaces mais quelles cessent simplement dapparatre dans la table des matires du support de donnes. Le fichier reste ainsi disponible. Formatage Dans le cas des disques durs, il convient de distinguer entre le formatage physique ou de bas niveau (low level), qui cre de nouvelles pistes et des secteurs sur la surface du disque, et le formatage logique ou de haut niveau (high level), qui relve du systme dexploitation.

    40 Ces instructions sinspirent des documents Sicheres Lschen von Datentrgern https://ssl.bsi.bund.de/gshb/deutsch/m/m02167.htm et Brennpunkt: Minianwendungen sicher nutzen http://www.bsi-fuer-buerger.de/brennpunkt/index.htm de lOffice fdral allemand de la scurit dans la technolo-gie de linformation (BSI).

    https://ssl.bsi.bund.de/gshb/deutsch/m/m02167.htmhttp://www.bsi-fuer-buerger.de/brennpunkt/index.htm

  • Sret de linformation Situation en Suisse et sur le plan international

    Un formatage de haut niveau ne constitue pas une procdure deffacement sre, car il se contente de rinstaller la structure du systme de fichiers.

    28/39

    MELANI Rapport semestriel 2008/II

    Dans le pass, lutilisateur pouvait effectuer un formatage de bas niveau consistant rinitia-liser la structure magntique lmentaire. Dans le cas des disques durs modernes, le fabri-cant est gnralement seul pouvoir le faire. A propos des CD-ROM rinscriptibles (CD-RW), des disquettes ou supports analogues, il faut garder lesprit quun formatage rapide nefface pas les donnes. Do la ncessit dun effacement complet. Ecrasement de fichiers Des logiciels spciaux permettent deffacer compltement et de manire non rcuprable, en les crasant, les donnes stockes sur un disque dur intact. Des caractres dfinis davance ou des chiffres alatoires sont crits par-dessus une ou plusieurs fois. Les supports de don-nes restent ainsi utilisables. Les logiciels en question proposent diffrentes procdures dcriture. Parmi les mthodes connues figurent la procdure de Peter Gutmann41, qui crase les donnes 35 fois avec diffrentes sries de chiffres, mais qui est trs lente. Le standard russe GOST P50739-95 ou lalgorithme amricain DoD 5220.22-M, qui comportent trois passages, sont gnralement suffisants pour un usage priv. Le choix de la procdure dpend en dernier lieu des exigences personnelles en matire de scurit. Parmi les programmes gratuits permettant deffacer les donnes en toute scurit figurent Eraser42, Secure Eraser43 et KillDisk44. Les utilisateurs avancs peuvent aussi utiliser le programme cipher.exe45, intgr Win-dows. Ce programme est disponible sous Windows XP et Vista et efface lors de trois passa-ges les donnes supprimer. La marche suivre de cipher.exe est la suivante: 1. Effacer tous les fichiers figurant dans la corbeille. 2. Aller sur Dmarrer/Excuter et indiquer cmd dans la ligne de commande. La console

    souvre. 3. Indiquer la commande cipher.exe /w:C:\\. En loccurrence, C:\\ dsigne le lecteur net-

    toyer. Le programme ncrase que les domaines de donnes valids, et donc vos fichiers ne seront pas modifis! Appuyer sur .

    4. La procdure lance peut durer un certain temps, en fonction de la taille du disque dur. Remarque: lors de lutilisation de cet outil, il importe de garder lesprit que le contenu des petits fichiers (moins de 4 KB) effacs risquent de ne pas tre crass sils figurent directe-ment dans la table de fichiers principale (master file table, MFT), soit la table des matires du disque dur. cipher.exe nest pas disponible dans Windows XP dition familiale.

    41 http://de.wikipedia.org/wiki/Gutmann-Methode (tat au 02.02.2009). 42 http://www.chip.de/downloads/Eraser-5.8.6a_12994923.html (tat au 02.02.2009). 43 http://www.chip.de/downloads/Secure-Eraser_13008545.html (tat au 02.02.2009). 44 http://www.killdisk.com/ (tat au 02.02.2009). 45 http://support.microsoft.com/kb/315672/en-us/ (tat au 02.02.2009).

    http://de.wikipedia.org/wiki/Gutmann-Methodehttp://www.chip.de/downloads/Eraser-5.8.6a_12994923.htmlhttp://www.chip.de/downloads/Secure-Eraser_13008545.htmlhttp://www.killdisk.com/http://support.microsoft.com/kb/315672/en-us/

  • Sret de linformation Situation en Suisse et sur le plan international

    29/39

    MELANI Rapport semestriel 2008/II

    Destruction physique de supports de donnes En principe, lcrasement des donnes des supports de donnes rinscriptibles, comme cer-tains CD, conduit en effacer compltement le contenu. En thorie, il se pourrait toutefois quil reste des traces permettant de reconstituer les anciennes informations. Do la ncessi-t, en cas de besoin de protection accru, dutiliser un destructeur (shredder), afin de rendre illisibles les informations que renferment les supports de donnes rinscriptibles. Les supports de donnes optiques non rinscriptibles, comme les CD-R, ne peuvent tre effacs, ce qui implique de recourir un destructeur pour rendre illisibles les informations enregistres. Sil savre impossible dcraser les donnes dun disque dur dfectueux, la seule option consiste le dtruire. Il est possible de recourir des dchiqueteurs de disques durs (schredder) ou une procdure thermique comme la combustion ou la fonte. Les cassettes bande magntique peuvent elles aussi faire lobjet dune destruction mcanique ou thermi-que. Destruction de supports de donnes magntiques Des dmagntiseurs (Degausser) permettent deffacer les donnes protger figurant sur des supports magntiques de faon ce que ceux-ci puissent tre rutiliss. De tels appa-reils possdent un puissant champ magntique statique ou alternatif. La destruction seffectue lors de lexposition au champ magntique. Il convient de noter quaprs une telle procdure deffacement, les disques durs et diverses bandes magntiques ne pourront plus tre utiliss parce quoutre les donnes enregistres, les pistes dasservissement servant guider la tte dcriture ou de lecture sont effaces. Supports amovibles de stockage de donnes, appareils photo, tlphones portables, etc. Les tlphones portables et les appareils photo mritent une attention spciale. Leur dure de vie est courte et ils sont gnralement ensuite rutiliss par des tiers ou revendus. En outre, de tels mdias contiennent des informations hautement confidentielles que lon ne communique pas volontiers des tiers, comme des photos personnelles ou des numros de tlphone. De tels mdias sont gnralement raccords par une prise USB lordinateur, o ils saffichent comme lecteurs. Do la possibilit dcraser leurs donnes avec les outils deffacement susmentionns. Si lappareil ne peut tre raccord lordinateur, la seule solu-tion consiste le dtruire physiquement.

    La mthode deffacement dpend du degr de confidentialit des donnes. Il ne suffit pas deffacer les donnes. Les donnes peuvent tre facilement restaures. Il faut utiliser des outils spciaux de nettoyage (wipe tools). Idalement, les supports optiques de stockage de donnes seront dtruits.

  • Sret de linformation Situation en Suisse et sur le plan international

    30/39

    77..22 Dsactivation de la fonction AutoRun dans Windows

    La fonction AutoRun a pour effet, lors du branchement ou de linsertion dun support amovi-ble de stockage de donnes, de dclencher certaines actions prdfinies. Ces fonctions peuvent tre la lecture automatique ou le lancement dun menu contextuel. La lecture auto-matique consiste analyser le fichier Autorun.inf du mdia. Ce fichier dtermine les commandes que le systme devra excuter. De nombreuses entreprises utilisent cette fonc-tion pour lancer des programmes dinstallation.

    Action typique lors du branchement dune cl USB La fonction AutoRun de Windows comporte des risques. En effet, toujours plus de maliciels utilisent des mdias Flash comme vecteur de diffusion. La fonction AutoRun joue ici un rle central. Sa dsactivation constitue donc un important gain de scurit. Malheureusement, il nest pas tout simple de bloquer cette fonction, car il faut entrer dans la base de registre Windows. Les instructions qui suivent expliquent la marche suivre. IMPORTANT: La dsactivation des fonctions AutoRun ncessite linstallation pralable dune mise jour de Microsoft Windows, qui ne seffectue pas automatiquement46.

    Mise jour pour Windows XP (KB950582) http://www.microsoft.com/downloads/details.aspx?FamilyId=CC4FB38C-579B-40F7-89C4-1721D7B8DAA5&displaylang=frMise jour pour Windows Server 2003 pour les systmes Itanium (KB950582) http://www.microsoft.com/downloads/details.aspx?FamilyId=5795F63E-1FD9-4A13-9650-1015E14B6D11&displaylang=frMise jour pour Windows Server 2003 dition x64 (KB950582) http://www.microsoft.com/downloads/details.aspx?FamilyId=E8507286-CDF8-4BCB-AFC5-9734FE772C53&displaylang=frMise jour pour Windows Server 2003 (KB950582)

    46 Toutes les informations figurent sous http://support.microsoft.com/kb/953252/fr (tat au 02.02.2009).

    MELANI Rapport semestriel 2008/II

    http://www.microsoft.com/downloads/details.aspx?FamilyId=CC4FB38C-579B-40F7-89C4-1721D7B8DAA5&displaylang=frhttp://www.microsoft.com/downloads/details.aspx?FamilyId=CC4FB38C-579B-40F7-89C4-1721D7B8DAA5&displaylang=frhttp://www.microsoft.com/downloads/details.aspx?FamilyId=5795F63E-1FD9-4A13-9650-1015E14B