SlideShare une entreprise Scribd logo
1  sur  42
Télécharger pour lire hors ligne
François Sopin, Consultant SSI
ADACIS




     Présentation CLUSIR Aquitaine




                                     vendredi 30/11/2012
     Définitions
      Constat
      Criminologie
      Victimologie
      Produits, services et SAV
      Communication
      Solutions ?
      Conclusion
      Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   2
   Définition de la cybercriminalité :
    « Ensemble des infractions pénales commises sur les réseaux de
    télécommunication, en particulier Internet » (Larousse)
   Compte tenu des article 323-x du Code Pénal, de nombreuses
    catégories d’attaquants sont concernées par cette définition :
          ▪   Organisations cybercriminelles dont l’objectif est purement financier …
          ▪   … mais aussi organisations dont la motivation est éthique (Anonymous) …
          ▪   … les organisations terroristes et enfin …
          ▪   … que dire des gouvernements ? (voir par ex. le piratage de l’Elysée).

   Nous parlerons ici principalement de la première catégorie …

François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   3
     Définitions
      Constat
      Criminologie
      Victimologie
      Produits, services et SAV
      Communication
      Solutions ?
      Conclusion
      Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   4
Slide 5




     les chiffres
                                                                                                               Kaspersky Lab a
                                                                                                             estimé que 60% des
                                                                                                             contenus malveillants
                                                                                                               étaient hébergés
                                                                                                                dans trois pays
                                                                                                              principalement : la
                                                                                                              Russie, les USA et
         Source
                                                                                                                 les Pays-Bas.


     Augmentation sensible du coût de la cybercriminalité pour
      l’économie mondiale … (110 milliards $ en 2011 selon Norton
      voir même jusqu’à 750millards d’€ rien que pour l’Europe selon
      Interpol)
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.       5
Slide 6




     les chiffres

           Les banques américaines ont perdu 900 millions de dollars suite à
            des vols classiques en 2011 ….

           …. Et 12 milliards $ du fait des cyberattaques !

           Israël est la cible de 1000 cyberattaques chaque minute !

           Les chiffres varient … une chose est sûre : le cybercrime
            coûte cher !


François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.       6
Slide 7




     Au niveau juridique …

       Pas de lois universelles sur l’Internet

       Problèmes des juridictions
        ▪ Un attaquant d’un pays W utilise des serveurs malveillants dans plusieurs
          pays X et Y et cible des victime dans un pays Z

       Problèmes des vides juridiques
        ▪ Pays comme l’Algérie n’ont aucune règlementation réelle en la matière

       Démarches lentes et complexes (quand elles aboutissent…)
        ▪ Débranchement de l’hébergeur Bulletproof McColo (San José) crée par
          « Kolya McColo », sur le sol américain a pris 4 mois … mais a fonctionné
          notamment grâce au travail de Brian Krebs (Washington Post).

François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.       7
Slide 8




     Effet du démantèlement de McColo sur le
      SPAM mondial




                                                             http://en.wikipedia.org/wiki/McColo


François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
     Définitions
      Constat
      Criminologie
      Victimologie
      Produits, services et SAV
      Communication
      Solutions ?
      Conclusion
      Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   9
Etat de la menace :
Quels profils d’attaquants ? Quelles motivations ?
Autrefois, les pirates étaient des personnes isolées (ex : Ver Morris en 1988),
amateurs, qui recherchaient principalement la notoriété ou la vengeance en
développant des preuves de concept (script kiddies),

Aujourd’hui,    il s’agit de véritables organisations cybercriminelles
professionnelles (Russian Business Network etc.), servant leurs propres objectifs
(financiers, éthiques comme LulzSec ou Anonymous etc.). Elles travaillent
comme des MAFIAS sans forcément avoir de liens directs avec elles.

Certains estiment que la Russie et les pays voisins sont les pays les plus
dangereux en termes de cybercrime … car ils seraient à l’origine de 60% des
infections par contenu malveillant -- Effet de la pénurie d’emploi et de la crise
financière ? --
 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   10
Etat de la menace :
Quels profils d’attaquants ?




Présentation de François Paget, McAfee, CLUSIF 2009
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   11
Etat de la menace :
Quels profils d’attaquants ? Quelles motivations ?

       … mais peut-être aussi ceux de gouvernements ! (ex : incident
           Russie/Estonie, la NSA, opération Aurora, virus
           Stuxnet/Duqu/Flame etc.)  on parle de Guerre de
           l’Information ou GI et de Lutte Informatique Offensive ou
           LIO,

       Le gouvernement français précise dans le Livre blanc sur la
           défense et la sécurité nationale le renforcement des moyens de
           lutte,

                                     Tous n’ont pas les mêmes moyens
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
Etat de la menace :
Quels profils d’attaquants ? Quelles motivations ?

                                                                                                   http://blog.zoller.lu/




                  http://blog.zoller.lu/


 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   13
     Définitions
      Constat
      Criminologie
      Victimologie
      Produits, services et SAV
      Communication
      Solutions ?
      Conclusion
      Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   14
 Certaines attaques ne sont généralement* pas ciblées :
       Scan en masse de plages IP « au hasard » sur l’Internet avec des outils classiques comme scanners
        de ports et/ou de vulnérabilités à la recherche de cibles vulnérables (beaucoup de discussions
        autour des attaques WEB type injections SQL, failles des CMS etc. et des logiciels tierces type
        Adobe Flash/Reader ou Java),
       Envoi de mails en masse pour les attaques de type Phishing.
       Chaque attaque réalisée à grande échelle connaît un certain taux de succès (Pierre Caron,
        MISCMag)

 Quand d’autres le sont beaucoup plus …                                                                             * Quoique possible de choisir
                                                                                                                        ces cibles avec les kits
                                                                                                                        d’exploits par ex.
       Par exemple le chantage au déni de service distribué
       Botnets Bankers type Zeus, SpyEeye

 L’objectif : avoir un retour sur investissement important et
     rapidement (donc les techniques d’attaques ne sont généralement
     pas très sophistiquées, on ne parle pas d’APT voir même de 0days)

 Tout le monde est concerné !
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   15
     Définitions
      Constat
      Criminologie
      Victimologie
      Produits, services et SAV
      Communication
      Solutions ?
      Conclusion
      Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   16
Etat de la menace :
Quels services disponibles ?

 Réseaux sous-terrain C2C composés de forums et de chan IRC (RBN,CBN etc.) sur
     lesquels sont commercialisés différents « produits » et « services » :
             Carding (vente de données carte bancaire)
             Nuisibles                                       * exploit : code utilisé pour exploiter une vulnérabilité
             Pack d’exploits* type Firepack, Icepack etc.
             Vente d’identités réelles ou virtuelles (ex: jeux vidéos comme Diablo III, Facebook),
             Fraude au clic
             Kit de Phishing,
             Location de Botnets,
             Warez : contrefaçons de logiciels et films (avec une forte proportion pour le pornographique)
             Services d’anonymisation
             Etc.

     Entreprises spécialisées :
           Hébergement d’activités malveillantes « BULLETPROOF » (Bot Herders, relais de spam, sites
            compromis …), par ex McColo et Troyak.org (25% C&C Zeus),
           Vente de faux produits (scarewares etc.) ou compromis (produits légitimes qui embarquent
            d’autres produits type spywares etc.
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   17
 Les tarifs selon Undernews
    ▪   Chiffreur standard (Pour cacher du code malicieux dans un fichier inoffensif): $10-$30
    ▪   Bot SOCKS (Pour contourner les firewalls): $100
    ▪   Une attaque DDoS : $30-$70 pour la journée, $1,200 pour le mois
    ▪   Spam Email : $10 par tranche de 1 million d’emails
    ▪   Spam email en utilisant une base client : $50-$500 par tranche de 1 million d’emails
    ▪   Spam par SMS spam: $3-$150 pour 100 à 100 000 messages.
    ▪   Bots pour un botnet: $200 pour 2 000 bots
    ▪   Botnet DDoS : $700
    ▪   Code source du célèbre ZeuS : $200-$500
    ▪   Rootkit pour Windows (pour installer des drivers vérolés): $292
    ▪   Piratage de compte Facebook ou Twitter : $130
    ▪   Piratage de compte Gmail : $162
    ▪   Piratage de boite mail pro : $500
    ▪   Scans de vrais passeports : $5 pièce
    ▪   Ransomeware (logiciel qui verrouille l’accès à vos fichiers et qui demande une rançon pour les libérer) : $10-20
    ▪   Pack d’exploits non ciblés : $25
    ▪   Pack d’exploits ciblés : $10-$3000
    ▪   Trafic web : $7-$15 pour 1 000 visiteurs en provenance des États-Unis et d’Europe.


 Moralité : on peut pratiquement tout acheter sur les réseaux alternatifs ….
 Autre constat : l’attaquant n’est pas obligé d’être un expert en informatique

François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   18
 Autre exemple :

            Ces prix varient … En effet, selon Krebs, la société Group-IB a
             découvert un nouvel exploit fonctionnel sous Adobe Reader 10 et
             11 et qui serait vendus sur les réseaux sous-terrains pour 50,000$ !!
             (en même temps l’exploit fonctionnerait avec Javascript désactivé
             + Enhanced Mode Security Actif) ..
            Même peut-être jusqu’à 100k$ pour un exploit sur Java !

      C’est quand même plus intéressant que les bug bounty ?? Ci-après les
          chiffres issus du blog Exploitability :
          ▪ 500$ pour facebook
          ▪ de 500$ à 3000$ pour firefox
          ▪ de 500$ à 3133.7$ pour Google
          ▪ de 500$ à 3133.7$ pour Barracuda Networks
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   19
 Phénomène de SPECIALISATION des attaquants : chacun
participe à un écosystème global sans forcément en maîtriser la
totalité.
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   20
La spécialisation illustrée
                                                                                                                   Machine infectée
                                                                                                                    Ex:Conficker



                                                                                                             Bot


                                                                                                                         Infectée




                                                                                                                 Bot


                                                                                              Infectée


                                                                                                         Bot




 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   21
Exploits Kits : Automatisation des attaques
                                                                                                                      Constat : évolution des
                                                                                                                       Exploits depuis 2006.

                                                                                                                          Détournement de
                                                                                                                          Windows vers des
                                                                                                                        logiciels tiers comme
                                                                                                                        Flash, Adobe Reader
                                                                                                                                et Java

                                                                                                                        Marché lucratif pour
                                                                                                                        les 0-days ! (même si
                                                                                                                           la majorité des
                                                                                                                       attaques n’en utilisent
                                                                                                                                pas)


François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   22
Exploits Kits : Automatisation des attaques
                                                                                                                          L’exploit Kit est
                                                                                                                       déployé sur un serveur
                                                                                                                        Web (généralement
                                                                                                                         chez un hébergeur
                                                                                                                       « BulletProof » ou sur
                                                                                                                             un serveur
                                                                                                                            compromis)

                                                                                                                          Il fonctionne de
                                                                                                                         manière autonome.

                                                                                                                          Les victimes s’y
                                                                                                                       connectent suite à une
                                                                                                                        attaque drive-by-dl,
    Le kit embarque une interface de pilotage intuitive qui                                                             attaques iframes ou
      permet par exemple de sélectionner des cibles en                                                                   encore Black-Seo.
          fonction de leur provenance géographique.
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   23
Botnets : attaques DDOS / réplication / SPAM / Vols de données / fraude
au clic / etc.

Plusieurs types : utilisation par le « owner », location, vente des bot codes (ex: Zeus)

En chiffres (wikipedia) :




Concerne aussi les mobiles ! (voir présentation Summercon Jon Oberheide 2010)
  François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   24
Botnets

En chiffres (Krebs, Kaspersky)




 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   25
Botnets : attaques DDOS et extorsion de fonds

                                                                                                   Offre de location de botnet

                                                                                             Constat : le prix est très faible, 120$
                                                                                                      pour une journée



                                                                                             Exemple de chantage au DDOS
                                                                                                     http://www.net-
                                                                                           security.org/secworld.php?id=11174
                                                                                                            Ou
                                                                                          Paul Ferguson et l’affaire de la Banque
                                                                                                       Estonienne


François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   26
Carding : vente de carte bancaire


• Phénomène d’industrialisation du processus de vente (plus besoin
d’être en relation directe avec le vendeur),

• Touche de nombreux pays, dont la France,
                                                                                                                                  CERT XMCO
• Méthodes de compromission multiples :

-Intrusions
-Bankers
-Skimming
-Etc.
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   27
Carding : vente de n° de carte bancaire                                                                      skimming




                                                                                                        Imprimante MSR206




 Intrusions : exemple de Sony pour le vol de
  données CB                                                                                                   Source : Krebs
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   28
Hébergement bulletproof

Aujourd’hui, les malwares ne sont plus diffusés en pièces jointes de mails …
il faut donc pouvoir les stocker/héberger quelque part!

Une solution : les hébergeurs Bulletproof (autre solution -> machines compromises mais
moins fiable)

Hébergeurs plus ou moins laxistes et regardants sur les requêtes des autorités judiciaires.

Généralement, plus cher que de l’hébergement classique

Différent des hébergeurs actifs : les hébergeurs n’agissent pas pour eux-mêmes mais
pour leurs clients

 C’est le cas du Russian Business Network, démantelé suite au travail notamment de
David Bizeul (CERT Société Générale)
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   29
Hébergement bulletproof




                                                       http://hostexploit.com/




                                                                                                               Source : Krebs
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   30
Les autres :

Malwares et rogue softwares
    Croissance continue (15K nouveaux malwares répertoriés par
     Kaspersky sur le T2 2012)
    Utilisation du mécanisme d’affiliation : acquisition d’un malware par
     une personne X et campagne d’infection lancée par des « affiliés »
     rémunérés en fonction du nombre de machines compromises. Très
     difficile à contrôler la rémunération étant basée sur le volume.

Vol d’identité (virtuelle ou réelle)
SPAM
Phishing
Mule-as-a-service
Etc.
 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   31
     Définitions
      Constat
      Criminologie
      Victimologie
      Produits, services et SAV
      Communication
      Solutions ?
      Conclusion
      Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   32
 Les relations entre groupes cybercriminels
       ▪ Communication
            ▪ Avec des forums
            ▪ Par IRC
            ▪ Service Après Vente via un n° ICQ


       ▪ Transfert de compétences
            ▪ Rédaction de tutoriels
            ▪ Aide en ligne (beaucoup de questions actuellement sur les SQLi)
            ▪ Sur un forum, l’attitude est la méfiance permanente : un membre actif qui
              aide les « nouveaux venus » verra son profil monter en crédibilité et il
              pourra ainsi accéder à des forums plus « intéressants » (accessibles sur
              invitation seulement)
               Ex de UpLevel, développeur de Zeus connus pour ses défauts de
                paiement
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   33
     Définitions
      Constat
      Criminologie
      Victimologie
      Produits, services et SAV
      Communication
      Solutions ?
      Conclusion
      Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   34
    Coopération entre autorités et ISP/IXP (échangeurs)
      « Débranchement » de DNS Changer par le FBI …. Après l’arrestation de 6
           personnes en Estonie.

    Travail des CERT
      Etude des menaces, travail d’alertes


    Sensibilisation et éducation du public (Long Run)

    Problème : la plupart des initiatives sont d’ordre privé
      Exemple de McColo, RBN, Atrivo


    Renforcement du dispositif juridique ?
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   35
     Définitions
      Constat
      Criminologie
      Victimologie
      Produits, services et SAV
      Communication
      Solutions ?
      Conclusion
      Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   36
     Nous vivons dans un monde dangereux …

     Le cybercrime                                             augmente                                 et             surtout                         se
      professionalise

     Tout le monde est concerné, administrations,
      entreprise, particuliers

     Moralité : faites de la veille, sensibilisez et prenez
      le en compte dans vos analyses de risques … 

François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   37
   Problématique soulevée par Jart Armin (suite au
    démantèlement d’Atrivo) et reprise par Gabriel Campana, MISC
    Magazine 41 :


                    « Soit les acteurs de l’Internet seront capables de
     s’autoréguler ; soit un renforcement du contrôle par les Etats
      sur Internet est à prévoir, pour le meilleur ou pour le pire ».




François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   38
     Merci de votre attention.

     Des questions ?




                                       http://www.clusir-aquitaine.fr/

François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   39
     Définitions
      Constat
      Criminologie
      Victimologie
      Produits, services et SAV
      Communication
      Solutions ?
      Conclusion
      Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   40
     Ressources principales utilisées pour cette présentation :

            Panoramas de la cybercriminalité, CLUSIF
            Blog de Brian Krebs
            MISC Magazine n°41
            Etude Russian Underground, Trend Micro 2012
            Sex, Lies and Cybercrime Surveys, Microsoft
            Undernews
            Net-Security.org
            Blog de Thierry Zoller
            Blog de Cédric Blancher « Sid »
            Blog Dancho Danchev
            Blog Pseudonyme
            Blog Exploitability
            Analyse du RBN par David Bizeul (CERT Société Générale)
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.   41
   Outils de travail :

     Malware Domain List
     Robtex
     Domaintools.com
     PhishTank
     SpamHaus
     ShadowServer

Contenu connexe

Tendances

La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTGOTIC CI
 
Mtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMCMtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMCM-Paloma
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTechnologies
 
Omc201409
Omc201409Omc201409
Omc201409tfares1
 
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierSymposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierOPcyberland
 
Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?GOTIC CI
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfensencaproni
 
Etat des lieux et analyse comparée des statistiques de la cybercriminalité en...
Etat des lieux et analyse comparée des statistiques de la cybercriminalité en...Etat des lieux et analyse comparée des statistiques de la cybercriminalité en...
Etat des lieux et analyse comparée des statistiques de la cybercriminalité en...molastik
 
Focus sur la Cybersécurité informatique avec Arrowsoft
Focus sur la Cybersécurité informatique avec ArrowsoftFocus sur la Cybersécurité informatique avec Arrowsoft
Focus sur la Cybersécurité informatique avec Arrowsoftpolenumerique33
 
Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.meryam benboubker
 
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueCybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueFrancois-Xavier DJIMGOU
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISNet4All
 
PRISM: les règles élémentaires de prudence pour nos entreprises
PRISM: les règles élémentaires de prudence pour nos entreprisesPRISM: les règles élémentaires de prudence pour nos entreprises
PRISM: les règles élémentaires de prudence pour nos entreprisesVINCIT SPRL - STRATEGY
 
Formation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevensFormation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevenslecointe666
 
2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence ArtificiellePersonal Interactor
 
Introduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsIntroduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsRomain Willmann
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueAntoine Vigneron
 

Tendances (20)

La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERTLa lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
La lutte contre la cybercriminalite : Responsabilite et role du CI-CERT
 
Mtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMCMtn 21 ycd cybercriminalite by TLMC
Mtn 21 ycd cybercriminalite by TLMC
 
EuraTech Trends : la Cybersecurite
EuraTech Trends : la CybersecuriteEuraTech Trends : la Cybersecurite
EuraTech Trends : la Cybersecurite
 
Omc201409
Omc201409Omc201409
Omc201409
 
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang LinzeCTO Cybersecurity Forum 2013 Michel Tchonang Linze
CTO Cybersecurity Forum 2013 Michel Tchonang Linze
 
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry BerthierSymposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
Symposium Recherche - Réserve Citoyenne Cyberdéfense 2014 - Thierry Berthier
 
Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?Sécurisation des données bancaires : Quelles garanties pour les clients ?
Sécurisation des données bancaires : Quelles garanties pour les clients ?
 
L'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfenseL'année 2014 de la cyberdéfense
L'année 2014 de la cyberdéfense
 
Etat des lieux et analyse comparée des statistiques de la cybercriminalité en...
Etat des lieux et analyse comparée des statistiques de la cybercriminalité en...Etat des lieux et analyse comparée des statistiques de la cybercriminalité en...
Etat des lieux et analyse comparée des statistiques de la cybercriminalité en...
 
Focus sur la Cybersécurité informatique avec Arrowsoft
Focus sur la Cybersécurité informatique avec ArrowsoftFocus sur la Cybersécurité informatique avec Arrowsoft
Focus sur la Cybersécurité informatique avec Arrowsoft
 
Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.Cybercriminalité, défi incontournable de l'entreprise moderne.
Cybercriminalité, défi incontournable de l'entreprise moderne.
 
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en AfriqueCybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
Cybersécurité et Cyberdéfense: Etat des lieux et perspective en Afrique
 
Les leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagnéLes leçons en cybersécurité – pas encore gagné
Les leçons en cybersécurité – pas encore gagné
 
Apercu
ApercuApercu
Apercu
 
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSISÉtat des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
État des lieux de la sécurité en Suisse - Enrico Viganò, CLUSIS
 
PRISM: les règles élémentaires de prudence pour nos entreprises
PRISM: les règles élémentaires de prudence pour nos entreprisesPRISM: les règles élémentaires de prudence pour nos entreprises
PRISM: les règles élémentaires de prudence pour nos entreprises
 
Formation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevensFormation cybercriminalite-alain-stevens
Formation cybercriminalite-alain-stevens
 
2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle2019 Cybersécurité et Intelligence Artificielle
2019 Cybersécurité et Intelligence Artificielle
 
Introduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisationsIntroduction à la cybersécurité des organisations
Introduction à la cybersécurité des organisations
 
Le risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridiqueLe risque informatique et sa dimension juridique
Le risque informatique et sa dimension juridique
 

En vedette

Exercicecorrigannalytique 111014125342-phpapp01(1)
Exercicecorrigannalytique 111014125342-phpapp01(1)Exercicecorrigannalytique 111014125342-phpapp01(1)
Exercicecorrigannalytique 111014125342-phpapp01(1)Moh BiaNco
 
"Vision2020". Défis climatiques, nouveaux enjeux électriques
"Vision2020". Défis climatiques, nouveaux enjeux électriques"Vision2020". Défis climatiques, nouveaux enjeux électriques
"Vision2020". Défis climatiques, nouveaux enjeux électriquesUnion Francaise de l'Electricite
 
Emprender en Barcelona (para extranjeros)
Emprender en Barcelona (para extranjeros)Emprender en Barcelona (para extranjeros)
Emprender en Barcelona (para extranjeros)Núria Escudé
 
Enjeux du stockage de l'energie à la Réunion - Le maillon essentiel pour parv...
Enjeux du stockage de l'energie à la Réunion - Le maillon essentiel pour parv...Enjeux du stockage de l'energie à la Réunion - Le maillon essentiel pour parv...
Enjeux du stockage de l'energie à la Réunion - Le maillon essentiel pour parv...GIP GERRI
 
Questionnaire results
Questionnaire resultsQuestionnaire results
Questionnaire resultsabsallen
 
La Incorporación de las Nuevas Tecnologías en la Enseñanza
La Incorporación de las Nuevas Tecnologías en la EnseñanzaLa Incorporación de las Nuevas Tecnologías en la Enseñanza
La Incorporación de las Nuevas Tecnologías en la EnseñanzaDaniel Cabrera
 
Actividad 6
Actividad 6Actividad 6
Actividad 6paiioz
 
Synthèse des ateliers des Rencontres Scientifiques sur les nouvelles energies
Synthèse des ateliers des Rencontres Scientifiques sur les nouvelles energiesSynthèse des ateliers des Rencontres Scientifiques sur les nouvelles energies
Synthèse des ateliers des Rencontres Scientifiques sur les nouvelles energiesGIP GERRI
 
Comprendre la guerre froide
Comprendre la guerre froideComprendre la guerre froide
Comprendre la guerre froidetgaloisy
 
Práctica tema 6
Práctica tema 6Práctica tema 6
Práctica tema 6pacozamora1
 
Les perspectives de la curation de contenu dans le Web 2.0
Les perspectives de la curation de contenu dans le Web 2.0Les perspectives de la curation de contenu dans le Web 2.0
Les perspectives de la curation de contenu dans le Web 2.0David Wise
 

En vedette (20)

Exercicecorrigannalytique 111014125342-phpapp01(1)
Exercicecorrigannalytique 111014125342-phpapp01(1)Exercicecorrigannalytique 111014125342-phpapp01(1)
Exercicecorrigannalytique 111014125342-phpapp01(1)
 
"Vision2020". Défis climatiques, nouveaux enjeux électriques
"Vision2020". Défis climatiques, nouveaux enjeux électriques"Vision2020". Défis climatiques, nouveaux enjeux électriques
"Vision2020". Défis climatiques, nouveaux enjeux électriques
 
Test3
Test3Test3
Test3
 
Emprender en Barcelona (para extranjeros)
Emprender en Barcelona (para extranjeros)Emprender en Barcelona (para extranjeros)
Emprender en Barcelona (para extranjeros)
 
Redes sociales
Redes socialesRedes sociales
Redes sociales
 
Redes sociales
Redes socialesRedes sociales
Redes sociales
 
2012 01-01 leccionintermediarios
2012 01-01 leccionintermediarios2012 01-01 leccionintermediarios
2012 01-01 leccionintermediarios
 
Enjeux du stockage de l'energie à la Réunion - Le maillon essentiel pour parv...
Enjeux du stockage de l'energie à la Réunion - Le maillon essentiel pour parv...Enjeux du stockage de l'energie à la Réunion - Le maillon essentiel pour parv...
Enjeux du stockage de l'energie à la Réunion - Le maillon essentiel pour parv...
 
Questionnaire results
Questionnaire resultsQuestionnaire results
Questionnaire results
 
La Incorporación de las Nuevas Tecnologías en la Enseñanza
La Incorporación de las Nuevas Tecnologías en la EnseñanzaLa Incorporación de las Nuevas Tecnologías en la Enseñanza
La Incorporación de las Nuevas Tecnologías en la Enseñanza
 
Actividad 6
Actividad 6Actividad 6
Actividad 6
 
Synthèse des ateliers des Rencontres Scientifiques sur les nouvelles energies
Synthèse des ateliers des Rencontres Scientifiques sur les nouvelles energiesSynthèse des ateliers des Rencontres Scientifiques sur les nouvelles energies
Synthèse des ateliers des Rencontres Scientifiques sur les nouvelles energies
 
Comprendre la guerre froide
Comprendre la guerre froideComprendre la guerre froide
Comprendre la guerre froide
 
Escola publica
Escola publicaEscola publica
Escola publica
 
Youthclubs
YouthclubsYouthclubs
Youthclubs
 
Glosario
GlosarioGlosario
Glosario
 
Microrealtos
MicrorealtosMicrorealtos
Microrealtos
 
Escuela sabatica leccion 11
Escuela sabatica leccion 11Escuela sabatica leccion 11
Escuela sabatica leccion 11
 
Práctica tema 6
Práctica tema 6Práctica tema 6
Práctica tema 6
 
Les perspectives de la curation de contenu dans le Web 2.0
Les perspectives de la curation de contenu dans le Web 2.0Les perspectives de la curation de contenu dans le Web 2.0
Les perspectives de la curation de contenu dans le Web 2.0
 

Similaire à Adacis clusira cybercriminalité_2012

Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureNRC
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Technologia Formation
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016PRONETIS
 
Les premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaqueLes premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaqueJohan Moreau
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019OPcyberland
 
Webschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entrepriseWebschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entreprisemariejura
 
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...WarRam
 
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote   IA et sécurité numérique - 15 novembre 2018 - Ecole PolytechniqueAristote   IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole PolytechniqueOPcyberland
 
AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013Abdeljalil AGNAOU
 
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Janvi...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Janvi...War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Janvi...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Janvi...WarRam
 
Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Laetitia Berché
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SIJean-Michel Tyszka
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entrepriseCOMPETITIC
 
20190425 balladoradio sarah_achard
20190425 balladoradio sarah_achard20190425 balladoradio sarah_achard
20190425 balladoradio sarah_achardSarah A.
 

Similaire à Adacis clusira cybercriminalité_2012 (20)

Rapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-SecureRapport des menaces en 2015 par F-Secure
Rapport des menaces en 2015 par F-Secure
 
AMAN - APT 2016
AMAN - APT 2016AMAN - APT 2016
AMAN - APT 2016
 
L’hiver de la cybersécurité ne vient plus…
L’hiver de la cybersécurité ne vient plus…L’hiver de la cybersécurité ne vient plus…
L’hiver de la cybersécurité ne vient plus…
 
Jeu d’espions - le NSA s’est fait pirater
Jeu d’espions - le NSA s’est fait piraterJeu d’espions - le NSA s’est fait pirater
Jeu d’espions - le NSA s’est fait pirater
 
Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]Cybersécurité : les règles à appliquer [Webinaire]
Cybersécurité : les règles à appliquer [Webinaire]
 
Introduction cyber securite 2016
Introduction cyber securite 2016Introduction cyber securite 2016
Introduction cyber securite 2016
 
Espionnage Sur Le Net 2005 2
Espionnage Sur Le Net 2005 2Espionnage Sur Le Net 2005 2
Espionnage Sur Le Net 2005 2
 
Les premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaqueLes premières minutes d’une cyberattaque
Les premières minutes d’une cyberattaque
 
Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019Nouveaux risques cyber - 4 décembre 2019
Nouveaux risques cyber - 4 décembre 2019
 
Webschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entrepriseWebschool du Jura - Cybercriminalité en entreprise
Webschool du Jura - Cybercriminalité en entreprise
 
La cible humaine derrière la machine @ITrustBlog
La cible humaine derrière la machine @ITrustBlogLa cible humaine derrière la machine @ITrustBlog
La cible humaine derrière la machine @ITrustBlog
 
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Mars ...
 
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote   IA et sécurité numérique - 15 novembre 2018 - Ecole PolytechniqueAristote   IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
Aristote IA et sécurité numérique - 15 novembre 2018 - Ecole Polytechnique
 
AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013AMAN CC Sécurité Numérique mobile 31 Mai 2013
AMAN CC Sécurité Numérique mobile 31 Mai 2013
 
Les Pirates 2005 2
Les Pirates 2005 2Les Pirates 2005 2
Les Pirates 2005 2
 
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Janvi...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Janvi...War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Janvi...
War Ram - Lettre d'information sur le cyberespace et la cybersécurité - Janvi...
 
Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016Dossier de presse - Assises de la Sécurité 2016
Dossier de presse - Assises de la Sécurité 2016
 
Introduction à la sécurité des SI
Introduction à la sécurité des SIIntroduction à la sécurité des SI
Introduction à la sécurité des SI
 
Competitic securite données - numerique en entreprise
Competitic   securite données - numerique en entrepriseCompetitic   securite données - numerique en entreprise
Competitic securite données - numerique en entreprise
 
20190425 balladoradio sarah_achard
20190425 balladoradio sarah_achard20190425 balladoradio sarah_achard
20190425 balladoradio sarah_achard
 

Adacis clusira cybercriminalité_2012

  • 1. François Sopin, Consultant SSI ADACIS Présentation CLUSIR Aquitaine vendredi 30/11/2012
  • 2. Définitions  Constat  Criminologie  Victimologie  Produits, services et SAV  Communication  Solutions ?  Conclusion  Annexe : ressources François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 2
  • 3. Définition de la cybercriminalité : « Ensemble des infractions pénales commises sur les réseaux de télécommunication, en particulier Internet » (Larousse)  Compte tenu des article 323-x du Code Pénal, de nombreuses catégories d’attaquants sont concernées par cette définition : ▪ Organisations cybercriminelles dont l’objectif est purement financier … ▪ … mais aussi organisations dont la motivation est éthique (Anonymous) … ▪ … les organisations terroristes et enfin … ▪ … que dire des gouvernements ? (voir par ex. le piratage de l’Elysée).  Nous parlerons ici principalement de la première catégorie … François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 3
  • 4. Définitions  Constat  Criminologie  Victimologie  Produits, services et SAV  Communication  Solutions ?  Conclusion  Annexe : ressources François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 4
  • 5. Slide 5  les chiffres Kaspersky Lab a estimé que 60% des contenus malveillants étaient hébergés dans trois pays principalement : la Russie, les USA et Source les Pays-Bas.  Augmentation sensible du coût de la cybercriminalité pour l’économie mondiale … (110 milliards $ en 2011 selon Norton voir même jusqu’à 750millards d’€ rien que pour l’Europe selon Interpol) François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 5
  • 6. Slide 6  les chiffres  Les banques américaines ont perdu 900 millions de dollars suite à des vols classiques en 2011 ….  …. Et 12 milliards $ du fait des cyberattaques !  Israël est la cible de 1000 cyberattaques chaque minute !  Les chiffres varient … une chose est sûre : le cybercrime coûte cher ! François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 6
  • 7. Slide 7  Au niveau juridique …  Pas de lois universelles sur l’Internet  Problèmes des juridictions ▪ Un attaquant d’un pays W utilise des serveurs malveillants dans plusieurs pays X et Y et cible des victime dans un pays Z  Problèmes des vides juridiques ▪ Pays comme l’Algérie n’ont aucune règlementation réelle en la matière  Démarches lentes et complexes (quand elles aboutissent…) ▪ Débranchement de l’hébergeur Bulletproof McColo (San José) crée par « Kolya McColo », sur le sol américain a pris 4 mois … mais a fonctionné notamment grâce au travail de Brian Krebs (Washington Post). François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 7
  • 8. Slide 8  Effet du démantèlement de McColo sur le SPAM mondial http://en.wikipedia.org/wiki/McColo François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
  • 9. Définitions  Constat  Criminologie  Victimologie  Produits, services et SAV  Communication  Solutions ?  Conclusion  Annexe : ressources François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 9
  • 10. Etat de la menace : Quels profils d’attaquants ? Quelles motivations ? Autrefois, les pirates étaient des personnes isolées (ex : Ver Morris en 1988), amateurs, qui recherchaient principalement la notoriété ou la vengeance en développant des preuves de concept (script kiddies), Aujourd’hui, il s’agit de véritables organisations cybercriminelles professionnelles (Russian Business Network etc.), servant leurs propres objectifs (financiers, éthiques comme LulzSec ou Anonymous etc.). Elles travaillent comme des MAFIAS sans forcément avoir de liens directs avec elles. Certains estiment que la Russie et les pays voisins sont les pays les plus dangereux en termes de cybercrime … car ils seraient à l’origine de 60% des infections par contenu malveillant -- Effet de la pénurie d’emploi et de la crise financière ? -- François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 10
  • 11. Etat de la menace : Quels profils d’attaquants ? Présentation de François Paget, McAfee, CLUSIF 2009 François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 11
  • 12. Etat de la menace : Quels profils d’attaquants ? Quelles motivations ?  … mais peut-être aussi ceux de gouvernements ! (ex : incident Russie/Estonie, la NSA, opération Aurora, virus Stuxnet/Duqu/Flame etc.)  on parle de Guerre de l’Information ou GI et de Lutte Informatique Offensive ou LIO,  Le gouvernement français précise dans le Livre blanc sur la défense et la sécurité nationale le renforcement des moyens de lutte,  Tous n’ont pas les mêmes moyens François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
  • 13. Etat de la menace : Quels profils d’attaquants ? Quelles motivations ? http://blog.zoller.lu/ http://blog.zoller.lu/ François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 13
  • 14. Définitions  Constat  Criminologie  Victimologie  Produits, services et SAV  Communication  Solutions ?  Conclusion  Annexe : ressources François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 14
  • 15.  Certaines attaques ne sont généralement* pas ciblées :  Scan en masse de plages IP « au hasard » sur l’Internet avec des outils classiques comme scanners de ports et/ou de vulnérabilités à la recherche de cibles vulnérables (beaucoup de discussions autour des attaques WEB type injections SQL, failles des CMS etc. et des logiciels tierces type Adobe Flash/Reader ou Java),  Envoi de mails en masse pour les attaques de type Phishing.  Chaque attaque réalisée à grande échelle connaît un certain taux de succès (Pierre Caron, MISCMag)  Quand d’autres le sont beaucoup plus … * Quoique possible de choisir ces cibles avec les kits d’exploits par ex.  Par exemple le chantage au déni de service distribué  Botnets Bankers type Zeus, SpyEeye  L’objectif : avoir un retour sur investissement important et rapidement (donc les techniques d’attaques ne sont généralement pas très sophistiquées, on ne parle pas d’APT voir même de 0days)  Tout le monde est concerné ! François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 15
  • 16. Définitions  Constat  Criminologie  Victimologie  Produits, services et SAV  Communication  Solutions ?  Conclusion  Annexe : ressources François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 16
  • 17. Etat de la menace : Quels services disponibles ?  Réseaux sous-terrain C2C composés de forums et de chan IRC (RBN,CBN etc.) sur lesquels sont commercialisés différents « produits » et « services » :  Carding (vente de données carte bancaire)  Nuisibles * exploit : code utilisé pour exploiter une vulnérabilité  Pack d’exploits* type Firepack, Icepack etc.  Vente d’identités réelles ou virtuelles (ex: jeux vidéos comme Diablo III, Facebook),  Fraude au clic  Kit de Phishing,  Location de Botnets,  Warez : contrefaçons de logiciels et films (avec une forte proportion pour le pornographique)  Services d’anonymisation  Etc.  Entreprises spécialisées :  Hébergement d’activités malveillantes « BULLETPROOF » (Bot Herders, relais de spam, sites compromis …), par ex McColo et Troyak.org (25% C&C Zeus),  Vente de faux produits (scarewares etc.) ou compromis (produits légitimes qui embarquent d’autres produits type spywares etc. François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 17
  • 18.  Les tarifs selon Undernews ▪ Chiffreur standard (Pour cacher du code malicieux dans un fichier inoffensif): $10-$30 ▪ Bot SOCKS (Pour contourner les firewalls): $100 ▪ Une attaque DDoS : $30-$70 pour la journée, $1,200 pour le mois ▪ Spam Email : $10 par tranche de 1 million d’emails ▪ Spam email en utilisant une base client : $50-$500 par tranche de 1 million d’emails ▪ Spam par SMS spam: $3-$150 pour 100 à 100 000 messages. ▪ Bots pour un botnet: $200 pour 2 000 bots ▪ Botnet DDoS : $700 ▪ Code source du célèbre ZeuS : $200-$500 ▪ Rootkit pour Windows (pour installer des drivers vérolés): $292 ▪ Piratage de compte Facebook ou Twitter : $130 ▪ Piratage de compte Gmail : $162 ▪ Piratage de boite mail pro : $500 ▪ Scans de vrais passeports : $5 pièce ▪ Ransomeware (logiciel qui verrouille l’accès à vos fichiers et qui demande une rançon pour les libérer) : $10-20 ▪ Pack d’exploits non ciblés : $25 ▪ Pack d’exploits ciblés : $10-$3000 ▪ Trafic web : $7-$15 pour 1 000 visiteurs en provenance des États-Unis et d’Europe.  Moralité : on peut pratiquement tout acheter sur les réseaux alternatifs ….  Autre constat : l’attaquant n’est pas obligé d’être un expert en informatique François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 18
  • 19.  Autre exemple :  Ces prix varient … En effet, selon Krebs, la société Group-IB a découvert un nouvel exploit fonctionnel sous Adobe Reader 10 et 11 et qui serait vendus sur les réseaux sous-terrains pour 50,000$ !! (en même temps l’exploit fonctionnerait avec Javascript désactivé + Enhanced Mode Security Actif) ..  Même peut-être jusqu’à 100k$ pour un exploit sur Java !  C’est quand même plus intéressant que les bug bounty ?? Ci-après les chiffres issus du blog Exploitability : ▪ 500$ pour facebook ▪ de 500$ à 3000$ pour firefox ▪ de 500$ à 3133.7$ pour Google ▪ de 500$ à 3133.7$ pour Barracuda Networks François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 19
  • 20.  Phénomène de SPECIALISATION des attaquants : chacun participe à un écosystème global sans forcément en maîtriser la totalité. François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 20
  • 21. La spécialisation illustrée Machine infectée Ex:Conficker Bot Infectée Bot Infectée Bot François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 21
  • 22. Exploits Kits : Automatisation des attaques Constat : évolution des Exploits depuis 2006. Détournement de Windows vers des logiciels tiers comme Flash, Adobe Reader et Java Marché lucratif pour les 0-days ! (même si la majorité des attaques n’en utilisent pas) François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 22
  • 23. Exploits Kits : Automatisation des attaques L’exploit Kit est déployé sur un serveur Web (généralement chez un hébergeur « BulletProof » ou sur un serveur compromis) Il fonctionne de manière autonome. Les victimes s’y connectent suite à une attaque drive-by-dl, Le kit embarque une interface de pilotage intuitive qui attaques iframes ou permet par exemple de sélectionner des cibles en encore Black-Seo. fonction de leur provenance géographique. François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 23
  • 24. Botnets : attaques DDOS / réplication / SPAM / Vols de données / fraude au clic / etc. Plusieurs types : utilisation par le « owner », location, vente des bot codes (ex: Zeus) En chiffres (wikipedia) : Concerne aussi les mobiles ! (voir présentation Summercon Jon Oberheide 2010) François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 24
  • 25. Botnets En chiffres (Krebs, Kaspersky) François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 25
  • 26. Botnets : attaques DDOS et extorsion de fonds Offre de location de botnet Constat : le prix est très faible, 120$ pour une journée Exemple de chantage au DDOS http://www.net- security.org/secworld.php?id=11174 Ou Paul Ferguson et l’affaire de la Banque Estonienne François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 26
  • 27. Carding : vente de carte bancaire • Phénomène d’industrialisation du processus de vente (plus besoin d’être en relation directe avec le vendeur), • Touche de nombreux pays, dont la France, CERT XMCO • Méthodes de compromission multiples : -Intrusions -Bankers -Skimming -Etc. François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 27
  • 28. Carding : vente de n° de carte bancaire  skimming  Imprimante MSR206  Intrusions : exemple de Sony pour le vol de données CB Source : Krebs François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 28
  • 29. Hébergement bulletproof Aujourd’hui, les malwares ne sont plus diffusés en pièces jointes de mails … il faut donc pouvoir les stocker/héberger quelque part! Une solution : les hébergeurs Bulletproof (autre solution -> machines compromises mais moins fiable) Hébergeurs plus ou moins laxistes et regardants sur les requêtes des autorités judiciaires. Généralement, plus cher que de l’hébergement classique Différent des hébergeurs actifs : les hébergeurs n’agissent pas pour eux-mêmes mais pour leurs clients  C’est le cas du Russian Business Network, démantelé suite au travail notamment de David Bizeul (CERT Société Générale) François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 29
  • 30. Hébergement bulletproof http://hostexploit.com/ Source : Krebs François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 30
  • 31. Les autres : Malwares et rogue softwares  Croissance continue (15K nouveaux malwares répertoriés par Kaspersky sur le T2 2012)  Utilisation du mécanisme d’affiliation : acquisition d’un malware par une personne X et campagne d’infection lancée par des « affiliés » rémunérés en fonction du nombre de machines compromises. Très difficile à contrôler la rémunération étant basée sur le volume. Vol d’identité (virtuelle ou réelle) SPAM Phishing Mule-as-a-service Etc. François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 31
  • 32. Définitions  Constat  Criminologie  Victimologie  Produits, services et SAV  Communication  Solutions ?  Conclusion  Annexe : ressources François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 32
  • 33.  Les relations entre groupes cybercriminels ▪ Communication ▪ Avec des forums ▪ Par IRC ▪ Service Après Vente via un n° ICQ ▪ Transfert de compétences ▪ Rédaction de tutoriels ▪ Aide en ligne (beaucoup de questions actuellement sur les SQLi) ▪ Sur un forum, l’attitude est la méfiance permanente : un membre actif qui aide les « nouveaux venus » verra son profil monter en crédibilité et il pourra ainsi accéder à des forums plus « intéressants » (accessibles sur invitation seulement)  Ex de UpLevel, développeur de Zeus connus pour ses défauts de paiement François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 33
  • 34. Définitions  Constat  Criminologie  Victimologie  Produits, services et SAV  Communication  Solutions ?  Conclusion  Annexe : ressources François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 34
  • 35. Coopération entre autorités et ISP/IXP (échangeurs)  « Débranchement » de DNS Changer par le FBI …. Après l’arrestation de 6 personnes en Estonie.  Travail des CERT  Etude des menaces, travail d’alertes  Sensibilisation et éducation du public (Long Run)  Problème : la plupart des initiatives sont d’ordre privé  Exemple de McColo, RBN, Atrivo  Renforcement du dispositif juridique ? François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 35
  • 36. Définitions  Constat  Criminologie  Victimologie  Produits, services et SAV  Communication  Solutions ?  Conclusion  Annexe : ressources François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 36
  • 37. Nous vivons dans un monde dangereux …  Le cybercrime augmente et surtout se professionalise  Tout le monde est concerné, administrations, entreprise, particuliers  Moralité : faites de la veille, sensibilisez et prenez le en compte dans vos analyses de risques …  François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 37
  • 38. Problématique soulevée par Jart Armin (suite au démantèlement d’Atrivo) et reprise par Gabriel Campana, MISC Magazine 41 : « Soit les acteurs de l’Internet seront capables de s’autoréguler ; soit un renforcement du contrôle par les Etats sur Internet est à prévoir, pour le meilleur ou pour le pire ». François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 38
  • 39. Merci de votre attention.  Des questions ? http://www.clusir-aquitaine.fr/ François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 39
  • 40. Définitions  Constat  Criminologie  Victimologie  Produits, services et SAV  Communication  Solutions ?  Conclusion  Annexe : ressources François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 40
  • 41. Ressources principales utilisées pour cette présentation :  Panoramas de la cybercriminalité, CLUSIF  Blog de Brian Krebs  MISC Magazine n°41  Etude Russian Underground, Trend Micro 2012  Sex, Lies and Cybercrime Surveys, Microsoft  Undernews  Net-Security.org  Blog de Thierry Zoller  Blog de Cédric Blancher « Sid »  Blog Dancho Danchev  Blog Pseudonyme  Blog Exploitability  Analyse du RBN par David Bizeul (CERT Société Générale) François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 41
  • 42. Outils de travail :  Malware Domain List  Robtex  Domaintools.com  PhishTank  SpamHaus  ShadowServer