1. 20/07/2016
1
Anas ABOU EL KALAM
Président d’AM@N
Panorama de la cybercriminalité
&
Perspectives 2016 …
Association Marocaine de confiAnce Numérique
(AM@N)
Association Marocaine de confiAnce Numérique
(AM@N)
Motivation
Notion d’APT
Vecteurs d’attaque
Exemples d’attaques récentes
Tendances 2016 …
Que faire … ?
Conclusions
Sommaire
Motivation
Notion d’APT
Vecteurs d’attaque
Exemples d’attaques récentes
Tendances 2016 …
Que faire … ?
Conclusions
Sommaire
Cybercriminalité ?
Toute infraction qui implique
l’utilisation des TI,
… actes illégaux intéressant
l’informatique et les
télécommunications tant sur le
plan des matériels que des
logiciels
L’ensemble des infractions
pénales susceptibles de se
commettre sur les réseaux …
Les infractions facilitées
par les TIC
Les infractions
spécifiques aux TIC
« Le coût de la cybercriminalité dans le monde env. 500 milliards de $ -
2. 20/07/2016
2
Physionomie de la Cybercriminalité au Maroc
Attaques DOS Phishing
Skimming Sextorsion
Modes
Opératoires
Motivation
Notion d’APT
Vecteurs d’attaque
Exemples d’attaques récentes
Tendances 2016 …
Que faire … ?
Conclusions
Sommaire
placer du code malveillant personnalisé sur un
ou plusieurs ordinateurs pour effectuer des
tâches spécifiques et rester inaperçu pendant la
plus longue période possible …
se propager
se transformer
se dissimuler
attaque à long terme …
APT
8
• « Avancée»
• l'attaquant va utiliser des mécanismes complexes :
• vulnérabilités non encore connues/corrigées
• compromission de plusieurs technologies
• « Persistante »
• l'attaquant va essayer de manière répétée
d'atteindre son objectif
• ne cherche pas un gain immédiat
• L’attaque est donc présente et recherche par sa
discrétion à durer pour remplir l’objectif défini.
APT
3. 20/07/2016
3
Motivation
Notion d’APT
Vecteurs d’attaque
Exemples d’attaques récentes
Tendances 2016 …
Que faire … ?
Conclusions
Sommaire
10
Augmentation
• Il y a eu « 317 millions de nouveaux maliciel créés au niveau mondial »
Délai
• « Il aura fallu 59 jours aux éditeurs de logiciels pour créer des correctifs
– ils n’en avaient besoin de seulement 4 en 2013 » …
Changement tactique
• les cyberattaquants poussent les particuliers ou les salariés à « s’auto-infecter »
• Les virus classiques tendent à disparaître ces dernières années (1%).
– on parle surtout de trojan, rootkit, addware, phishing, ransomware …
Vecteurs d’attaques
11
• Ingénierie sociale mieux identifier les victimes en étudiant leur
contexte social
• Envoi de courriels de plus en plus personnalisés
– Factures pour DF, CV pour RH, …
– surveiller pour voir les sites que la personne a l habitude de voir
• pour amener le destinataire à ouvrir un lien corrompu ou une pièce jointe
infectée.
• Le spear-phishing s’apparente donc à une attaque chirurgicale
– demande plus de travail de préparation mais qui se veut beaucoup plus efficace …
Vecteurs d’attaques : Spear Phishing
12
cible
• cadres ou des directeurs d’entreprises, politiques, célèbres
Moyen
• Ransonware, e-mail du patron demandant des transférer, …
Stats
• 55 % ont déclaré que leur E/se a eu une augmentation du
volume du whaling au cours des trois derniers mois
• L’usurpation DNS est la stratégie la plus courante,
puisqu’elle est utilisée dans 70 % des attaques »
• La majorité des faux messages sont signés du CEO
• 35 % par le directeur financier, …
Vecteurs d’attaques : Whaling & DNS
Toute la difficulté consiste à protéger un individu,… et pas simplement sa cyberprésence
4. 20/07/2016
4
13
Scareware
• fonctionnant sur la peur, avec l’apparition d’une fenêtre
informant de la présence d’un virus, que l’on ne peut
éliminer qu’avec l’antivirus proposé, et payant….
Ransomware
• prendre en otage / blocage l’ordinateur, interdisant son
fonctionnement avant le paiement de la « rançon ».
– hausse de 113 % en 2014
Cryptolocker
• type de rançongiciel qui chiffre les données des utilisateurs
– a fait 45 fois plus de victimes qu’en 2014…
Vecteurs d’attaques : Scareware & Ransonware
Impossible d’afficher l’image.
Motivation
Notion d’APT
Vecteurs d’attaque
Exemples d’attaques récentes
Tendances 2016 …
Que faire … ?
Conclusions
Sommaire
15
• Avril 2015, mais amorcée dès janvier 2015
• 8h d’interruption des 11 chaînes, RS, sites, wifi, skype, scanner, …
• revendiquée par « Cybercaliphate », mais aurait similitudes avec ATP28Russia
diversion
• coût : 5 millions d'euros pour 2015
– 11 millions d'euros pour 3 prochaines années
TV5 monde
16
• spear phishing
• Employé ouvre pièce jointe lancement maliciel hacker reste discret
déplacement latéral trouver ordi qui administre et/ou qui gère les transferts
• Ils sont parvenus à transférer des fonds vers des comptes aux US, Chine, …
• Les hackers ont pénétré discrètement les postes permettant de contrôler les DAB
pour que des billets sortent à un moment précis
– Une tierce personne était va chercher l’argent au distributeur
• Mot d’ordre :
– connaissance pointue du domaine, rester discret, respect règles, …
Banque Ukranienne
5. 20/07/2016
5
17
• Ransamware
• L’attaque a commencé début décembre 2015 au ministère
des Transports
• en trompant les mesure de sécurité mises en place grâce à
l’utilisation du suffixe de messagerie @aviation-civile.gouv.fr.
Ministère des transports & DGAC
18
• Décembre 2015, codé à partir de la plateforme NW.js
• distribué via des campagnes de spams, charge utile est une archive WinRAR
• Disponible sur le Dark Web en modèle à la demande (RaaS).
• L’apprenti pirate peut configurer le ransomware et le télécharger (22 Mo de
fichiers), puis il donne @ Bitcoin pour que les sommes versées lui parviennent
• Les créateurs de Ransom32 prélèvent au passage une commission de 25%.
Ransom32, en javascript …
19
• Chiffre les données de la victime doit payer
2,4 bitcoins (environ 865 euros)
• Propose à sa victime de souscrire à un
programme d'affiliation.
– il lui demande de contaminer ses contacts, et
– propose de la rétribuer à hauteur de 50% de la
somme perçue …
Chimera : le ransomware qui paye ses victimes
20
• 2016, malware a infecté 3 compagnies régionales d’électricité en Ukraine.
Coupure de grande ampleur qui a privé de courant centaines de millier de foyers
• Le malware est issu du pack « BlackEnergy », découvert en 2007 et MAJ en 2013
• Impossibilité de démarrer, killDisk, backdoor, ….
Black-out électrique en Ukraine suite à un hacking
6. 20/07/2016
6
Motivation
Notion d’APT
Vecteurs d’attaque
Exemples d’attaques récentes
Tendances 2016 …
Que faire … ?
Conclusions
Sommaire
22
• résurgence de phishing (spear phishing, whaling, …)
• Attaques sur les données des cartes de paiement
• Attaques parrainés par des États
Tendances 2016 : objets connectés
23
Smartphones
• Aujourd’hui, il y a plus de smartphones que d’ordinateur
• Ils sont allumés quasiment 24 heures/24
• nous suivent partout
• ont beaucoup plus de connectivité que les équipements traditionnels.
• ont des oreilles, des yeux ….
• stockent infos professionnelles et personnelles
• ont un portefeuille
• …
• MAIS paradoxalement, ….
• on a plus de sécurité sur un ordinateur que sur les smartphones & tablettes
n'ont absolument rien en termes de sécurité
Tendances 2016 : objets connectés
24
BYOD WYOD (Wear Your Own Device)
• Les objets IoT sont de plus en plus fréquents dans les environnements d'entreprise
• Ces objets communiquent en utilisant technos d’Internet peuvent être piratés
• Cependant, les périphériques connectés ne sont pas encore considéré comme
faisant partie de la stratégie de gestion des risques de l'organisation …
Tendances 2016 : objets connectés
Impossible d’afficher l’image.
7. 20/07/2016
7
25
• Juillet 2015, deux scientifiques ont piraté à distance une voiture connectée
– couper le moteur et la commande des freins
• Novembre 2015, VTECH et ses jouets connectés ont été piratés.
– Un million de données volées : e-mail, @, comptes bancaires ...
• janvier 2016, verrouillage/déverrouillage de la serrure par badge (RFID),
smartphone (Bluetooth) ou code audio
• Nécessité pour les E/se de surveiller les appareils & façon dont ils sont utilisés
augmenter les coût, alors que les fabricants cherchent à maintenir les prix bas
« PAS encore UNE PRIORITÉ POUR LA PLUPART DES FABRICANTS »
• Si les problèmes ne sont pas nombreux, c’est que les personnes qui pourraient
réaliser ces piratages « n’y voient pas d’intérêt » …. Pour le moment ….
Tendances 2016 : objets connectés
26
• La plupart des équipements mobiles et objets connectés
interagissent avec le cloud (nuage) qui stocke leurs données &
applis
• Cet espace est une cible d’attaque idéale pour les hackers car il
rassemble une quantité importante de données
• Janvier 2016 : Citrix piratée et infiltrée
– accéder au système de gestion de contenu de Citrix …
Tendances 2016 : Fournisseurs du Cloud
27
• Le Cercle européen de la sécurité et des SI estime que le cybersabotage est
aujourd’hui l’une des plus grandes menaces.
• Exemple :
– polluer l’eau,
– faire exploser une usine,
– faire dérailler un train …
Tendances 2016 : Infrastructures critiques
Impossible d’afficher l’image.
28
Le maillon faible ?
• smartphones, tablettes et objets connectés, … humain …
• 76% des vulnérabilités identifiées avaient déjà été connu pour deux ans ou plus.
– Près de 10% étaient connues de plus de dix ans.
• Le périmètre de sécurité est en train de changer - avec sept des top 10 des
vulnérabilités identifiées agissent au niveau de l'utilisateur final
• +20% vise les établissements étatiques …
Tendances 2016 : généralités
8. 20/07/2016
8
Motivation
Notion d’APT
Vecteurs d’attaque
Exemples d’attaques récentes
Tendances 2016 …
Que faire … ?
Conclusions
Sommaire
30
• Défense en profondeur basée sur l’analyse des risques
• Déconnecter la machine du réseau
• Prévenir le responsable sécurité
• Faire une copie physique du disque
• Rechercher les traces disponibles
Tendances 2016 : généralités
Motivation
Notion d’APT
Vecteurs d’attaque
Exemples d’attaques récentes
Tendances 2016 …
Que faire … ?
Conclusions
Sommaire
32
• Le risque zéro n’existe pas … Maroc = 3ème pays + touché en afrique
• Une attaque n’est pas éventuelle, elle n’est tout simplement pas encore arrivée
• Risque connu responsabilité engagée
• MaCERT c’est bien … encore faut il déclarer els incidents
– Pour gérer les incidents il faut les déclarer pour les déclarer il faut les détecter …
• Toute la difficulté consiste à protéger un individu, et pas simplement sa
cyberprésence
• L’être humain est souvent le maillon faible de sécurité
Conclusions
9. 20/07/2016
9
33
• Maroc = 3ème pays + touché en afrique
Conclusions
34
• Une attaque n’est pas éventuelle, elle n’est tout simplement pas encore arrivée
• Maroc = 3ème pays + touché en Afrique
Conclusions
35
• MaCERT c’est bien … encore faut il déclarer les incidents
– Pour gérer les incidents il faut les déclarer pour les déclarer il faut les détecter …
Conclusions
36
• Toute la difficulté consiste à protéger un individu, et pas simplement sa
cyberprésence
• L’être humain est souvent le maillon faible de sécurité
Conclusions
10. 20/07/2016
10
37
• La sécurité ce n’est pas juste stopper, c’est aussi démarrer .. processus
• La sécurité c’est d’abord la « NORME »
Conclusions
38
• La sécurité est un voyage … pas une destination
Conclusions
39
• Défense en profondeur : prévention, détection, correction …
Conclusions
40
MERCI
Conclusions