Panorama de la Cyber-criminalité - Année 2009

Panorama de la Cyber-criminalité - Année 2009
Panorama de la cybercriminalité année 2009 Paris, 13 janvier 2010
Panorama cybercriminalité, année 2009 Le CLUSIF : agir pour la sécurité de l’information Association sans but lucratif (création au début des années 80) > 600 membres (pour 50% fournisseurs et prestataires de produits et/ou services, pour 50% RSSI, DSI, FSSI, managers…) Partage de l’information Echanges homologues-experts, savoir-faire collectif, fonds documentaire Valoriser son positionnement Retours d’expérience, visibilité créée, Annuaire des Membres Offreurs Anticiper les tendances Le « réseau », faire connaître ses attentes auprès des offreurs Promouvoir la sécurité Adhérer… clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 2
Panorama cybercriminalité, année 2009 La dynamique des groupes de travail Documents en libre accès Traductions (allemand, anglais…) Prises de position publiques ou réponses à consultation Espaces d’échanges permanents : MEHARI, Menaces, RSSI clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 3
Panorama cybercriminalité, année 2009 Une collaboration à l’international, des actions en région clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 4
Panorama cybercriminalité, année 2009 Objectifs du panorama: Apprécier l’émergence de nouveaux risques et les tendances de risques déjà connus Relativiser ou mettre en perspective des incidents qui ont défrayé la chronique Englober la criminalité haute technologie, comme des atteintes plus « rustiques » Nouveauté 2009, élargissement au risque numérique Evénements accidentels accidentel Faits de société et comportements pouvant induire / aggraver des actions cybercriminelles société clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 5
Panorama cybercriminalité, année 2009 Sélection des événements médias Illustration d’une émergence, d’une tendance, d’un volume d’incidents. Cas particulier Impact ou enjeux, Cas d’école. Les images sont droits réservés Les informations utilisées proviennent de sources ouvertes Les entreprises sont parfois citées par souci de précision et parce que leur nom a été communiqué dans les médias clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 6
Panorama cybercriminalité, année 2009 Contributions au panorama 2009 Sélection réalisée par un groupe de travail pluriel : assureur, chercheur, journaliste, officier de gendarmerie et police, offreur de biens et de services, RSSI… Best Practices-SI Agence Nationale pour la Sécurité des Chartis Systèmes d’Information (ANSSI) HSC Ambassade de Roumanie en France - Bureau de l’Attaché de Sécurité Intérieure McAfee Direction Centrale de la Police Judiciaire RATP (OCLCTIC) SNCF Gendarmerie Nationale Telindus Sûreté du Québec Le choix des sujets et les propos tenus n'engagent pas les entreprises et organismes ayant participé au groupe de travail clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 7
Panorama cybercriminalité, année 2009 Panorama 2009 (1/3) [évocation] La sécurité du GSM compromise ? M. Alain Thivillon Directeur technique – HSC alain.thivillon@hsc.fr Services Généraux sur IP, nouvelle exposition M. Alain Thivillon Directeur technique – HSC alain.thivillon@hsc.fr [évocation] Câbles et ruptures de services M. Pascal Lointier Conseiller sécurité des systèmes d’information – Chartis pascal.lointier@chartisinsurance.com clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 8
Panorama cybercriminalité, année 2009 Panorama 2009 (2/3) Cloud computing, virtualisation : haute indisponibilité… parfois ! M. Pascal Lointier Conseiller sécurité des systèmes d’information – Chartis pascal.lointier@chartisinsurance.com ANSSI, Retour d’expérience sur un déni de service M. Franck Veysset Chef du CERTA – ANSSICOSSI franck.veysset@ssi.gouv.fr Réseaux sociaux : menaces, opportunités et convergences M. Yann Le Bel Conseiller auprès du Secrétaire Général – SNCF yann.lebel@sncf.fr clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 9
Panorama cybercriminalité, année 2009 Panorama 2009 (3/3) Cartes bancaires : vos numéros voyagent… M. Fabien David Consultant Sécurité des SI – TELINDUS France Fabien.David@telindus.fr Web 2.0 : le 5ème pouvoir ? Mme Isabelle Ouellet Analyste en cybercriminalité - Sûreté du Québec isabelle.ouellet@surete.qc.ca Une entreprise criminelle au microscope M. François Paget Chercheur de menaces – McAfee Labs Francois_Paget@avertlabs.com clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 10
Panorama cybercriminalité, année 2009 Panorama 2009 [évocation] La sécurité du GSM compromise ? Services Généraux sur IP, nouvelle exposition [évocation] Câbles et ruptures de services Cloud computing, virtualisation : haute indisponibilité… parfois ! ANSSI, retour d’expérience sur un déni de service Réseaux sociaux : menaces, opportunités et convergences Cartes bancaires : vos numéros voyagent… Web 2.0 : le 5ème pouvoir ? Une entreprise criminelle au microscope clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 11
Panorama cybercriminalité, année 2009 Trois évènements de ce début 2010 •29/12/2009 : au Chaos Computer Congress (Berlin), annonce d’avancées majeures dans le cassage du chiffrement GSM, par pré-calcul distribué sur des cartes graphiques, code source public •31/12/2009 : Record battu pour le calcul des décimales de PI (2700 Milliards), par un effort individuel (131 jours de calcul sur un seul PC, 7To de stockage) •8/01/2010 : Annonce par l’INRIA (et d’autres) de la factorisation d’une clé RSA 768 Bits : 30 mois de calcul par 1500 CPU La loi de Moore (et l’intelligence des algorithmiciens et cryptologues) à l’œuvre : les puissances de CPU et de stockage permettent des calculs cryptographiques jugés hier réservés à des gouvernements. clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 12
Panorama cybercriminalité, année 2009 Chaos Computer Congress (CCC) Congrès de « hackers » en Allemagne (Berlin) 26e édition cette année (26C3) http://events.ccc.de/congress/2009/ Ne concerne pas seulement la sécurité informatique : vie privée, « building things », « Net Activism », … Evènement non commercial Beaucoup moins d’auto-censure qu’à BlackHat Entrée ~ 100 euros Déjà connu pour des annonces sur la sécurité Cassage RFID Cassage Xbox clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 13
Panorama cybercriminalité, année 2009 La sécurité GSM (2G) Authentification et confidentialité reposent sur les secrets contenus dans la SIM de l’abonné et dans le réseau opérateur, desquels sont dérivés une clé de chiffrement symétrique utilisée dans un algorithme nommé A5/1 (chiffrement radio). BTS HLR Rand Sres Sres Kc Kc A5/1 (Kc) clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 14
Panorama cybercriminalité, année 2009 A5/1 Algorithme conçu en 1987 Pas public, reverse-engineeré en 1997 Attaques théoriques publiées depuis cette date, mais peu d’impact pratique public En 2008, THC a commencé à publier du code puis a fait disparaitre le projet (pressions ?) •A5/2 est un autre algorithme dégradé « export » Cassable en quelques millisecondes Le réseau choisit le chiffrement Manque d’authentification mutuelle Le téléphone ne peut pas authentifier le réseau clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 15
Panorama cybercriminalité, année 2009 Attaque « active » Utilisation d’une fausse BTS Projet « OpenBTS » OpenSource + USRP (Décodeur/Encodeur radio) Connecté au réseau téléphonique par Asterisk (GSM SIP) Permet de tester aussi la solidité du téléphone GSM, dénis de service, … Passage en A5/2 et craquage immédiat (utilisé par les solutions commerciales) MCC 208/MNC 01 BTS MCC 208/MNC 01 IMSI USRP + OpenBTS + Asterisk clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 16
Panorama cybercriminalité, année 2009 Attaque « passive » Le temps de calcul d’un dictionnaire complet A5/1: 100000 ans d’un CPU classique 128 Péta-Octets de stockage Karsten Nohl (DE), cryptologue Déjà connu pour le reverse-engineering et le cassage de RFID Mifare Reprise du travail de THC Utilisation de techniques nouvelles Amélioration des algorithmes et portage sur GPU (Cartes graphiques Nvidia et ATI) Utilisation de « Rainbow Tables » permettant de restreindre l’espace de stockage tout en gardant un temps de calcul raisonnable clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 17
Panorama cybercriminalité, année 2009 Attaque « passive » - 2 Résultats Utilisation de 40 GPU en calcul distribué pendant 3 mois Rainbow Tables totales de 2 To représentant 99 % de l’espace de clés Conséquences Récupération de la clé de chiffrement d’une conversation assez longue et décryptage en quelques minutes Possibilité de déchiffrer avec 50 % de probabilité la signalisation (SMS…) même sans conversation La partie la plus dure est de « sniffer » le mobile Gestion des sauts de fréquence Utilisation de USRP2 (~2500$) Encore du travail pour faire un produit « tous terrains » clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 18
Panorama cybercriminalité, année 2009 Réaction GSM Association A hacker would need a radio receiver system and the signal processing software necessary to process the raw radio data. The complex knowledge required to develop such software is subject to intellectual property rights, making it difficult to turn into a commercial product. … Moreover, intercepting a mobile call is likely to constitute a criminal offence in most jurisdictions. Puisque la sécurité est mauvaise, changeons de cible de sécurité… clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 19
Panorama cybercriminalité, année 2009 Et après ? … Réseaux 3G SIM USIM Utilisation d’autres algorithmes (KASUMI) Authentification mutuelle ! Réseaux 2G Passage encouragé depuis longtemps à A5/3 (Dérivé des algorithmes 3G) Contraintes opérateurs fortes (fiabilité, charge des réseaux, compatibilité…) Ca n’empêche pas l’attaque MITM et la dégradation d’algorithme… Kasumi cassé ? Faiblesses connues Nouveau papier hier ! (signé par SHAMIR/RSA) Résistance dans 5 ou 10 ans ? … clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 20
Panorama cybercriminalité, année 2009 Webographie Conférence CCC (slides + Video) http://events.ccc.de/congress/2009/Fahrplan/events/3654.en.html Karsten Nohl http://reflextor.com/trac/a51 GSM Association http://www.gsmworld.com/newsroom/press-releases/2009/4490.htm INRIA/RSA 768 http://www.inria.fr/actualites/espace-presse/cp/pre210.fr.html 2700 Milliards de décimales de PI, Fabrice Bellard http://bellard.org/pi/pi2700e9/ Attaque « Sandwich » sur Kasumi http://eprint.iacr.org/2010/013 clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 21
Panorama cybercriminalité, année 2009 Panorama 2009 [évocation] La sécurité du GSM compromise ? Services Généraux sur IP, nouvelle exposition [évocation] câbles et ruptures de services Cloud computing, virtualisation : haute indisponibilité… parfois ! ANSSI, retour d’expérience sur un déni de service Réseaux sociaux : menaces, opportunités et convergences Cartes bancaires : vos numéros voyagent… Web 2.0 : le 5ème pouvoir ? Une entreprise criminelle au microscope clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 22
Panorama cybercriminalité, année 2009 Migration IP Après la téléphonie , le reste des infrastructures générales migre sur les réseaux IP : Migration complète (y compris le transport ou les équipements terminaux) ou partielle (supervision, commande, reporting…) Surveillance et accès (portes, badgeuses, caméras, détecteurs présence, détecteurs incendie, humidité…) Climatisation, chauffage, éléments de confort (volets) Energie (onduleurs, électrogènes…) Systèmes SCADA (pilotage, processus industriel…) clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 23
Panorama cybercriminalité, année 2009 Nouvelles offres/technologies Surveillance du domicile depuis Internet Détection de fumée Orange : http://mamaison.orange.fr/ SFR HomeScope : http://www.sfr.fr/vos- services/equipements/innovations/sfr-homescope/ •Tous nouveaux services M2M : « Internet des objets » •ZIGBEE •IPv6, s’il arrive un jour... permettra d’adresser plus facilement les objets du bâtiment/domicile Auto-configuration, intelligence du réseau, mobilité… clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 24
Panorama cybercriminalité, année 2009 Quels risques ? •Changement radical de l’exposition : Technologie plus facile à acquérir par les attaquants Changements d’échelle des accès aux éléments sensibles • Exemple une centrale d’alarme connectée en IP accessible depuis une filiale étrangère Complexité et intégration des systèmes Le risque informatique peut devenir un risque physique Intrusion par le système d’accès Déni de service sur les alarmes, l’incendie… Vie privée, Chantage… clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 25
Panorama cybercriminalité, année 2009 Vulnérabilités liées à IP Equipements très souvent légers (mémoire, CPU…), système d’exploitation moins évolués (RT) et peu éprouvés Risque élevé de déni service sur la couche IP (par flood, déni de service…) •Protocoles de communication « portés » et peu résistants Déni de service, boucles, redémarrage… Spoofing, interceptions, rejeu… Exemples : DefCon 17 : Déni de service sur la vraie caméra, puis Injection de flux vidéo (« Ocean’s Eleven Attack ») HSC 2009 : plantage capteur à distance à travers la Box, puis génération de fausses alarmes… clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 26
Panorama cybercriminalité, année 2009 Vulnérabilités physiques/infra Comment résister à : Coupure ou perturbations du réseau Ethernet Brouillage Wifi Coupure du Power On Ethernet ou alimentation Perte de l’infrastructure IP (DHCP, DNS, Routage…) Attaques par épuisement de ressources (batteries…) •Rebonds IP Exemple équipement connecté au GPRS pour la supervision externe _et_ au réseau de l’entreprise clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 27
Panorama cybercriminalité, année 2009 Vulnérabilité des serveurs Très souvent, les serveurs sont livrés par un intégrateur et échappent aux équipes IT : « Vous touchez à rien sinon ça ne marche plus ! » La sécurité est « abandonnée » : Suivi des correctifs Windows (risque sur les vers…) Mots de passe (système, bases de données) Vulnérabilité des interfaces d’administration Backups ! • Accès distants intégrateur… Exemples récents HSC : Gestion des Pointeuses avec SQL Server sans mot de passe Serveur de gestion des écoutes d’un centre d’appel clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 28
Panorama cybercriminalité, année 2009 Caméras sur Internet… clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 29
Panorama cybercriminalité, année 2009 RTU sur Internet… clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 30
Panorama cybercriminalité, année 2009 Que faire ? Reprendre la main… Se faire expliquer et comprendre les technologies utilisées, les flux de données, les interfaces… Préférer ce qui est normé et ouvert Envisager une segmentation réseau Audits, Tests intrusifs Amener la PSSI à ces équipements Mots de passe, Correctifs, Domaine, bonnes pratiques… Intégration, Supervision, Masters, Sauvegardes, PCA Contrats Règles d’accès par des Tiers clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 31
Panorama cybercriminalité, année 2009 Webographie Shodan (Computer Search Engine) http://shodan.surtri.com/ Hacking Hospital http://pcworld.about.com/od/securit1/Security-Guard-Charged-With-Ha.htm Defcon 17 - Video Hacking http://www.theregister.co.uk/2009/08/01/video_feed_hacking/ , http://hackerpoetry.com/images/defcon-17/dc-17-presentations/defcon-17- ostrom-sambamoorthy-video_application_attacks.pdf RISKS Digest http://catless.ncl.ac.uk/Risks clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 32
Panorama cybercriminalité, année 2009 accidentel [évocation] câbles et ruptures de services Année 2008, théorie du complot, entre autres, pour expliquer les « nombreuses » ruptures de câbles sous-marins voix- données Août, Malaisie : rupture du câble sous-marin APCN2 (Asia-Pacific Cable Network 2). Le typhon Morakot est présumé coupable. Septembre, câble Colt GB-continent… Janvier, Phoenix (USA) : sectionnement accidentel des câbles en fibre optique à proximité d’un centre informatique d’une compagnie aérienne. Perturbation du système de gestion et retards pour une centaine de vols clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 34
Panorama cybercriminalité, année 2009 [évocation] câbles et ruptures de services Avril, Californie (USA) : sectionnement malveillant des fibres, optiques sur deux sites de la Silicon Valley. Forte dégradation des appels aux services d’urgence, téléphonie commutée, distributeurs de billets et connexions Internet. Des dizaines de milliers d’utilisateurs impactés et, entre autres Sprint, Verizon et AT&T qui offre une récompense de 100 000 Dollars… AT&T informe via http://twitter.com/attnews/ ☺ Octobre, IdF : perturbation du trafic ferroviaire suite au vol de 200 m de câble électrique. Janvier 2010, Bouches du Rhône : vol de câbles et « paralysie quasi- totale » du système de signalisation. clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 35
Panorama cybercriminalité, année 2009 [évocation] câbles et ruptures de services Novembre, Californie : coupure malveillante des câbles des caméras de surveillance. Décembre, (Etat de N-Y) : coupure de fibre optique affectant toute la région et notamment les services de billetteries et le traitement des transactions bancaires Avril, Massachussetts : le FBI utilise un spyware (CIPAV, Computer and Internet Protocol Address Verifier) pour confondre une tentative de rançons contre Verizon et Comcast après coupures de 18 câbles (2005) Une solution à privilégier : la double adduction physique… clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 36
Panorama cybercriminalité, année 2009 Webographie Ruptures de câbles http://news.smh.com.au/breaking-news-technology/computer-problem-delays-us-airways-flights- 20090130-7tdo.html http://www.eweek.com/c/a/VOIP-and-Telephony/ATT-Offers-100000-Reward-for-Conviction-of- Bay-Area-Telecom-Vandals-437552/ http://www.datacenterknowledge.com/archives/2009/04/09/cable-cut-cited-in-silicon-valley- outage/ http://www.pcmag.com/article2/0,2817,2344762,00.asp http://www.theinquirer.fr/2009/01/30/cable-sectionne-les-vols-us-airways-cloues-au-sol.html http://www.varmatin.com/ra/derniere-minute/233072/vols-de-cables-jusqu-a-1h30-de-retard-sur- le-reseau-tgv?utm_source=rss&utm_medium=feed&xtor=RSS-220& http://www.umpguingamp.over-blog.org/article-les-vols-de-metaux-en-augmentation-un-fleau- pour-les-transports-39597879.html http://www.coltethernet.com/global_network_map.php http://www.indybay.org/newsitems/2009/11/30/18630970.php http://www.networkworld.com/news/2009/042009-fbi-used-spyware-to-catch.html clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 37
Panorama cybercriminalité, année 2009 Panorama 2009 [évocation] La sécurité du GSM compromise ? Services Généraux sur IP, nouvelle exposition [évocation] câbles et ruptures de services Cloud computing, virtualisation : haute indisponibilité… parfois ! ANSSI, retour d’expérience sur un déni de service Réseaux sociaux : menaces, opportunités et convergences Allez en Europe de l'Est, votre carte bancaire y est (peut-être) déjà Web 2.0 : le 5ème pouvoir ? Une entreprise criminelle au microscope clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 38
Panorama cybercriminalité, année 2009 cidentel ac Cloud computing, virtualisation : haute indisponibilité… parfois ! Buzz et tendances Virtualisation la virtualisation comme un ensemble de techniques matérielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systèmes d'exploitation et/ou plusieurs applications, séparément les uns des autres, comme s'ils fonctionnaient sur des machines physiques distinctes (Wikipedia) Cloud computing L'« informatique dans les nuages » permet aux entreprises de réduire leurs coûts en délocalisant leurs contenus et en utilisant des applications à distance. Mais « c'est un cauchemar pour la sécurité et elle ne peut pas être traitée par les méthodes traditionnelles », a estimé John Chambers, PDG de Cisco (01net, 27/04/2009) clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 39
Panorama cybercriminalité, année 2009 cidentel ac Cloud computing, virtualisation : haute indisponibilité… parfois ! Haute disponibilité La haute disponibilité est un terme souvent utilisé en informatique, à propos d'architecture de système ou d'un service pour désigner le fait que cette architecture ou ce service a un taux de disponibilité convenable (wikipedia) Pour mesurer la disponibilité, on utilise souvent un pourcentage essentiellement composé de '9' : 99% désigne le fait que le service est indisponible moins de 3,65 jours par an 99,9%, moins de 8,75 heures par an 99,99%, moins de 52 minutes par an 99,999%, moins de 5,2 minutes par an 99,9999%, moins de 54,8 secondes par an 99,99999%, moins de 3,1 secondes par an Etc. Et pourtant… clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 40
Panorama cybercriminalité, année 2009 cidentel ac Cloud computing, virtualisation : haute indisponibilité… parfois ! Quelque part dans le monde (cloud ☺ ) pendant l’année 2009 mais pour des entreprises prestigieuses : Air New Zealand, Amazon (dont EC2), Barclay’s, eBay (Paypal), Google (Gmail entre autres), Microsoft, Over-blog, Rackspace, RIM, Twitter… Panne électrique (UPS) et crash disques au redémarrage Feu électrique, destruction du générateur de secours et de l’UPS, commutateurs électriques, etc. Mise à jour corrective qui bogue Mauvaise configuration du routage entre 2 Data Center Attaque en DDoS ciblant des ressources DNS dans un Data Center spécifique clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 41
Panorama cybercriminalité, année 2009 cidentel ac Cloud computing, virtualisation : haute indisponibilité… parfois ! L’année 2009 n’est peut-être pas spécifiquement exceptionnelle mais les incidents sont de plus en plus visibles : alerte via blogs, réseaux sociaux, Twitter… Des effets secondaires Temps de redémarrage des serveurs Crash des disques Destruction par incendie, le reste par inondation pour extinction… Pénalités (Rackspace contraint de payer entre 2,5 et 3,5 millions de dollars à ses Clients) Saisie des serveurs (FBI chez Core IP Networks, Texas) Perte de contrats (prestataire mais aussi pour l’entreprise commerciale vis-à-vis de ses propres clients) Twitter « interdit » de mise à jour par une Administration le dimanche de juin d’une élection… … clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 42
Panorama cybercriminalité, année 2009 cidentel ac Cloud computing, virtualisation : haute indisponibilité… parfois ! clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 43
Panorama cybercriminalité, année 2009 cidentel ac Cloud computing, virtualisation : haute indisponibilité… parfois ! Problématiques multiples Valider la politique de SSI du prestataire Maîtrise la confidentialité des informations (au regard du droit et de la contre-Intelligence Economique) Identifier la chaîne de responsabilité (légale) lors d’un dysfonctionnement clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 44
Panorama cybercriminalité, année 2009 cidentel ac Cloud computing, virtualisation : haute indisponibilité… parfois ! Points de vigilance Clauses du contrat d’infogérance, à lire par le Département juridique, l’informatique (et la SSI) mais également par les Responsables métiers pour valider les délais de reprise sur incident Contrôler les procédures de sécurité effectives Identifier les sous-traitances et relocalisations possibles et parfois non signifiées au client Apprécier la capacité de reprise sur incident avec des systèmes mutualisés clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 45
Panorama cybercriminalité, année 2009 cidentel ac Cloud computing, virtualisation : haute indisponibilité… parfois ! La redondance physique des ressources (serveurs, électricité, réseaux) exposée à des défaillances logicielles. Le MTBF (Mean Time Between Failure) concerne des pannes physiques pas le déploiement simultané sur toutes les ressources redondantes mais à l’identique d’une mauvaise configuration (cf. incident HLR), d’un correctif bloquant (cf. … vous avez le choix ☺), d’une intrusion externe par la télémaintenance (cf. DHS pour CNN, conférence SCADA du CLUSIF) clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 46
Panorama cybercriminalité, année 2009 Webographie Centres informatiques et Cloud computing http://www.datacenterknowledge.com/archives/2009/11/04/inside-a-cloud-computing-data-center/ http://www.datacenterknowledge.com/archives/2009/12/16/major-data-center-outages-of-2009/ http://www.datacenterknowledge.com/archives/2009/07/06/the-day-after-a-brutal-week-for-uptime/ http://cloudsecurity.org/ http://www.datacenterknowledge.com/archives/2009/12/23/dns-issues-cause-downtime-for-major-sites/ http://www.informationweek.com/story/showArticle.jhtml?articleID=222001992 http://www.networkworld.com/news/2009/101209-sidekick-cloud-computing-outages-short-history.html http://www.infoworld.com/print/105435 http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853 http://www.networkworld.com/news/2009/040609-cloud-computing-security.html http://www.theregister.co.uk/2009/10/05/amazon_bitbucket_outage/ http://www.computerworld.com/s/article/9130283/Backup_provider_Carbonite_loses_data_sues_vendor http://www.tdg.ch/feu-avenue-provence-fermez-fenetres-2009-09-25http://www.tsr.ch/tsr/index.html?siteSect=200001&sid=11279188 http://www.theregister.co.uk/2009/06/17/barclays_gloucester_outage/ http://www.theinquirer.fr/2009/07/02/panne-electrique-sur-un-centre-de-donnees.html http://www.networkworld.com/news/2009/071009-rackspace-ceo-speaks.html http://www.theregister.co.uk/2009/08/04/paypal_offline_again/ http://www.theregister.co.uk/2009/06/24/paypal_uk_down/ http://www.theregister.co.uk/2009/08/05/cisco_2hour_outage/ http://www.theregister.co.uk/2009/10/19/swissdisk_failure/ http://www.silicon.fr/articles/printView/fr/silicon/news/2009/12/10/des_hackers_s_introduisent_dans_ec2__l_offre_de_cloud_d_amaz on clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 47
Panorama cybercriminalité, année 2009 L’Agence Nationale de la Sécurité des Systèmes d’Information Retour d’expérience sur un Déni de service Franck Veysset ANSSI/COSSI/CERTA clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 49
Panorama cybercriminalité, année 2009 Nouvelle stratégie française en matière de défense et de sécurité nationale Livre blanc sur la défense et la sécurité nationale *** Volet Cyberdéfense clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 50
Panorama cybercriminalité, année 2009 La stratégie de défense et de sécurité nationale Menaces Attentats terroristes Attaques informatiques Menace balistique Pandémie Catastrophes naturelles Criminalité organisée Dom-Com clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 51
Panorama cybercriminalité, année 2009 Objectifs prioritaires une cyber défense active - Une capacité de détection précoce des attaques systèmes et produits sécurisés - Promouvoir le développement et l’utilisation des produits de sécurité Infrastructures vitales Résilience et internet clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 52
Panorama cybercriminalité, année 2009 L’agence nationale de la sécurité des systèmes d’information 7/7/2009 Décret n°2009-384 clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 53
Panorama cybercriminalité, année 2009 L’ANSSI Agence nationale de la SSI Communication Centre de formation (CFSSI) Stratégie et Réglementation Systèmes d’information Centre opérationnel Assistance, conseil et (SR) sécurisés (SIS) (COSSI) expertise (ACE) • Relations internationales • ISIS, RIMBAUD • Veille • Assistance & conseil • Réglementation •Autres projets • CERTA • Architecture mat. & log. • Relations industrielles • Coordination • Réseaux, proto. et preuves • Centre de certification • Plans & exercices • Crypto & composants • Stratégie • Détection • Sans fil • Inspections • Crypto appliquée clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 54
Panorama cybercriminalité, année 2009 Le COSSI Centre Opérationnel de la SSI Coordination Centre de détection (Equipe projet) Bureau plans et exercices Bureau cryptologie appliquée Centre de veille CERTA Bureau inspections en SSI (7/7 24/24) Ministères Opérateurs clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 55
Panorama cybercriminalité, année 2009 Le CERTA clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 56
Panorama cybercriminalité, année 2009 L’assistance opérationnelle : Le CERTA Rôle préventif Rôle curatif Veille Fourniture de documents Analyse et intervention A priori A posteriori Aide à la décision La réponse technique à pour le RSSI l’incident clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 57
Panorama cybercriminalité, année 2009 2009 et Botnet 2009, année dans la « continuité » Nombreux codes malveillants Conficker Zeus Torpig … Spam, vol de données (keylogger, bancaire…), ddos clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 58
Panorama cybercriminalité, année 2009 Un cas concret… Fin mars, une administration française a subit une attaque massive de type DDoS Les services de Web, de messagerie, l’accès Internet ont été fortement impactés CERTA, Le CERT gouvernemental Français, est intervenu sur ce dossier La Police française a aussi été impliquée, ce dossier ayant été “judiciarisé” clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 59
Panorama cybercriminalité, année 2009 CERTA & Police : actions Le CERTA a été contacté tôt sur ce dossier Gestion de crise Signalement auprès de la Police Le trafic d’attaque provient du monde entier Au moins 7000 bots impliqués Identification de systèmes infectés sur le territoire français clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 60
Panorama cybercriminalité, année 2009 En résumé T0: Démarrage du déni de service distribué (DDoS) T0+6h: L’opérateur internet met en place un filtrage IP Pas efficace, le DDoS paralyse toujours le site T+12h: Black holing du trafic Web Efficace, mais le DDoS atteint alors son objectif ! La messagerie et les autres services sont restaurés T0+20h: Black holing sur les flux internationaux L’accès « France » redevient opérationnel T0+24h: fin du DDoS clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 61
Panorama cybercriminalité, année 2009 DDoS (4/4) Hacker Master system zombies Victim clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 62
Panorama cybercriminalité, année 2009 Outil de DDoS La Police a identifié des PC français impliqués dans le DDoS Dans les jours suivant, quelques PC ont été saisis en « flagrant délit » Le CERTA a été missionné pour réaliser l’analyse « forensic » PC fortement multi-infectés “VIRUT”, un malware multifonction a été détecté sur plusieurs systèmes clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 63
Panorama cybercriminalité, année 2009 Virut Comportement de type Virus (win 32) Infection massive des fichiers .exe sur le système Lancement au démarrage Client IRC basique Activité DDoS Téléchargement d’un outil de DDOS dédié Adresse IP du serveur cible codée « en dur » clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 64
Panorama cybercriminalité, année 2009 Fonctionnement d’un Botnet (IRC) BotMaster Command IRC C&C Connexion Botnet Exploit Vulnerable User Bot download clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 65
Panorama cybercriminalité, année 2009 clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 66
Panorama cybercriminalité, année 2009 Retour Ce dossier est encore en cours d’analyse Points positifs Dossier « flagrant délit » Le CERTA est intervenu (contacté) très rapidement Points difficiles Virut est très bruyant, analyse complexe… Les attaques de type DDoS sont toujours complexes clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 67
Panorama cybercriminalité, année 2009 Webographie L’ANSSI - http://www.ssi.gouv.fr Le CERTA – http://www.certa.ssi.gouv.fr Portail sécurité grand public – http://www.securite- informatique.gouv.fr/ Botnet & Ddos Taking over the Torpig botnet – http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html The Zeus toolkit – http://rsa.com/blog/blog_entry.aspx?id=1274 clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 68
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… Le choix des sujets et les propos tenus n'engagent pas les entreprises et organismes ayant participé au groupe de travail clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 70
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… WEB 1.0 WEB 2.0 WEB 3.0 Many to Many Tendance One to Many vers une plus Empower consumer grande Autorité des marques interactivité et des organisations ‘‘Citoyen’’ acteur (disparition (notion de contre-pouvoir et du progressive Consommateurs ‘‘soumis’’ marketing collaboratif) des difficultés techniques) EVOLUTION Forums / Blogs / Wiki / … clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 71
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 72
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… Le panorama de la cybercriminalité en 2008 avait mis en exergue les points suivants : Le succès des réseaux sociaux attirent les pirates et les opportunistes L’atteinte à la « sphère » privée et professionnelle de chaque personne L’accroissement du risque pour les entreprises d’être victimes de vols d’informations, de campagnes de désinformation et de déstabilisation clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 73
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… Les réseaux sociaux attirent encore et toujours les pirates Février 2009 : Tweet Tornado et pourriels sur Twitter Mai 2009 : Campagne d’hameçonnage sur Facebook clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 74
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… Les réseaux sociaux et protection de la vie privée un concept dépassé ? Mai 2009 : Le futur chef des espions anglais en caleçon sur Facebook clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 75
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… Les réseaux sociaux et protection de la vie privée un concept dépassé ? Août 2009 : 45% des recruteurs consultent des réseaux sociaux Selon une étude publiée par le site américain de recherche d'emploi Careerbuilder.com, neuf employeurs sur vingt, soit 45 % des sondés, consultent les réseaux sociaux avant d'envisager le recrutement d'un candidat. 29 % d'entres eux se ruent sur Facebook, 26 % sur LinkedIn, 21% sur Myspace, 11 % sur les blogs et 7 % sur Twitter. Ils sont 35 % à avoir renoncé à embaucher après avoir visité les pages Facebook, Twitter ou encore Myspace des candidats potentiels. clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 76
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… Les réseaux sociaux et protection de la vie privée un concept dépassé ? Décembre 2009 : Épinglés sur Twitter pour alcool au volant Aux États-unis, les autorités du comté de Montgomery (Texas) ont décidé d'utiliser Twitter. Pendant les fêtes de fin d'année, les automobilistes arrêtés en état d'ébriété voient leur identité publiée sur le compte Twitter de Brett Ligon, procureur de la région. Naturellement, la médiatisation de leur nom ne les exempte pas de poursuites judiciaires habituelles. clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 77
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… Les réseaux sociaux et protection de la vie privée un concept dépassé ? 2009 : Prise de conscience et maturité des internautes A Practical Security Handbook for Activists and Campaigns “8. Computer Security & Internet Privacy : We will not go into much detail on computers here other than to cover the basics. There are a number of sites on the internet which go into computer security and protecting your privacy online in more dept. However, as a bare minimum you should be doing the following…“ clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 78
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… Les réseaux sociaux et protection de la vie privée un concept dépassé ? 2009 : Prise de conscience et maturité des internautes clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 79
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… Les réseaux sociaux et protection de la vie privée un concept dépassé ? Janvier 2010 : Facebook et Twitter mettent fin aux suicides virtuels de la Web 2.0 Machine Les réseaux sociaux bloquent l’accès au site Web 2.0 Suicide Machine qui permettait à ses utilisateurs de supprimer profils et données personnelles de ses pages. clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 80
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… Les réseaux sociaux et protection de la vie privée un concept dépassé ? Janvier 2010 : Pour le fondateur de Facebook, la protection de la vie privée est périmée Après le PDG de Google, Eric Schmidt, c'est au tour de celui de Facebook, Mark Zuckerberg, de s'en prendre à la protection de la vie privée. Si pour Eric Schmidt, le souci de préserver sa vie privée n'était une réalité que pour les criminels, selon Mark Zuckerberg ce n'est tout simplement plus la norme au sein des internautes. « Les gens sont à l'aise, non seulement avec le fait de partager plus d'informations différentes, mais ils sont également plus ouverts, et à plus de personnes. La norme sociale a évolué ces dernières années » a ainsi déclaré Mark Zuckerberg. clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 81
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… Les réseaux sociaux comme support de l’activisme… Janvier 2009 : 150 jeunes se donnent rendez-vous sur Facebook et déferlent sur le Monoprix de la ville « La préfecture de l'Aveyron n'avait jamais vu ça... Il était 16h 30, hier, quand en plein centre-ville de Rodez, une vague déferlante de 150 ados a envahi le Monoprix, boulevard Gambetta. A l'intérieur du magasin des vols sont commis. Puis les jeunes se retrouvent dans les rues de la ville, pénètrent dans d'autres magasins, et en passant, dégradent du mobilier urbain. » clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 82
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… Les réseaux sociaux comme support de l’activisme… clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 83
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… Les réseaux sociaux comme support de l’activisme… Mai 2009 : Domino Pizza nous délivre ses secrets sur Dailymotion Chacun ayant le pouvoir potentiel de créer un buzz planétaire, certains se sentent pousser des ailes : dernière attaque 2.0 en date contre une entreprise, une vidéo postée sur Dailymotion par deux cuisiniers de la chaîne de restauration Domino's Pizza dans laquelle ils se filment en train de concocter un sandwich répugnant. Une expérience culinaire qui a fait le tour du web, compromettant sérieusement les restaurants de la chaîne. clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 84
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… Conclusion… 2010, année de la convergence des « mass media » ? clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 85
Panorama cybercriminalité, année 2009 é sociét Réseaux sociaux Menaces, opportunités et convergences… Conclusion… 2010: Année de la convergence des « mass media »? Les menaces et les risques présentés en 2008 restent d’actualité. Les réseaux sociaux vont devenir un « mass media » à part entière avec une convergence vers la télévision. Microsoft offre l’accès à Facebook, Twitter et aussi LastFM via la console Xbox 360. De nouveaux téléviseurs permettant d’accéder directement, via le menu à Facebook, Youtube ou MySpace sans passer par un ordinateur. Les medias participatifs sur Internet, et les réseaux sociaux en particulier sont bien à considérer comme un 5ème pouvoir. clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 86
Panorama cybercriminalité, année 2009 clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 87
Panorama cybercriminalité, année 2009 Webographie http://www.digiactive.org/wp-content/uploads/digiactive_facebook_activism.pdf http://www.lejdd.fr/International/Europe/Actualite/Le-chef-du-MI6-trahi-par-Facebook-16281/ http://www.lepost.fr/article/2009/01/15/1388104_des-ados-deferlent-sur-un-monoprix-ca-s-est- fait-via-facebook.html http://fr.news.yahoo.com/12/20091230/ttc-epingles-sur-twitter-pour-alcool-au-549fc7d.html http://www.lefigaro.fr/web/2010/01/05/01022-20100105ARTFIG00551-facebook-interdit-le-suicide- virtuel-.php http://www.zdnet.fr/actualites/internet/0,39020774,39712119,00.htm clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 88
Panorama cybercriminalité, année 2009 Sommaire 1. Vols massifs de numéros de Carte Bancaire (CB) 2. Nouvelles menaces liées aux DAB (Distributeurs Automatiques de Billets) clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 90
Panorama cybercriminalité, année 2009 1- Vols massifs de numéros de Carte Bancaire (CB) clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 91
Panorama cybercriminalité, année 2009 Vols massifs de numéros de Carte Bancaire: Fraude RBS Wordpay RBS Wordpay : Filiale américaine de la « Royal Bank of Scotland » 9 millions de dollars de retraits frauduleux (fin 2008) : Avec des cartes clonées Dans un délai très court Dans 2100 distributeurs de billets Dans 280 villes, 8 pays (E-U, Russie, Ukraine, Estonie, Italie, Hong-Kong, Japon, Canada) Un réseau de mules très organisé clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 92
Panorama cybercriminalité, année 2009 Vols massifs de numéros de Carte Bancaire: Fraude RBS Wordpay L’enquête a identifié : 4 hommes de 25 à 28 ans, originaires d’Estonie, Russie et Moldavie (mi- 2009) Quelques mules (rémunérées de 30 % à 50 % des sommes retirées) Une intrusion sur le réseau, avec le vol de 1,5 millions de numéros de cartes bancaires avec leur code PIN (entre autres) Une méthode de contournement pour déchiffrer les codes PIN, pourtant stockés chiffrés Ces informations ont suffit pour créer des clones de carte à piste magnétique Le changement des plafonds de retrait de ces cartes Une supervision de l’opération depuis le réseau corrompu, puis l’effacement de leurs traces clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 93
Panorama cybercriminalité, année 2009 Vols massifs de numéros de Carte Bancaire: Fraude en Espagne Vol de centaines de milliers de CB en Espagne en octobre 2009 : Nombreux retraits et paiements frauduleux Pays touchés : Allemagne (principalement) mais aussi la Suède, la Finlande et l’Autriche En Novembre : VISA a alerté ses clients d’un vol important de numéros de CB en Espagne dans une compagnie espagnole Recommandations de réémettre les cartes sans puce EMV Très peu évoqué dans la presse française Peu d’information disponible, investigation en cours Serait dû à un vol de données informatiques auprès d’un prestataire de service ou d’un opérateur de télécommunication clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 94
Panorama cybercriminalité, année 2009 Vols massifs de numéros de Carte Bancaire: Fraude Heartland aux US Intrusion dans les systèmes informatiques de l’opérateur « Heartland Payment Systems » et la chaîne de supermarché « Hannaford Brothers » Les données bancaires étaient revendues sur Internet (de $10 à $100 par CB) Installation d’un malware très performant et discret, permettant d’intercepter les transactions sur CB en temps réel avant leur encodage D’octobre 2006 à mai 2008, les hackers ont pu siphonner les numéros de 130 millions de cartes, leurs dates d’expiration et parfois l’identité des porteurs de carte Les données volées étaient transférées sur des serveurs à l'étranger Effacement des traces du passage clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 95
Panorama cybercriminalité, année 2009 Vols massifs de numéros de Carte Bancaire: Fraude Heartland aux US L’enquête a identifié les auteurs mi-2008, dont un certain « Albert Gonzales » : Il est arrêté une 1ère fois à New York en 2003 pour piratage Il échappe à la prison en devenant informateur Il permet au FBI d'identifier 28 hackers (mais peu d’arrestations) En mai 2008, il est identifié et mis en détention préventive à Brooklyn pour son implication dans l’affaire TJX (fraude record en 2006 de 40 millions de CB piratés) Mi-2009, la police découvre son implication dans ce vol de 130 millions de CB entre octobre 2006 et avril 2008 Deuxième série d'inculpations : il risque 35 ans de prison clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 96
Panorama cybercriminalité, année 2009 2- Nouvelles menaces liées aux DAB clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 97
Panorama cybercriminalité, année 2009 Nouvelles menaces liées aux DAB : Rapport de l’ENISA : ENISA = Agence européenne chargée de la sécurité des réseaux et de l'information Publication d’un rapport sur l’augmentation inquiétante des délits liés aux guichets automatiques bancaires : Perte collective de 485 millions d'euros en 2008 en Europe (12 278 attaques déclarées) 75 % des fraudes hors des pays où la carte a été délivrée, car 90 % des banques en Europe utilisent des puces EMV Les fraudes sont réalisées dans les pays où les distributeurs utilisent encore la piste magnétique clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 98
Panorama cybercriminalité, année 2009 Nouvelles menaces liées aux DAB : Rapport de l’ENISA : L'attaque la plus commune s'appelle « skimming » : Ajout d’un dispositif sur le DAB pour enregistrer la bande magnétique ou bloquer la carte bancaire Souvent couplée à un dispositif discret permettant la capture du code confidentiel (faux claviers, caméras pointant sur le clavier..) Cependant, le rapport ENISA rappelle que les distributeurs utilisent souvent des systèmes d'exploitation du commerce, du matériel standard et s’appuient de plus en plus sur des réseaux TCP/IP => Conséquence, ils peuvent être infectés par des malwares et des virus Comme tout système informatique, les correctifs de sécurité doivent être testés, puis déployés clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 99
Panorama cybercriminalité, année 2009 Nouvelles menaces liées aux DAB : Compromission de DAB en Europe de l’Est En mars 2009, Sophos identifie le 1er Malware spécifique pour les distributeurs de billets En mai 2009, les experts sécurité de Trustwave confirment la découverte Ce Malware était spécifique pour une marque et des modèles précis de DAB Des inspections ont eu lieu pour repérer les DAB infectés : L’Europe de l’Est (Russie, Ukraine) principalement touchée Un correctif a été créé par l’industrie clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 100
Panorama cybercriminalité, année 2009 Nouvelles menaces liées aux DAB : Compromission de DAB en Europe de l’Est Caractéristiques du malware Une fois activé, il injecte un code dans les processus en mémoire, pour récupérer les informations des transactions passées Il récupère les données nécessaires (dont code PIN saisi), et stocke le tout dans un fichier Il filtre les seules transactions valides, et uniquement en devises russes, ukrainiennes et américaines Il s’appuie sur des instructions non documentées par le constructeur, ce qui laisse présager des complicités internes Plusieurs évolutions du malware ont été identifiées clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 101
Panorama cybercriminalité, année 2009 Nouvelles menaces liées aux DAB : Compromission de DAB en Europe de l’Est Mode opératoire: Pas de propagation par les réseaux : installation au coup par coup Leur installation physique dans le DAB n’est pas clair : soit par complicité d’un dabiste ou d’un agent de maintenance soit l’utilisation directe d’une carte de maintenance clonée Plusieurs mois après, on envoie une mule récupérer les informations collectées : Ils activent un menu à l’aide d’une carte spécifique Ils lancent une impression sur l’imprimante embarquée Une autre option permettait de vider le coffre du distributeur Certaines informations sont chiffrées en DES, avant impression Une évolution non opérationnel devait permettre de récupérer les informations directement sur une carte de stockage clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 102
Panorama cybercriminalité, année 2009 Nouvelles menaces liées aux DAB : Les distributeurs de billets d’occasion Possibilité d’acheter des DAB d’occasion sur des sites d’enchères, ou de petites annonces : Pour développer un virus ou un malware Pour récupérer des informations sur le disque dur Pour le transformer en DAB factice Ex: Conférence du Defcon 2009 clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 103
Panorama cybercriminalité, année 2009 Nouvelles menaces liées aux DAB : D’autres menaces à découvrir… Conférence annulée à Blackhat 2009, sous la pression d’industriels et d’établissements financiers Les menaces sur les distributeurs ne sont pas toutes malveillantes : Bug du passage à l’an 2010 en Allemagne Retrait à l’étranger sans plafond d’une banque anglaise Erreur de chargement ou de maintenance à Lorient Indisponibilité du réseau informatique des DAB chez Barclays Expérimentation houleuse en Afrique du Sud clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 104
Panorama cybercriminalité, année 2009 Webographie Fraude RBS WordPay http://www.informationweek.com/news/software/showArticle.jhtml?articleID=221601284 http://www.usatoday.com/money/usaedition/2009-11-10-atm-hackers_NU.htm?csp=outbrain http://www.bankinfosecurity.com/articles.php?art_id=1935&opg=1 Vol de CB en Espagne http://www.databreaches.net/?p=8314 http://countermeasures.trendmicro.eu/europes-heartland-in-large-scale-credit-card-theft/ http://www.visaeurope.com/pressandmedia/newsreleases/press420_pressreleases.jsp http://www.lematin.ch/actu/monde/100-000-cartes-credit-rappelees-banques-193086 HeratLand & Albert Gonzales http://www.theregister.co.uk/2009/08/17/heartland_payment_suspect/ http://www.bankinfosecurity.com/heartland_breach.php http://www.liberation.fr/monde/0101585965-albert-gonzalez-le-pirate-aux-130-millions-de-cartes-de-credit http://www.lexpansion.com/economie/actualite-high-tech/qui-est-albert-gonzalez-le-recordman-de-la-fraude-a-la-carte-bancaire_194803.html http://www.lemonde.fr/technologies/article/2009/08/20/130-millions-de-cartes-bancaires-piratees-aux-etats-unis_1230199_651865.html Rapport ENISA http://securite.reseaux-telecoms.net/actualites/lire-distributeurs-bancaires-la-menace-augmente-selon-l-enisa-20814.html http://www.enisa.europa.eu/media/press-releases/prs-in-french/20090709ATM%20FR.pdf http://www.enisa.europa.eu/act/ar/deliverables/2009/atmcrime/at_download/fullReport Malware pour DAB http://www.sophos.com/blogs/sophoslabs/v/post/3577 http://www.theregister.co.uk/2009/03/17/trojan_targets_diebold_atms/ http://www.goodgearguide.com.au/article/295924/criminals_sneak_card-sniffing_software_diebold_atms http://www.securitypark.co.uk/security_article263236.html http://www.theregister.co.uk/2009/06/03/atm_trojans/?cfC0438101=9004D4FBC!WDA3OTE2NzphdXRoc2d0X3J0ZmU6+tzxKhbtwOT2W8ILmVhCsQ== https://www.trustwave.com/downloads/alerts/Trustwave-Security-Alert-ATM-Malware-Analysis-Briefing.pdf Autres Menaces / Dysfonctionnements http://www.theregister.co.uk/2009/06/17/barclays_gloucester_outage/ http://www.guardian.co.uk/world/2009/jul/12/south-africa-cash-machine-pepper-spray http://www.ouest-france.fr/actu/actuDetFdj_-a-Lorient-le-distributeur-de-billets-voit-double_39382-930715_actu.Htm http://www.guardian.co.uk/world/2009/jul/12/south-africa-cash-machine-pepper-spray http://tatun.unblog.fr/2009/09/12/vol-cartes-bancaires-pas-de-calais-un-bug-informatique/ DAB Factice http://www.theregister.co.uk/2009/08/03/fake_atm_scam_busted_at_defcom/ clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 105
Panorama cybercriminalité, année 2009 Web 2.0, le 5ème pouvoir ? Isabelle Ouellet Analyste en cybercriminalité Bureau de coordination des enquêtes sur les délits informatiques (BCEDI) Sûreté du Québec clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 107
Panorama cybercriminalité, année 2009 é sociét Web 2.0, le 5ème pouvoir ? DIFFUSION D’INFORMATION Facile et offrant En temps réel Par de simples citoyens une grande visibilité RÉSULTAT Institutions perdent leur autorité exclusive 1. Médias => gouvernements 2. Forces policières 3. Autres clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 108
Panorama cybercriminalité, année 2009 é sociét Exemples d’information en temps réel Lecture en transit (streaming) Musique (Deezer, Lala) Films (streamov ,Saficity) Même les torrents… clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 109
Panorama cybercriminalité, année 2009 é sociét Exemples d’information en temps réel Informatique dans les nuages (cloud computing) Moteurs de recherche en temps réel Collecta Twitter Google clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 110
Panorama cybercriminalité, année 2009 é sociét Exemples d’information en temps réel Web 2.0 Communications instantanées Twitter, Facebook, YouTube, Flickr Permet aux personnes « ordinaires » de rapporter presque instantanément des informations concernant des événements d‘intérêt clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 111
Panorama cybercriminalité, année 2009 é sociét Exemples d’information en temps réel Web 2.0 Effet de « buzz » Source d’information pour les médias traditionnel Dès qu'un petit voyant rouge s'allume sur Twitter, le journaliste en prend connaissance, vérifie l’information, la synthétise, et la publie clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 112
Panorama cybercriminalité, année 2009 é sociét Web 2.0, le 5ème pouvoir ? Institutions perdent leur autorité exclusive 1. Médias => Gouvernements 2. Forces policières 3. Autres clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 113
Panorama cybercriminalité, année 2009 é sociét 1. Concurrencer les médias Janvier 2009 Amerrissage parfait d'un avion d'US Airways dans l'Hudson River de New York Quelques minutes après l’accident, Janis Krums poste son célèbre twitt : "There is a plane on the Hudson. I am on the ferry to pick up the people. Crazy." clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 114
Panorama cybercriminalité, année 2009 é sociét 1. Concurrencer les médias Novembre 2008 Les attentats de Bombay clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 115
Panorama cybercriminalité, année 2009 é sociét 1. Concurrencer les médias Autres exemples: L’élection de Obama (novembre 2008) La crise iranienne (juin 2009) En Italie, un appel à un rassemblement pour dénoncer les ennuis judiciaires de Berlusconi a attiré plus de 400 000 personnes (décembre 2009) clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 116
Panorama cybercriminalité, année 2009 é sociét 1. Concurrencer les médias Plus que seulement vecteur d’information descriptive Ces sites : Deviennent des «instruments de contournement de la censure et de dénonciation de la répression» Favorisent la création de communauté de résistance démocratique Octroient à leurs utilisateurs une réelle force politique clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 117
Panorama cybercriminalité, année 2009 é sociét 1. Concurrencer les médias Limites: Laurent Suply, journaliste au Figaro.fr « Mosaïque d'informations parcellaires qui se développe en direct de façon anarchique » Informations non vérifiées, non synthétisées , subjectives, émotives, parfois fausses Bruit - Écho Amy Gahran, consultante en communication de l’université du Colorado “Les journalistes citoyens ne produisent ni information ni analyse, ils se contentent souvent de citer les contenus des médias traditionnels ou des faits banals et sont incapables de donner du sens à un événement » clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 118
Panorama cybercriminalité, année 2009 é sociét 2. Concurrencer les forces policières Citoyens utilisent Internet pour retrouver: l’auteur de sévices sur un chat un cambrioleur un client parti sans payer l’addition clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 120
Panorama cybercriminalité, année 2009 é sociét 2. Concurrencer les forces policières Activités anti-pédophiles Perverted Justive Wikisposure Décembre 2009 Chasse à l'homme en direct sur Google Wave Chine: « moteurs de recherche de chair humaine» clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 121
Panorama cybercriminalité, année 2009 é sociét Autres changements dans les modes conventionnels Pour les artistes, signer chez une major n’est plus l’unique voie pour accéder au succès Ils peuvent maintenant se faire connaitre à travers le WEB 2.0. Les vidéos de Pomplamoose ont généré plusieurs millions de vues sur Youtube et ont été "twittées" par Ashton Kutcher et Kylie Minogue clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 123
Panorama cybercriminalité, année 2009 é sociét Autres changements dans les modes conventionnels Décembre 2009 Les scientifiques de l'Institut d'études géologique des États-Unis ont intégré Twitter à leurs outils de Détection des tremblements de terre Dr. Paul Earle, USGS "Les messages sur Twitter sont publiés quelques secondes après un séisme alors que les scientifiques n'obtiennent ces informations qu'entre 2 et 20 minutes plus tard ". clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 124
Panorama cybercriminalité, année 2009 é sociét Autres changements dans les modes conventionnels Novembre 2009 «Climategate». Groupes de détracteurs d’une idée qui utilisent le WEB pour promouvoir leur point de vue et trouver des appuis clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 125
Panorama cybercriminalité, année 2009 é sociét Conclusion Les outils du Web 2.0 offrent aux citoyens: Une large vitrine, que ce soit pour la diffusion d’information, l’expression d’opinions ou la recherche d’une personne La capacité d’influencer les médias, gouvernements et autres institutions Évolution du phénomène? clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 126
Panorama cybercriminalité, année 2009 Webographie 1/2 http://www.silicon.fr/fr/news/2008/11/28/twitter__relais_de_l_information_lors_des_attentats_de_bombay http://encyclopedie.linternaute.com/definition/169/3/streaming.shtml http://www.numerama.com/magazine/14722-utorrent-21-va-integrer-le-streaming-video.html http://techno.branchez-vous.com/actualite/2009/12/google_resultats_temps_reel_reconnaissance_vocale.html http://technaute.cyberpresse.ca/nouvelles/internet/200912/07/01-928819-google-lance-la-recherche-en-temps-reel.php http://www.lemonde.fr/opinions/article/2009/06/25/twitter-la-crise-iranienne-et-les-mobilisations-citoyennes-par-yves-mamou_1211292_3232.html http://www.fredcavazza.net/2008/03/26/twitter-au-coeur-de-la-revolution-des-medias-sociaux http://www.languagemonitor.com/news/top-words-of-2009 ; http://www.nonfiction.fr/article-2948-twitter_une_nouvelle_arme_politique.htm http://blog.lefigaro.fr/hightech/2008/11/mumbai-bombay-twitter.html http://www.nonfiction.fr/article-2948-twitter_une_nouvelle_arme_politique.htm http://blog.lefigaro.fr/hightech/2008/11/mumbai-bombay-twitter.html http://www.lemonde.fr/technologies/article/2009/06/10/le-reseau-twitter-emerge-comme-source-d-information-pour-les- medias_1205117_651865.html#ens_id=1213353 http://www.psyetgeek.com/twitter-lavion-dans-lhudson-et-les-mythes http://www.suchablog.com/video-de-lamerissage-de-lairbus-a320-sur-lhudson-river http://fr.techcrunch.com/2008/11/27/attentats-en-inde-twitter-un-media-au-coeur-de-lhorreur/ http://www.silicon.fr/fr/news/2008/11/28/twitter__relais_de_l_information_lors_des_attentats_de_bombay http://www.nonfiction.fr/article-2948-twitter_une_nouvelle_arme_politique.htm http://www.lagazettedeberlin.de/5462.html http://www.lesinrocks.com/actualite/actu-article/t/1261570201/article/le-web-outil-de-revolte-de-la-jeunesse http://www.nonfiction.fr/article-2948-twitter_une_nouvelle_arme_politique.htm http://www.nonfiction.fr/article-2948-twitter_une_nouvelle_arme_politique.htm http://www.lemonde.fr/opinions/article/2009/06/25/twitter-la-crise-iranienne-et-les-mobilisations-citoyennes-par-yves-mamou_1211292_3232.html clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 127
Panorama cybercriminalité, année 2009 Webographie 2/2 http://www.lagazettedeberlin.de/5462.html http://fr.techcrunch.com/2008/11/27/attentats-en-inde-twitter-un-media-au-coeur-de-lhorreur http://blog.lefigaro.fr/hightech/2008/11/mumbai-bombay-twitter.html http://technaute.cyberpresse.ca/nouvelles/internet/200811/28/01-805403-les-attentats-de-mumbai-en-direct-sur-les-blogues-et-sites-de- messagerie.php http://groups.poynter.org/members/?id=3056573 http://www.journalistiques.fr/post/2008/11/27/Attentats-en-Inde%3A-citizen-journalists-plus-commentateurs-que-reporters http://www.nonfiction.fr/article-2948-twitter_une_nouvelle_arme_politique.htm http://www.kenny-glenn.net/ http://www.theregister.co.uk/2007/08/02/facebook_burglar http://www »’aff.paperblog.fr/1376176/partis-sans-payer-l-addition-on-les-retrouve-grace-a-facebook/ http://www.wikisposure.com http://www.perverted-justice.com/ http://www.20minutes.fr/article/368146/High-Tech-Chasse-a-l-homme-en-direct-sur-Google-Wave.php http://typepad.viceland.com/vice_france/2009/06/nerd-shit-traque-sur-internet.html#more ; http://www.letemps.ch/Page/Uuid/278149e6-e5a8-11dd-b87c-1c3fffea55dc/Des_justiciers_chinois_de_lInternet_pr%C3%B4nent_le_lynchage_virtuel http://www.numerama.com/magazine/14690-pomplamoose-signer-avec-une-major-non-merci.html http://www.annemariecordeau.com/non-classe/le-pouvoir-des-consommateurs-du-web-ou-la-nouvelle-economie-relationnelle http://www.numerama.com/magazine/14716-twitter-un-nouvel-outil-pour-detecter-les-tremblements-de-terre.html http://news.bbc.co.uk/2/hi/science/nature/8413128.stm http://crimes-cyber.blogspot.com/2009/11/des-pirates-simmiscent-dans-le-debat.html http://www.wired.com/threatlevel/2009/11/climate-hack http://www.cyberpresse.ca/opinions/chroniqueurs/francois-cardinal/200911/27/01-925730-le-climategate-un-reel-scandale.php http://www.nonfiction.fr/article-2948-twitter_une_nouvelle_arme_politique.htm clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 128
Panorama cybercriminalité, année 2009 TOUTES LES INFORMATIONS UTILISEES DANS CETTE PRESENTATION PROVIENNENT DE SOURCES PUBLIQUES. ELLES ONT ETE PUBLIEES PAR INNOVATIVE MARKETING, SES PARTENAIRES OU SES EMPLOYES. ELLES ONT ETE COLLECTEES AU TRAVERS DU PORT TCP 80. AUCUNE TENTATIVE DE PIRATAGE N’A ETE MENEE, AUCUN LOGIN (NOM D’UTILISATEUR ET/OU MOT DE PASSE) N’A ETE EMPLOYE DURANT CES RECHERCHES. LES DONNEES SONT/ETAIENT SIMPLEMENT DISPONIBLES POUR QUI VEULENT/VOULAIENT BIEN LES CONSULTER. Une Entreprise Criminelle au Microscope Un grand merci à Dirk Kollberg (McAfee) qui a réalisé toutes les premières investigations qui m’ont amenées ensuite à être moi-même curieux. clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 130
Panorama cybercriminalité, année 2009 Préambule Qu’est ce qu’un scareware ? Logiciel inefficace ou malveillant vendu par une société éditrice sans scrupule qui invoque des menaces imaginaires afin d’inciter les internautes à l’achat. clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 131
Panorama cybercriminalité, année 2009 Préambule Pendant près de 12 mois, les serveurs de la société restent ouverts à tous ceux qui veulent en comprendre le fonctionnement. La société est aussi fortement représentée sur LinkedIn. • Agencement des locaux, • Personnel, • Production et R & D, • Filiales et sous-traitants, • Support technique, • Chiffre d’affaire, • Vie privée & parcours professionnel des employés (répertoire perso pour nombres d’employés - plus de 10 000 photos). clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 132
Panorama cybercriminalité, année 2009 Innovative Marketing Ukraine Banlieue de Kiev clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 133
Panorama cybercriminalité, année 2009 Innovative Marketing Ukraine De véritables locaux clusif@clusif.asso.fr + 33 1 5325 0880 13 janvier 2010 134

Check these out next

Panorama de la Cyber-criminalité - Année 2009

Recommandé

Contenu connexe

Présentations pour vous(19)

Similaire à Panorama de la Cyber-criminalité - Année 2009(20)

Plus de Aref Jdey(20)

Dernier(20)

Panorama de la Cyber-criminalité - Année 2009