Panorama cybercriminalité, année 2010

CLUB DE LA SECURITE DE L'INFORMATION FRANCAIS: Panorama cybercriminalité, année 2010

Introduction par le président du CLUSIF / Pascal LOINTIER (CLUSIF)

Après la formulation des vœux pour la nouvelle année, Mr Lointier a effectué un rappel sur le rôle et l'évolution du CLUSIF.

Il s'agit d'une association sans but lucratif datant des années 80, avec plus de six cent membres, dont Sysdream, le CLUSIF compte pour la moitié des fournisseurs ou prestataires de services et l'autre moitié des RSSI, DSI, FSSI... L'objectif étant le partage d'information entre experts avec un fond documentaire. Plusieurs groupes de travail sont actifs en 2011 et propose de l'aide sur divers sujets tels que MEHARI, la cryptographie, la virtualisation, les DDoS...

Un autre fait notable du CLUSIF est l'appartenance à un réseau international d'échange comme récemment au Burkina Faso, en Italie ou à Québec.

Stuxnet: les mystères d'une cyber-attaque industrielle Evocation sur l'automobile et les OS embarqués / Jean-Michel DOAN (LEXSI)

Cette présentation mettait l'accent sur les différentes suppositions relatives à la menace Stuxnet, fortement médiatisée comme étant le début d'une cyber guerre, à ses auteurs et aux cibles visées. Le point important à souligner était l'attaque d'un système mécanique particulier sous des conditions très précises.

S'il est évident de considérer que la piste du sabotage est privilégiée, il reste à déterminer si cela vise Siemens ou une infrastructure autre utilisant de tels systèmes.

L'évocation qui a directement suivie concernait les systèmes de contrôle d'équipements comme dans l'automobile. Même si cela préface certainement une augmentation des exploitations de ce type, il ne faut pas oublier que le développement d'une telle attaque demande beaucoup de ressources et aussi beaucoup de recherche en amont.

Hacktivisme: entre criminalité et militantisme / François PAGET (McAfee Labs)

Mr Paget a présenté les résultats de ses recherches sur l'Hacktivisme, son histoire, ses codes, ainsi qu'un exercice (réussi) de démystification des évènements actuels (groupe Anonymous). La prise de conscience de ce coté de l'Atlantique date des attaques par déni de service distribué (DDoS) à l'encontre des infrastructures d'Estonie.

Un rapide historique des protestations virtuelles de l'année 2010 montre que c'est devenu un moyen de communication de plus en plus utilisé par les groupes de pression.

Le chercheur a ensuite tenté de nuancer la notion d'Hacktivisme par rapport aux évènements qui font planer le doute quand à la participation ou la bénédiction de certains gouvernements à des cyber-attaques.

L'accent est mis sur le fait que l'Hacktivisme des groupes que nous connaissons peut évoluer en criminalité informatique et passer du militantisme à l'encontre de faits sociétaux, à l'action concrète contre des infrastructures gouvernementales ou bancaires.

Le crime est de plus en plus mobile / Eric FREYSSINET (Gendarmerie Nationale)

Il est certain que les smartphones ont pris une place importante dans la vie de beaucoup de gens, y compris des professionnels. Comme tous les secteurs lucratifs, ces minis ordinateurs sont sujets à des risques de sécurité de plus en plus élevés.

D'une part nous avons les données utilisateur qui représentent une mine d'or pour les annonceurs, et que d'après certains journaux, des éditeurs d'applications accédant à vos données ont peu de scrupules à les partager (les vendre ?). Ces indiscrétions ne sont pas forcément hors-la-loi comme le montre la récente affaire opposant Research In Motion (fabricant du Blackberry) à une agence gouvernementale Indienne: l'état Indien a exigé l'accès aux mails et aux chats transitant via les services du Blackberry pour des raisons de sécurité nationale (faut de quoi elle bloquerait purement et simplement le réseau à un niveau plus élevé). Le gendarme rappelle également que porter atteinte à la vie privée d'autrui est puni par la loi (art 226-1,3 et 15 du Code Pénal), en dehors du fait que la plupart des applications du marché pour smartphones sont des arnaques. En effet les annonces fleurissent pour l'application miracle qui permet d'espionner son interlocuteur, sa femme, etc...

S'ensuit une rapide énumération des dernières prouesses des chercheurs en sécurité informatique, sur la technologie GSM (CCC 2009 et 2010), la plateforme Android ou iPhone. Nous pouvons noter les découvertes régulières de failles impressionnantes liées aux systèmes d’exploitation sur lesquels se basent les ordis phones (souvent dérivé de Linux). Cette présentation nous amène à penser que la criminalité sur smartphone n'en est qu'à ses balbutiements.

Botnets: la lutte s'intensifie / Pierre CARON (Orange Labs)

Les botnets représentent une menace grandissante dans la vie des professionnels, tant leurs actions peuvent être fortes et leurs médiatisations accaparer le devant de la scène de la sécurité informatique. Ces menaces sont prises très aux sérieux par les autorités comme le montre les différentes actions dites de « décapitation » à l’encontre de certains botnets, c'est-à-dire mettre à mal le ou les serveurs de contrôles (C&C). Si la menace est bien appréhendée, il n’en reste pas moins un flou artistique sur certaines notions que Mr Caron ne manque pas de nous rappeler (définition, composition, étendue d’action, objectifs, idées préconçues). Nous notons également la mise en place de procédures, certes sujettes à débat, mais pionnières dans la façon de traiter le corps du ou des botnets, à savoir les ordinateurs infectés et transformés en zombies.

En effet certains hébergeurs Européens n’hésitent pas, en coordination avec les autorités à avertir voir placer certains abonnés en quarantaine, ne leur garantissant un accès sous contrôle que pour désinfecter leurs postes. La lutte s’intensifie également à l’encontre des hébergeurs malveillants qui supportent ce type de réseau, en âme et conscience.

Evocation: Bugs, IPv6, jeux en ligne / Hervé SCHAUER (HSC)

Mr Schauer, dans un exercice fort difficile d’évocation de sujets multiples nous a proposé de passer en revue les différents bogues du passé et à venir et leurs implications. Ces problèmes se retrouvent notamment dans le passage à l’an 2011, causant divers symptômes sur les systèmes bancaires (rejet de carte de crédit) et les smartphones (passage en l’an 2016 pour Windows mobile, anomalie du système d’horloge sur iPhone). Le consultant nous rappelle également le bogue de 2038 approchant doucement mais sûrement, et qui causera certainement plus de cheveux blancs aux ingénieurs que le bogue présumé de l’an 2000 (Y2K), en effet celui-ci repose sur l’encodage 32 bits de la représentation POSIX du temps.

S’ensuit un rapide passage sur l’IPv6 dont la raison d’être, à savoir la disparition d’adresses disponibles sur IPv4, prendra tout son sens incessamment sous peu n’est pas toujours correctement considéré par les entreprises. Cela va s’avérer certainement un positionnement supplémentaire sur le marché de la sécurité informatique.

Cette présentation se termine sur une constatation des évènements liés à la légalisation des jeux d’argent en ligne. En effet ceux-ci étaient la source de nombreuses escroqueries à l’étranger, sans compter la validité des licences (dé corrélation géographique avec le joueur et la législation en vigueur). Ils étaient notamment exploités par des cercles mafieux qui y voyaient une extension virtuelle d’un marché largement maitrisé aujourd’hui.

L’évocation de l’ARJEL et de la législation française laisse à penser que cette criminalité aura du mal à s’installer en France. La sécurité des infrastructures hébergeant ces jeux étant soumise à des audits exhaustifs (front et back office), cela permet également d’assurer l’intégrité du circuit financier et la confidentialité des informations confiées aux prestataires.

Cocktail: les rencontres informelles

Le CLUSIF c'est aussi, après les présentations, un cocktail qui laisse place à des conversations décontractées permettant à certains de débattre plus amplement des points abordés, mais aussi de questionner les intervenants.

En conclusion ce panorama sur l'année 2010 était très intéressant tant dans son aspect conférence que son aspect rapprochement et contacts entre les membres. Cela présage un avenir riche en découvertes et en interventions.

NOTE: Vous pouvez en apprendre plus sur le CLUSIF en vous rendant sur le site de l'association http://www.clusif.asso.fr/ Les vidéos et diapos sont disponibles pour les membres sur le site. Ils seront accessibles au grand public dans six mois (encore une raison valable de vous inscrire).