CLUSIF - Panorama de la Cybercriminalité, Année 2008

Transcription

Panorama de la cybercriminalité
année 2008
15 janvier 2009
version b
Panorama cybercriminalité, année 2008
Le CLUSIF : agir pour la sécurité de l’information
Association sans but lucratif (création au début des années 80)
> 600 membres (pour 50% fournisseurs et prestataires de produits et/ou services,
pour 50% RSSI, DSI, FSSI, managers…)
Partage de l’information
Echanges homologues-experts, savoir-faire collectif, fonds documentaire
Valoriser son positionnement
Retours d’expérience, visibilité créée, Annuaire des Membres Offreurs
Anticiper les tendances
Le « réseau », faire connaître ses attentes auprès des offreurs
Promouvoir la sécurité
Adhérer…
[email protected]
+ 33 1 5325 0880
15 janvier 2009
2
La dynamique des groupes de travail
Documents en libre accès
Traductions (allemand, anglais…)
Prises de position publiques ou réponses à consultation
Espaces d’échanges permanents : MEHARI, Menaces, RSSI
[email protected]
+ 33 1 5325 0880
15 janvier 2009
3
Des actions en région, une collaboration à l’international
[email protected]
+ 33 1 5325 0880
15 janvier 2009
4
Objectifs du panorama:
Apprécier l’émergence de nouveaux risques et les tendances
de risques déjà connus
Relativiser ou mettre en perspective des incidents qui ont
défrayé la chronique
Englober la criminalité haute technologie, comme des
atteintes plus « rustiques »
[email protected]
+ 33 1 5325 0880
15 janvier 2009
5
Contributions au panorama 2008
Sélection réalisée par un groupe de travail pluriel : assureur, chercheur,
journaliste, officier de gendarmerie et police, offreur de biens et de
services, RSSI
AIG Europe
Best Practices-SI
HSC
Kroll Ontrack
McAfee
Orange
SNCF
Websense
Direction Centrale de la Police
Judiciaire (OCLCTIC)
Gendarmerie Nationale
Parquet Général, Cour d’Appel
de Versailles
Sûreté du Québec
Le choix des sujets et les propos tenus
n'engagent pas les entreprises et organismes ayant participé au groupe de travail
[email protected]
+ 33 1 5325 0880
15 janvier 2009
6
Sélection des événements médias
Illustration
d’une émergence,
d’une tendance,
d’un volume d’incidents.
Cas particulier
Impact ou enjeux,
Cas d’école.
Les images sont droits réservés
Les informations utilisées proviennent de sources ouvertes
Les entreprises sont parfois citées par souci de précision et parce que leur nom a été communiqué dans les médias
[email protected]
+ 33 1 5325 0880
15 janvier 2009
7
Retour sur le panorama 2007
Mondes virtuels : l’appât du gain
☺ Arrêtée pour avoir tué son mari virtuel
☺ Divorce réel après un adultère virtuel
Perturber, déstabiliser…
Attaques en réputation
☺ Condamnation CastleCops
☺ Le président de la F1 dans une vidéo SM
☺ Test de carding sur des œuvres caritatives
Le hacking pour focaliser l’attention ?
☺ Déforestation brésilienne (hacking et modification des permis d’abattage)
Espionnage industriel
☺ Un cadre d’un fabricant de pneumatiques français tente de revendre des informations à un
concurrent
☺ Le cyber-espionnage devient B2B
☺ Vente de secrets industriels d’un constructeur d’avions français
Réseaux sociaux, opportunités de malveillance/renseignement
☺ Procès Josh dans l’affaire du suicide de l’adolescent
☺ Confer infra
[email protected]
+ 33 1 5325 0880
15 janvier 2009
8
Retour sur le panorama 2007
Sophistication des attaques
☺ Kraken encore plus performant que Storm
☺ Icann réagit face aux Domain tasters
☺ Encore 6 000 sites web découverts comme contaminés par iFrame
Enjeux malveillants sur le eCommerce
Fraude aux cartes bancaires via Internet
☺ Multiples arrestations en Roumanie
Escroqueries via les sites d’enchères
Evocation de faits marquants
« Cyber-guerre » Estonie
☺ La Lituanie, le Tibet, Radio Free Europe, coupure du GSM en Afghanistan, etc.
Cyber-attaques « chinoises »
☺ L’inde accuse la Chine
Enjeux de sécurité sur les infrastructures SCADA
☺ CIA évoque des blackouts électriques suite à des cyber-attaques
☺ Piratage du réseau téléphone de la FEMA (Federal Emergency Management Agency, E-U))
☺ Condamnation de l’informaticien ayant saboté les feux de circulation à Los Angeles (E-U)
[email protected]
+ 33 1 5325 0880
15 janvier 2009
9
Webographie
http://www.independent.co.uk/life-style/gadgets-and-tech/news/woman-jailed-after-killing-virtual-husband-972457.html
http://technology.timesonline.co.uk/tol/news/tech_and_web/article5002721.ece
http://uk.reuters.com/article/lifestyleMolt/idUKTRE4AD39G20081114
http://www.networkworld.com/news/2008/061008-hacker-pleads-guilty-to-attacking.html
http://www.theregister.co.uk/2008/10/13/castlecops_attacker_sentenced/
http://www.theregister.co.uk/2008/04/18/mosley_sues_again/
http://blogs.iss.net/archive/RainforestHackers.html
http://www.lefigaro.fr/societes-francaises/2008/01/16/04010-20080116ARTFIG00338-un-espion-presume-chezmichelin.php
http://www.infoworld.com/article/08/01/15/Cyber-espionage-moves-into-B2B_1.html
http://fr.reuters.com/article/technologyNews/idFRMAN56193920080125
http://news.zdnet.co.uk/security/0,1000000189,39292445,00.htm
http://www.usatoday.com/news/nation/2008-11-14-327594069_x.htm
http://www.theregister.co.uk/2008/04/07/kraken_botnet_menace/
http://www.theregister.co.uk/2008/01/30/icann_to_stamp_out_domain_tasting/
http://www.theregister.co.uk/2008/01/23/booby_trapped_web_botnet_menace/
http://www.zataz.com/news/17130/Demantelement--reseau-international--hameconnage--phishing.html
http://www.7sur7.be/7s7/fr/1503/Multimedia/article/detail/332300/2008/06/30/La-Lituanie-se-plaint-d-avoir-subi-descyberattaques.dhtml
http://www.upi.com/Emerging_Threats/2008/05/02/US-Belarus_row_escalates_after_cyberattack_expulsions/UPI24681209747593/
http://uk.reuters.com/article/latestCrisis/idUKISL8417720080315
http://www.infowar-monitor.net/modules.php?op=modload&name=News&file=article&sid=1670
http://www.informationweek.com/news/internet/showArticle.jhtml?articleID=205901631
http://www.theregister.co.uk/2008/08/21/dhs_phonesystem_hacked/
http://www.theregister.co.uk/2008/11/06/traffic_control_system_sabotage/
[email protected]
+ 33 1 5325 0880
15 janvier 2009
10
Panorama 2008
Web 2.0 et réseaux sociaux : les menaces se précisent…
Sécurité hardware et confiance sur Internet
Chip hacking : essor du piratage des circuits électroniques
Routage d’Internet : erreurs, malveillances, opportunités…
La criminalité organisée et le numérique
Effets d’annonce et failles de sécurité non exploitées : quelle
est la réalité de la menace ?
Du sabotage interne aux atteintes de sécurité sur les
infrastructures
[email protected]
+ 33 1 5325 0880
15 janvier 2009
11
Conférenciers
M. François Paget
Chercheur de menaces – McAfee Avert Labs
[email protected]
M. Franck Veysset
Expert senior – Orange Labs
[email protected]
LCL Eric Freyssinet
Chargé des projets cybercriminalité – Direction Générale Gendarmerie Nationale
[email protected]
M. Hervé Schauer
Consultant en sécurité des systèmes d’information – HSC
[email protected]
M. Pascal Lointier
Conseiller sécurité de l’information – AIG Europe
[email protected]
[email protected]
+ 33 1 5325 0880
15 janvier 2009
12
Panorama 2008
infrastructures
[email protected]
+ 33 1 5325 0880
15 janvier 2009
13
Source: http://www.rezonance.ch/fssearch/download/SKOCH_Rezonance_Reputation_1601082s.pdf?version_id=1971752
Web 2.0 &
Réseaux Sociaux : les menaces se précisent
[email protected]
+ 33 1 5325 0880
15 janvier 2009
14
Web 2.0
Une définition parmi bien d’autres…
L’utilisateur consulte
“Le Web 2.0 pourrait être vu
comme un réseau social
mondial où chaque site
participant est acteur du réseau
et contribue à rendre acteurs
les internautes”
Thierry Gagnaire
http://www.neteco.com/128670-web-tribunethierry-gagnaire.html
L’utilisateur interagit
[email protected]
+ 33 1 5325 0880
15 janvier 2009
15
Réseaux Sociaux
Caractéristiques communes
Un profil utilisateur
Une recherche parmi les
utilisateurs
Une offre de mise en
communication entre
utilisateurs
Une incitation à donner de
l’information
Les réseaux sociaux possèdent tous le même fonctionnement : on crée son profil
(infos personnelles, photos, centres d'intérêt) et l’on invite ses «amis» à nous
rejoindre.
Skyrock (pour la France), puis Myspace et Facebook sont en tête des plateformes
les plus visitées
[email protected]
+ 33 1 5325 0880
15 janvier 2009
16
Réseaux Sociaux = Partage
Tout se partage…
Partage de vidéos
« Plus d'un quart des jeunes collaborateurs
passent trois heures, quelquefois davantage,
sur des sites web tels que YouTube ou
MySpace pendant leur temps de travail… »
(source Clearswift - 2007)
Youtube, DailyMotion
Partage de podcasts (fichiers audio)
Podemus, Radioblog
Partage de photos et de diaporamas
Flickr, Fotolia, SlideShare
Partage de CV, mise en relation
Réseaux généralistes: Facebook, MySpace, Copainsdavant
Réseaux professionnels: LinkedIn, Viadeo
Réseaux de chercheurs: Scilink
Partage de signets (marque-pages Internet)
Del.icio.us, Blogmarks
Partage d’informations et de savoir
Wikipédia, AgoraVox
[email protected]
+ 33 1 5325 0880
15 janvier 2009
17
Réseaux Sociaux
Des menaces qui évoluent
Année 2005 : « J’ai 19 ans, etc. »
(j’utilise l’e-mail).
t
n
a
v
A
Année 2008 : « J’ai 22 ans, etc. »
(j’utilise LinkedIn)
n
e
t
n
i
a
M
t
an
Exemple: scam 419
[email protected]
+ 33 1 5325 0880
15 janvier 2009
18
Réseaux Sociaux
Des criminels motivés et des opportunistes
Malware, Vulnérabilités, Spam, Phishing
Vers, virus, Trojan, Widgets
« Wall Spam »
Attaques XSS, Fichiers « GIFAR » (GIF + JAR)
Renseignements, Espionnage
Collecte
Agrégation
Concaténation de Données
Atteinte à la Réputation des Entreprises et des Personnes
Manipulation,
Harcèlement (stalking),
Intimidation (bullying)
Danger de l’indélébilité
[email protected]
+ 33 1 5325 0880
15 janvier 2009
19
Réseaux Sociaux – Menaces ordinaires
Malware
W32/Koobface.A.worm (MySpace)
Propagation lorsqu’un usager accède à son compte MySpace
Création d’une série de commentaires dans les comptes d’amis
W32/Koobface.B.worm (Facebook)
Cible les usagers de Facebook
Génération de spam à destination des amis
Plus de 25 variantes en 2008
[email protected]
+ 33 1 5325 0880
15 janvier 2009
20
Failles de sécurité de type « Cross Site Scripting » (XSS)
Les failles de type XSS peuvent donner la possibilité à un attaquant distant de
« voler » la session d’un utilisateur ou de mener des attaques de type phishing.
Colonne1
FIXED
déc-08
déc-08
déc-08
déc-08
oct-08
sept-08
juil-08
juin-08
juin-08
mai-08
mai-08
mai-08
mai-08
avr-08
avr-08
mars-08
févr-08
févr-08
janv-08
janv-08
Total
[email protected]
UNFIXED
1
1
1
1
1
1
1
1
1
1
1
1
1
2
1
1
1
1
1
1
1
18
+ 33 1 5325 0880
15 janvier 2009
21
Spam
Un Canadien, Adam Guerbuez, et sa
compagnie Atlantis Blue Capital, sont
poursuivis par Facebook
Entre les mois de mars et avril 2008, il
aurait envoyé plus de quatre millions
de messages non sollicités à des
usagers du réseau, après avoir
frauduleusement obtenu l'accès à des
comptes d'utilisateurs
Les messages, provenant soi-disant de
contacts ou d'autres membres,
proposaient notamment de la
marijuana médicinale ou des pilules
stimulant la virilité
Le 28 novembre, il est condamné à
payer 873 millions de dollars à
Facebook
[email protected]
+ 33 1 5325 0880
Source images: http://www.alleyinsider.com/2008/8/facebook-s-virusreappears-but-facebook-s-vaccine-works-as-advertised
15 janvier 2009
22
Phishing & Typo-Squatting
• Les faux e-mails et les sites
miroirs se multiplient.
[email protected]
+ 33 1 5325 0880
Avec le typo-squatting le fraudeur
dépose un nom de domaine proche de
celui du site dont il souhaite détourner
une partie du trafic. Il espère qu’une
faute d’attention (faute de frappe,
lecture trop rapide) entrainera la
victime vers le site miroir.
15 janvier 2009
23
Botnet & Social Engineering - Facebot
Des chercheurs mettent à disposition une preuve
de concept (PoC) démontrant que Facebook
peut servir de support à un nouveau type de
réseau de machines zombies (botnet)
Sous couvert d’une application proposant chaque
jour une photo du National Geographic, ils
utilisent la balise IMG du langage HTML, pour
piloter une attaque en DDoS
A chaque clic, alors qu’une nouvelle photo est
affichée, une série de requêtes HTTP est
émise par le poste demandeur en direction de
sa cible.
Malgré l’absence de publicité, de nombreux
utilisateurs découvrent l’application et
l’installent
Ciblant MySpace, des démos semblables avaient été présentées à BlackHat/Defcon en août
2008.
[email protected]
+ 33 1 5325 0880
15 janvier 2009
24
Réseaux Sociaux – Risque pour l’individu
Les amis d’aujourd’hui, ne seront pas forcément ceux
de demain – e-reputation
Un député suisse se fait filmer
par sa maîtresse, avec son
téléphone portable
Il rompt avec celle-ci
Elle envoie le film à un « ami »
qui le transmet ensuite à un
journaliste
Les médias s’emparent de
l’affaire
Il perd son mandat politique ainsi
que d’autres prérogatives
[email protected]
+ 33 1 5325 0880
15 janvier 2009
25
Réseaux Sociaux – Risque pour l’individu
Mauvaises rencontres
Les adolescents se dévoilent trop sur les
sites communautaires
Novembre 2008: une jeune fille
mineure rejoint un homme qu’elle a
rencontré sur Internet
« soustraction de mineur en état de
récidive légale »
« atteinte sexuelle sur mineur de 15
ans avec pour circonstance
aggravante l'usage de moyens de
communication électronique »
[email protected]
+ 33 1 5325 0880
15 janvier 2009
26
Réseaux Sociaux – Risques pour l’individu
Fausses identités : du jeu à la manipulation
On ne compte plus le nombre de faux
profils liés à des personnalités
politiques ou artistiques
Au début 2008, un marocain est
condamné à 3 ans de prison pour
avoir créé un profil Facebook en
usurpant le nom d’un membre de la
famille royale du roi Mohamed VI. Il
est libéré un mois plus tard
Se présentant illégitimement comme
une journaliste au Monde, Rachel
Bekerman, a su se créer un tissu
relationnel de plus de 1200
personnes, dont de nombreux
journalistes, sans jamais dévoiler
son identité
[email protected]
+ 33 1 5325 0880
15 janvier 2009
27
Réseaux Sociaux – Risques pour l’individu
Divulgation d’informations qui peuvent, par ailleurs,
s’avérer sensibles
Les réponses aux « questions
mystères » qui permettent la
réinitialisation de mots de
passe peuvent parfois se
retrouver dans les profils
créés au titre de tel ou tel
réseau social
La question mystère protégeant
le compte Yahoo de Sarah
Palin (septembre 2008) était
« Où avez-vous rencontré
votre mari ? »
Réponse: « Wasilla High School »
[email protected]
+ 33 1 5325 0880
15 janvier 2009
28
29
Réseaux Sociaux – Risques pour l’individu (comme pour
l’entreprise)
Amour, doute, incertitude, trahison
L’employé est monogame, la manière dont il vit sa relation avec
l’entreprise est en partie émotionnelle. L’entreprise quant à
elle, est polygame, sa relation à l’employé est généralement
plus factuelle…
Mars 2008 : A Cholet, un salarié de Michelin est licencié après
avoir posté sur Internet des messages dénigrant son
employeur. Dans sa lettre de licenciement, Michelin évoque
une «obligation de loyauté» envers l’entreprise
[email protected]
+ 33 1 5325 0880
15 janvier 2009
29
Réseaux Sociaux – Risques pour l’entreprise
Atteinte à la réputation
Reprise d’un reportage TV, mais
changement du titre de la vidéo
Sa visualisation s’en trouve démultipliée
http://www.dailymotion.com/video/x3awn1_pfizer-contaminedes-enfants-africa
[email protected]
+ 33 1 5325 0880
Une vidéo montre comment un simple
stylo permet l’ouverture d’un cadenas
pour vélos de la société Kryptonite
L’affaire va prendre des proportions
inquiétantes
Source: http://www.rezonance.ch/fssearch/download/SKOCH_Rezonance_Reputation_1601082s.pdf?version_id=1971752
15 janvier 2009
30
Réseaux Sociaux – Risques pour l’entreprise
Atteinte à la réputation
Jeff Bezos, PDG de la boutique en ligne Amazon : « Si vous rendez vos clients mécontents
dans le monde réel, ils sont susceptibles d’en parler chacun à 6 amis. Sur internet, vos
clients mécontents peuvent en parler chacun à 6000 amis »
Créer un blog => 2 minutes
Indexer un billet => 5 minutes
Créer une vidéo avec son téléphone
=> 10 minutes
Mettre la vidéo sur Youtube => 15
minutes
Source: http://www.rezonance.ch/fs-search/download/SKOCH_Rezonance_Reputation_160108-2s.pdf?version_id=1971752
[email protected]
+ 33 1 5325 0880
15 janvier 2009
31
Réseaux Sociaux – Risques pour la Société
Entre appel à la violence et web-révolution
En France, après les violences urbaines de novembre 2005,
des bloggeurs furent interpellés pour « provocation à une
dégradation volontaire et dangereuse pour les personnes par
le biais d’Internet »
Même si cette situation se retrouve aujourd'hui en Grèce
(décembre 2008), Internet semble plutôt être utilisé comme
un outil d’information cherchant à remettre en cause, via des
vidéos amateurs, les annonces officielles faites par le
gouvernement du pays
[email protected]
+ 33 1 5325 0880
15 janvier 2009
32
Revendications, propagande, façonnage de mythes
Septembre 2008
•As Sahab, l’un des organes de production
proche d’Al-Qaeda diffuse depuis longtemps
ses messages qui se retrouvent ensuite
disséminés sur la toile
Décembre 2008
•Sur Facebook, des centaines d’adhésions
sont apportées à des groupes glorifiant les
parrains de Cosa-Nostra
Décembre 2008
• YouTube et Twitter se retrouvent au cœur
du conflit israélo-palestinien
[email protected]
+ 33 1 5325 0880
15 janvier 2009
33
Désinformation, activisme, aide au terrorisme
Des théories fausses ou fantaisistes
et de la désinformation se retrouvent
dans certains articles de Wikipedia :
http://www.fas.org/irp/eprint/mobile.pdf
• Église de Scientologie
• Machines à voter Diebold
• Attentats du 11/09/2001
Des organisations terroristes ont
leurs propres « réseaux sociaux »
Des groupes d’activistes utilisent les
réseaux sociaux pour diffuser leurs
idées
[email protected]
+ 33 1 5325 0880
15 janvier 2009
34
Twitter
Twitter est un outil de réseau social et de
microblogging, qui permet à l'utilisateur de
signaler à son réseau "ce qu'il est en train de
faire". Il est possible d'envoyer et de recevoir ces
updates (mises à jour) par le Web, par
messagerie instantanée ou par messagerie
numérique
On appelle ces updates des
tweets (gazouillis en
anglais): ils sont courts,
d'une longueur maximale de
140 caractères, ce qui
permet de mettre à jour son
Twitter de manière brève et
spontanée
http://labs.aljazeera.net/warongaza/
Nota: Tout comme pour Facebook ou
Myspace, le compte Twitter d’un
utilisateur peut être piraté. Parmi les
récentes victimes de ces attaques
citons Britney Spears et Barack
Obama
[email protected]
+ 33 1 5325 0880
15 janvier 2009
35
Diffusion involontaire d’informations sensibles
Twitter pourrait s’avérer très utile à des activités terroristes
Les blogs militaires (warblogs) inquiètent aussi les états
majors en matière de fuite d’informations. Si une image
réelle qui ne devait pas être montrée pose problème, une
image hors contexte ou truquée en pose un autre
[email protected]
+ 33 1 5325 0880
15 janvier 2009
36
Les Réseaux Sociaux – Les Menaces se Précisent
Conclusion
Dans un avenir plus ou moins proche, les mondes virtuels et les réseaux sociaux seront
amenés à se rejoindre. La frontière entre le ludique et le professionnel s’en trouvera
réduite. Le danger sera encore plus grand
La plupart des offres de « réseautage » sont fondées sur des modèles économiques de
profit. Outre les risques de détournement, les données (personnelles) stockées ne
risquent-elles pas d’être réutilisées à des fins mercantiles ?
Finlande, 11 novembre 2007, sous le
pseudonyme Sturmgeist89 le meurtrier
avait posté plusieurs vidéos sur YouTube
[email protected]
+ 33 1 5325 0880
Finlande, 23 septembre 2008, sous le
pseudonyme Wumpscut86 le meurtrier
avait posté plusieurs vidéos sur YouTube
15 janvier 2009
37
Conclusion – Points de Vigilance
Les menaces ordinaires s’adaptent aux réseaux sociaux :
les sites communautaires sont, à leur tour, la cible de virus, de spam, de
phishing, de vol d’identité et de failles de sécurité
La « sphère privée » de chaque individu s’amenuise de jour en jour:
On dévoile des pans entiers de sa vie privée (et professionnelle) sans toujours
en avoir conscience
Sans notre consentement, d’autres individus s’expriment à notre sujet ou
diffusent des photos
Une fois diffusée, l’information devient indélébile : elle ne peut plus être
supprimée
[email protected]
+ 33 1 5325 0880
15 janvier 2009
38
Conclusion – Points de Vigilance
L’entreprise est aussi vulnérable :
En multipliant la communication non institutionnelle, les employés peuvent,
volontairement ou non, porter atteinte à l’image de marque de leur entreprise et
diffuser des informations inappropriées, sensibles ou confidentielles.
Par jeu, par intérêt ou par vengeance, des rumeurs ou des campagnes de
désinformation peuvent très vite engendrer des pertes financières conséquentes
Nos sociétés sont aussi menacées :
La propagande et la désinformation peuvent aussi les atteindre
Des extrémistes isolés et des groupes de déstabilisation (voire terroristes) peuvent
recruter des adeptes, s’exprimer et trouver des information sensibles qu’ils
pourront ensuite réutiliser pour porter atteinte à l’ordre public
[email protected]
+ 33 1 5325 0880
15 janvier 2009
39
Webographie
« Qu’est-ce que le Web 2.0 ? »: http://www.neteco.com/128670-web-tribune-thierry-gagnaire.html
Qu'est ce que les réseaux sociaux: http://www.ed-productions.com/leszed/index.php?qu-est-ce-que-les-reseauxsociaux
Fréquentation des réseaux sociaux: http://web-2-geek.blogspot.com/2008/07/frequentation-des-reseauxsociaux.html
Le Web 2.0 favoriserait la fuite d'informations: http://www.lemondeinformatique.fr/actualites/imprimer-le-web20-favoriserait-la-fuite-d-informations-22459.html
Ever put your CV on a job site?: http://www.avertlabs.com/research/blog/index.php/2008/07/14/ever-put-your-cvon-a-job-site/
Facebook’s Virus Reappears, But Facebook's Vaccine Works As Advertised:
http://www.alleyinsider.com/2008/8/facebook-s-virus-reappears-but-facebook-s-vaccine-works-as-advertised
Antisocial Networks: Turning a Social Network into a Botnet:
http://www.ics.forth.gr/~elathan/publications/facebot.isc08.pdf
Un salarié de Michelin licencié pour s'être épanché sur le net: http://www.lefigaro.fr/actualitefrance/2008/12/13/01016-20081213ARTFIG00580-un-salarie-de-michelin-licencie-pour-s-etre-epanche-sur-le-net.php
Jail for Facebook spoof Moroccan: http://news.bbc.co.uk/2/hi/africa/7258950.stm
La justice se penche sur le cas du hacker de Sarah Palin:
http://www.silicon.fr/fr/news/2008/10/09/la_justice_se_penche_sur_le_cas_du_hacker_de_sarah_palin
Israël attaque Gaza sur YouTube: http://www.infos-du-net.com/actualite/15032-israel-gaza-youtube.html
Sur Facebook, les mafiosi sont sympas: http://www.lemonde.fr/europe/article/2009/01/07/sur-facebook-lesmafiosi-sont-sympas_1138748_3214.html
AlQaida-Like Mobile Discussions & Potential Creative Uses: http://www.fas.org/irp/eprint/mobile.pdf
A DigiActive Introduction to Facebook Activism: http://www.digiactive.org/wpcontent/uploads/digiactive_facebook_activism.pdf
Les comptes Twitter de Britney Spears et d’Obama ont été piratés: http://www.neteco.com/249664-comptes-twitterbritney-spears-obama-pirates.html
Le FBI prévient de la venue prochaine du “Cyber Armageddon”:
http://www.silicon.fr/fr/news/2009/01/07/le_fbi_previent_de_la_venue_prochaine_du__cyber_armageddon_
Les blogs militaires: http://www.c2sd.sga.defense.gouv.fr/IMG/pdf/thematique9charte.pdf
[email protected]
+ 33 1 5325 0880
15 janvier 2009
40
Panorama 2008
Effets d’annonce et failles de sécurité non exploitées :
quelle est la réalité de la menace ?
infrastructures
[email protected]
+ 33 1 5325 0880
15 janvier 2009
41
Plan de l’intervention
Quand l’électronique rejoint l’informatique…
Hacking Mifare, RFID
E-passport
ColdBoot Attacks
Confiance sur Internet
BGP, Youtube et routage sur Internet
MD5 et faux certificats
[email protected]
+ 33 1 5325 0880
15 janvier 2009
42
Evolution du hacking ?
Depuis quelques années, forte évolution du hacking
Logique -> physique
Mouvement initié il y a plusieurs années…
Attaques carte à puces
Canaux cachés, DPA/SPA
PayTV, faux décodeurs, « puces » pirates…
Desimlockage (iPhone v1 puis v2…)
Consoles de jeux et « modders »
Hacking de consoles ; mod chips : DS, Xbox, PS2…
Defcon et le Lockpicking
« All your locks are belong to us »
Orientation vers des utilisations plus « sérieuses »
[email protected]
+ 33 1 5325 0880
15 janvier 2009
43
Présentation « hardware » en 2008…
25C3, Berlin, Décembre 2008
Plus de 15 présentations sur une centaine orientées
« hardware »
RFID, NFC, DECT, GSM, JTAG, WII, Zigbee…
CanSecWest 2008 (mars)
RFID, Réseau Mobitex, Cold boot attacks…
BlackHat Europe 2008 (mars)
Reverse engineering hardware, hacking GSM, Canaux
cachés, sécurité physique…
[email protected]
+ 33 1 5325 0880
15 janvier 2009
44
RFID ?
Croissance forte en 2008…
RFID = Radio Frequency Identification
Composant généralement passif, mémoire + antenne
Alimentation par le lecteur
Problème : Quelle sécurité ?
Besoin de crypto pour assurer la confidentialité
(privacy) et la non clonabilité
Contrainte matériel (et coût) forte…
[email protected]
+ 33 1 5325 0880
15 janvier 2009
45
NXP : Mifare Classic RFID
Annonce faite par le CCC (Chaos Computer Club, Allemagne) le 1/1/2008 :
Cassage de l’algorithme de chiffrement
Mifare : produit de la société NXP, destiné notamment à de l’authentification
sans contact (technologie RFID)
Système de transport public (Londres, Perth, Amsterdam..)
Cas du système hollandais : 2 types de tickets
« Ultralight card », usage unique : simple mémoire + système sans contact,
aucune protection
« Classic card », pour abonnements : idem, mais protection cryptographique
des échanges par un algorithme « secret » (CRYPTO1)
[email protected]
+ 33 1 5325 0880
15 janvier 2009
46
Ultralight card
Clonage possible du ticket
University of Amsterdam, Pieter Siekerman and Maurits van der Schee
Démonstration par un POC (ing. R. Verdult)
Programmation d’un émulateur RFID
Réinitialisation à l’état initial après chaque usage…
« ghost device » - Emulation d’une carte « ultralight card »
source : Proof of concept, cloning the OV-Chip card, ing. R. Verdult
[email protected]
+ 33 1 5325 0880
15 janvier 2009
47
Classic Card (Mifare Classic)
Analyse hardware de puce NXP !
Cela ne devrait pas poser de problème (Security by
Obscurity???)
Mifare internals - source : CCC 2007 – Mifare Security
Analyse d’une carte Mifare Classic (Reverse Enginnering, analyse bas niveau de
l’électronique)
[email protected]
+ 33 1 5325 0880
15 janvier 2009
48
Mifare Classic : crypto
Mais… clef secrète de 48 bits… et algorithme
propriétaire (crypto-1) faible
Décorticage de la puce, détection automatique des
portes
Mifare Crypto-1 – vue logique de l’algorithme secret - source : CCC 2007 – Mifare
Security
[email protected]
+ 33 1 5325 0880
15 janvier 2009
49
Mifare classic
Cassage de la puce : extraction de la clef secrète
Générateur d’aléa faible (16 bits, LFSR-based, dérivé
de l’heure de lecture)
Contrôle du générateur aléatoire
Utilisation de FPGA pour calcul
$100 de matériel pour une semaine de calcul (non
optimisé)
-> clonage de RFID possible
[email protected]
+ 33 1 5325 0880
15 janvier 2009
50
"Producing a fraudulent card remains
complex and risky, and manipulating the
card is of limited value," added the
spokesperson. "It needs a qualified
computer specialist to set up, and risks
detection by our staff or police."
Semiconductor company NXP, which
manufactures the Mifare Classic chips,
claimed that publication of the details
had gone against the principles of
responsible disclosure
"NXP Semiconductors regrets that the Radboud
University Nijmegen has revealed details of the protocol
and the algorithm of Mifare Classic, as well as some
practical attacks on Mifare Classic infrastructures," said
an NXP spokesperson. "A broad publication of detailed
information to carry out attacks with limited means is, at
this moment in time, contradictory to the scientific goal
of prevention and the responsible disclosure of sensitive
information."
[email protected]
+ 33 1 5325 0880
15 janvier 2009
51
MBTA et RFID…
Defcon 16, « Anatomy of a Subway Hack »
Forte médiatisation en août, car la conférence a été interdite…
Approche très « hacking » incluant la sécurité physique, logique et hardware…
Analyse du « Charlie ticket »
Ticket prépayé, rechargeable
Bande magnétique
(montant du ticket + checksum)
Analyse de la « Charlie Card »
Mifare classic…
récupération de la clef, clonage…
[email protected]
+ 33 1 5325 0880
15 janvier 2009
52
Sécurité par l’obscurité…
La sécurité par l’obscurité est généralement une mauvaise idée
Principe de Kerckhoffs (1883…)
Principe ok (??) pour la sécurité du matériel ?
Attention, cela n’est peut-être plus valable en 2008
L’industrie doit évoluer sur le sujet… car cela est parfois valorisé
Notation lors d’évaluations Critère Commun
[email protected]
+ 33 1 5325 0880
15 janvier 2009
53
E-passport ?
Vous le reconnaissez ?
Des passants l’ont aperçu à
Schiphol (Aéroport d’Amsterdam)
fin septembre 08…
[email protected]
+ 33 1 5325 0880
15 janvier 2009
54
E-Passport et sécurité
Arrivée massive des passeports nouvelle génération
Biométrique – ePassport
Utilise une puce de type RFID contenant :
Nom, date de naissance, numéro de passeport
Informations biométriques (photo, empreintes…)
Systèmes crypto anti-clonage (optionnels)
Signature (intégrité des données)
Standard défini par l’ICAO (International Civil Aviation Organization)
Publication de nombreuses attaques depuis 2005
Reconnaissance du pays à distance (exemple : message d’erreur sur
passeport Belge, avril 2008)
[email protected]
+ 33 1 5325 0880
15 janvier 2009
55
Problème de clonage…
Cas des ePassports Britanniques : plusieurs démonstrations de lecture puis de
clonage ont eu lieu en 2006, 2007 et 2008
Pour la lecture, la clef de chiffrement des données n’est pas aléatoire
Démonstration de Adam Laurie à divers journaux anglais (06/07)
Pour la modification, démonstration en août et octobre 2008
Problème de vérification des signatures -> intégrité des données
Pour le clonage, l’authentification « active » n’est pas/peu utilisée (cas de la
majorité des pays)
Solution « eClown » sur Nokia 6131 NFC / 6212 NFC
[email protected]
+ 33 1 5325 0880
15 janvier 2009
56
ePassport : problématique
Les données sont signées par un certificat numérique
La CA appartient au pays générant le passeport
Il convient de partager les certificats CA entre pays afin de pouvoir vérifier
la validité des signatures (mise en place d’une PKI)
En octobre 08, seulement 10 pays sur 50 ont accepté de partager les
certificats
Et seulement 5 les ont réellement partagés…
[email protected]
+ 33 1 5325 0880
15 janvier 2009
57
Cold boot (1/3)
Objectif : accéder à des données normalement secrètes, présentent en mémoire…
Première publication en février 2008
Pwnie award (BH2008 USA) catégorie Recherche Innovante !
Menace concrète
Accès à des clefs privées
Accès à des clefs de chiffrements (disque par exemple)
Condition : Disposer d’un PC allumé pour mener l’attaque (ou en veille « active », voir
très récemment éteins)
Principe : lire la mémoire du PC après reboot sur un OS maitrisé
Reboot sur CD, sur clef USB
Extraction de la mémoire, et lecture sur un autre système
Le refroidissement de la mémoire permet de conserver les données plus
longuement (plusieurs minutes)
[email protected]
+ 33 1 5325 0880
15 janvier 2009
58
Cold boot (2/3)
En pratique
L’attaque fonctionne bien
Accès possible à des données mémoire (normalement protégée par l’OS…)
L’équipe de recherche a développé des algorithmes de recherche de clefs
en mémoire efficaces
L’attaque est très dépendante du type de mémoire
La menace : PC en veille, saisie aéroport...
Utilisation d’une bombe d’air comprimé pour geler la mémoire et augmenter ainsi la rémanence
Source : http://citp.princeton.edu/memory/media/
[email protected]
+ 33 1 5325 0880
15 janvier 2009
59
Cold boot (3/3)
Protection simple
Eteindre son PC (pas de mise en veille active…)
Non, ce n’est pas encore la faillite des solutions de chiffrement disque !
Des travaux de recherches pour parer ces attaques
Effacement de données si extinction / mise en veille
Détection du refroidissement anormal du PC
Stockage de clef dans les adresses basses de la mémoire (écrasées lors du
reboot)
Fragmentation des clefs en mémoire et fonction de « hash »
Stockage de clef dans des registres processeur (MMX)
[email protected]
+ 33 1 5325 0880
15 janvier 2009
60
Internet : Confiance ?
Le modèle Internet est basé sur la confiance
Hiérarchie de serveurs DNS
Routage entre acteurs (BGP)
Utilisation des adresses
Dépôt de noms de domaines…
Système « autogéré »
Notion de Réseau Autonome (AS)
Gouvernance d’internet
« net neutrality »
Contexte international…
[email protected]
+ 33 1 5325 0880
15 janvier 2009
61
Cartographie de l’Internet. Source: wikipedia.org
[email protected]
+ 33 1 5325 0880
15 janvier 2009
62
Routage sur Internet (comment trouver sa route ?)
Internet = réseau de réseaux
Echange d’informations de routage entre acteurs (protocole
BGP, routage inter-AS)
Basé sur la confiance : on annonce ses routes et les routes que
l’on connaît
Tout marche bien sauf…
[email protected]
+ 33 1 5325 0880
15 janvier 2009
63
Document officiel émanent
du gouvernement du
Pakistan et demandant le
blocage (interne au pays)
de l’accès au site Youtube
[email protected]
+ 33 1 5325 0880
15 janvier 2009
64
BGP et Youtube
Affaire de Pakistan Telecom et « null routing » de Youtube
Le 24 fevrier 2008 : Coupure mondiale de l’accès à YouTube suite à
une erreur
« null routing » d’une route plus spécifique et propagation sur
Internet
PCCW a coupé l’accès de Pakistan Telecom après détection de
l’erreur…
Il s’agissait d’un accident, mais risque de malveillance sur ce modèle
[email protected]
+ 33 1 5325 0880
15 janvier 2009
65
BGP et re-routing
Affaire Defcon / Pilosov & Kapela
Démonstration lors de la conférence Defcon, aout 2008
Annonce BGP plus spécifique du réseau Defcon
Puis re-routage statique transparent
Et masquage
« MITM » trafic entrant !
Ce n’est pas une « faille » mais le fonctionnement « normal »
de BGP…
[email protected]
+ 33 1 5325 0880
15 janvier 2009
66
BGP et MITM
Le réseau 100 déroute le trafic à destination du réseau 200 en annonçant une route BGP plus spécifique.
Le réseau 100 reroute alors le trafic de façon statique vers le réseau 200 rendant l’attaque très furtive
[email protected]
+ 33 1 5325 0880
15 janvier 2009
67
PKI, certificat et MD5…
Présentation lors du 25C3 (Berlin, décembre 08)
« MD5 considered harmful today »
Creating a rogue CA certificate
Comment ?
Fabrication d’une CSR aux “bonnes propriétés”
Possibilité de récupérer la “signature” afin de générer
un faux certificat, avec des bonnes propriétés...
[email protected]
+ 33 1 5325 0880
15 janvier 2009
68
CA impactées…
Quelques conditions sont nécessaires
Repose sur des collisions MD5
CA utilisant SHA-1 à priori ok (pour l’instant)
Nécessite de prédire la CSR
N° de série du certificat
Date de validité…
Présentation au CCC : choix de la CA rapidSSL
Utilisation d’une grosse puissance de calcul pour fabriquer la
collision MD5
Cluster de 200 PS3 pendant quelques jours…
[email protected]
+ 33 1 5325 0880
15 janvier 2009
69
SSL et Conséquences…
L’attaque permet de faire du « MitM » très avancé…
Certificat valide ! Donc attaque transparente
SSL et le modèle des certificats Web commerciaux n’a
pas pour rôle d’offrir une « authentification forte »
La majorité des attaques a lieu sur le poste client
L’internet ne s’effondrera pas encore cette fois-ci…
[email protected]
+ 33 1 5325 0880
15 janvier 2009
70
Conséquences…
MD5 encore un peu plus affaibli…
SHA-1 doit immédiatement supplanter MD5
Concours du NIST pour le prochain algorithme de
hashage : SHA-3
Processus de sélection des 51 candidats en cours… (et
déjà quelques éliminations)
Objectif : annonce de SHA-3 pour 2012
[email protected]
+ 33 1 5325 0880
15 janvier 2009
71
Webographie (1/2)
Mifare
Security Failures in Secure Devices, Christopher Tarnovsky
http://www.blackhat.com/presentations/bh-dc-08/Tarnovsky/Presentation/bh-dc-08-tarnovsky.pdf
Side Channel Analysis and Embedded Systems – Impact and Countermesures, Job de Haas
http://www.blackhat.com/presentations/bh-dc-08/DeHaas/Presentation/bh-dc-08-dehaas.pdf
Mifare – Little security, Despite obscurity
http://events.ccc.de/congress/2007/Fahrplan/events/2378.en.html
Smart Cards in Public Transportation: the Mifare Classic Case
http://www.laquso.com/VVSS2008/presentations/0-Jacobs.pdf
Principe de Kerckhoffs
http://fr.wikipedia.org/wiki/Principe_de_Kerckhoffs
MBTA
Anatomy of a Suway Hack, Defcon 16
http://www.defcon.org/html/defcon-16/dc-16-speakers.html#Anderson
Cold Boot Attacks
Let we remember: Cold Boot Attacks on Encryption Keys
http://citp.princeton.edu/memory/
Wikipedia : Cold Boot Attack
http://en.wikipedia.org/wiki/Cold_boot_attack
Braving the Cold: New Methods for Preventing Cold Boot Attacks on Encryption Keys
http://www.blackhat.com/presentations/bh-usa-08/McGregor/BH_US_08_McGregor_Cold_Boot_Attacks.pdf
[email protected]
+ 33 1 5325 0880
15 janvier 2009
72
Webographie (2/2)
E-passport
THC Clones Biometric ePassport - Elvis Presley Passport
http://www.darknet.org.uk/2008/10/thc-epassports-thc-clones-biometric-epassport-elvis-presley-passport/
ePassports reloaded
https://www.blackhat.com/presentations/bh-usa-08/van_Beek/bh_us_08_van_Beek_ePassports_Reloaded_Slides.pdf
EPassport emulator
http://freeworld.thc.org/thc-epassport/
eClown (clonage de ePassport sur téléphone Nokia NFC)
http://www.dexlab.nl/
MD5
MD5 considered harmful
http://www.win.tue.nl/hashclash/rogue-ca/
25C3 « Creating a rogue CA Certificate
http://events.ccc.de/congress/2008/Fahrplan/events/3023.en.html
The SHA-3 zoo
http://ehash.iaik.tugraz.at/wiki/The_SHA-3_Zoo
BGP et YouYube / reroutage BGP
Pakistan hijacks YouTube
http://www.renesys.com/blog/2008/02/pakistan-hijacks-youtube-1.shtml
Stealing The Internet - A Routed, Wide-area, Man in the Middle Attack
https://www.defcon.org/images/defcon-16/dc16-presentations/defcon-16-pilosov-kapela.pdf
[email protected]
+ 33 1 5325 0880
15 janvier 2009
73
Panorama 2008
infrastructures
[email protected]
+ 33 1 5325 0880
15 janvier 2009
74
Contrefaçon sous toutes ses formes
Hébergeurs louches, composante importante des
phénomènes criminels sur Internet
Les fausses loteries très présentes parmi les
escroqueries par pourriel en 2008
Inventivité des groupes criminels pour faire de l’argent :
de nouvelles formes de virus SMS, vendre son botnet…
Recel à l’insu de son plein gré
[email protected]
+ 33 1 5325 0880
15 janvier 2009
75
Contrefaçon
Médicaments
Cigarettes
Musique et vidéo
Baskets, hifi…
De faux anti-virus
Des faux matériels
…
Exemple d’affaire de contrefaçon
médicamenteuse en 2008
[email protected]
+ 33 1 5325 0880
15 janvier 2009
76
Contrefaçon d’antivirus
Encadrés de vert (en haut à gauche),
antivirus légitimes, les autres sont
« bidons »
[email protected]
+ 33 1 5325 0880
15 janvier 2009
77
Contrefaçon d’antivirus
30 signatures enregistrées en 09/2007, 2100 un an plus tard
Pour se diffuser, toutes les techniques sont bonnes, y
compris un référencement adapté dans Google
Des milliers de victimes pour 40 € et dont les cartes sont en
fait débitées à de multiples reprises
Microsoft dépose plainte contre les « vendeurs » de certains
de ces logiciels
On ne clique pas…
Ecran falsifiant une erreur légitime de Windows
[email protected]
+ 33 1 5325 0880
15 janvier 2009
78
Contrefaçon d’antivirus - Mécanisme
Alimenter et tromper les moteurs
de recherches
Inciter les visiteurs à cliquer par
des messages alarmistes ou
ennuyeux (et c’est gratuit !)
L’utilisateur installe, mais le
logiciel détecte tout de suite que
quelque chose va mal et qu’il faut
la version payante pour l’éliminer
Jusqu’à modifier l’affichage dans
Google…
« Google tips » inclus dans la page d’accueil de Google, incitant
à payer pour le faux antivirus
[email protected]
+ 33 1 5325 0880
15 janvier 2009
79
Contrefaçon d’antivirus - Mécanisme
L’utilisateur paie… 40 euros et ses ennuis ne sont pas
terminés
Le logiciel continue de l’ennuyer
Et son compte bancaire est débité plusieurs fois
On retrouve encore des liens avec les hébergeurs
malhonnêtes que nous évoquerons plus loin…
[email protected]
+ 33 1 5325 0880
15 janvier 2009
80
Contrefaçon de matériels d’infrastructure
Exemple de contrefaçon de matériel Cisco
Fabrication chinoise, en grande
quantité de matériel CISCO
Ecoulée par des revendeurs connus des acheteurs
Y compris auprès de grands comptes américains, pourquoi pas
européens ?
Fév 2008 :« Cisco Raider » : $M76 matériels saisis dans +400 saisies
Quelques inquiétudes s’expriment sur non seulement la qualité,
mais aussi la probité des matériels
[email protected]
+ 33 1 5325 0880
15 janvier 2009
81
Les hébergeurs malhonnêtes
Autrefois, prétendument pour préserver la liberté
d’expression
Pour héberger des activités illicites
Pour émettre du SPAM, contrôler des botnets
Après la mise en sommeil de Russian Bussiness Network
en 2007, 2008 a encore été l’année des hébergeurs
malhonnêtes
Une nouvelle façon de s’attaquer à eux est né : la
mobilisation de certains acteurs du net…
[email protected]
+ 33 1 5325 0880
15 janvier 2009
82
Atrivo
Connu depuis de
nombreuses années
comme hébergeant des
activités malhonnêtes
en grand nombre
Liens avec de
nombreuses autres
entités qui assurent la
résilience du système
(Jart Armin)
[email protected]
+ 33 1 5325 0880
« Fermé » sous la
pression en septembre
2008, mais son activité
persiste encore sur
Internet
15 janvier 2009
83
McColo
Etrange adresse
postale pour un
hébergeur !
Articles autour de l’affaire McColo
[email protected]
+ 33 1 5325 0880
15 janvier 2009
84
McColo – Une partie de la solution seulement
En haut à gauche : statistiques Spamcop le jour de la
fermeture
En bas à gauche : article sur les effets de la
fermeturede McColo sur les transactions CB
frauduleuses observées
Ci-dessous : statistiques Spamcop aujourd’hui
[email protected]
+ 33 1 5325 0880
15 janvier 2009
85
McColo – Était-ce la solution ?
Une enquête judiciaire était-elle en cours ? Aurait-elle
dû avoir lieu ? Pour collecter des preuves sur place, oui
certainement… encore que cet hébergeur semble
fantomatique
L’impact est de courte durée, il faudrait une charge
systématique et massive des professionnels de
l’Internet contre cela, c’est contraire à la neutralité du
Net… alors ?
Une action coordonnée policière, judiciaire et
professionnelle semble nécessaire
[email protected]
+ 33 1 5325 0880
15 janvier 2009
86
Les fausses loteries (clin d’œil à 2007)
Continuent d’être un problème :
http://www.consumerfraudreporting.org/lotteryscamnames.php
Exemples de spam
de fausses loteries
[email protected]
+ 33 1 5325 0880
15 janvier 2009
87
Les fausses loteries
Evidemment, il faut payer pour recevoir vos gains ☺
La mobilisation des industriels se développe
Et pour toutes escroqueries (et autres faits):
https://www.internet-signalement.gouv.fr/
[email protected]
+ 33 1 5325 0880
15 janvier 2009
88
« Ransomware » : vers chinois pour GSM
Imaginez vous retrouver votre GSM qui à l’allumage
vous affiche : prépare 10 euros en crédits de jeu ou je
ne marche plus.
C’est ce qu’ont vécu des usagers chinois. Le ver (KiazhaA), se propage par MMS ou BlueTooth et se sert d’un
réseau de jeux qui utilise les SMS pour communiquer.
Le profit encore le profit…
Copie d’écran du ver Kiazha-A
[email protected]
+ 33 1 5325 0880
15 janvier 2009
89
Vente de services criminels en ligne
Un groupe qui vendait le
service de son botnet
(Loads.cc) fait l’objet d’une
guerre … par attaques en DNS
de la part de ses concurrents.
Page d’accueil de loads.cc en janvier 2008
[email protected]
+ 33 1 5325 0880
15 janvier 2009
90
Ventes de services criminels en ligne
Bannières de publicité pour location d’attaques DDoS
"Will eliminate competition: high-quality, reliable, anonymous."
"Flooding of stationary and mobile phones."
"Pleasant prices: 24-hours start at $80. Regular clients receive
significant discounts."
"Complete paralysis of your competitor/foe."
[email protected]
+ 33 1 5325 0880
15 janvier 2009
91
Recel – à l’insu de son plein gré
Nul n’est à l’abri (notamment via botnets) et le « warez » est
encore le type de contenu le plus « sympathique »…
[email protected]
+ 33 1 5325 0880
15 janvier 2009
92
Recel à l’insu de son plein gré
Différentes approches :
Les « stros » qui semble un terme amusant dans la
bouche de certains jeunes sont tout de mêmes des
« ressources » appartenant à quelqu’un d’autre et qui
sont utilisée pour stocker des contenus illicites
Par rebonds dans le cadre d’un botnet, sa machine ne
faisant que relayer l’information (phishing, spam,
pédophilie,…)
Suite à une erreur technique dans son hébergement
(DNS mal redirigé)
[email protected]
+ 33 1 5325 0880
15 janvier 2009
93
Difficultés liées à ce « recel » malheureux
Ressources encombrées, pertes de données, pertes de
temps, sécurité des autres données…
Visite des gendarmes pour les « stros »
Problèmes d’images
Malheureusement, il y a certainement encore des
dizaines de victimes à ce jour.
[email protected]
+ 33 1 5325 0880
15 janvier 2009
94
Webographie (1/2)
CISCO
http://www.abovetopsecret.com/forum/thread350381/pg1
http://www.informationweek.com/news/personal_tech/showArticle.jhtml?articleID=
206901053
Faux antivirus
http://garwarner.blogspot.com/2008/12/more-than-1-million-ways-to-infectyour.html
http://www.heise-online.co.uk/security/Rogue-anti-virus-products--/features/112231
http://www.heise-online.co.uk/news/Washington-and-Microsoft-sue-fake-antispyware-vendors--/111644
ATRIVO
http://hostexploit.com/downloads/Atrivo%20white%20paper%20090308ad.pdf
[email protected]
+ 33 1 5325 0880
15 janvier 2009
95
Webographie (2/2)
McColo
http://hostexploit.com/downloads/Hostexploit%20Cyber%20Crime%20USA%20v
%202.0%201108.pdf
Fausses loteries
http://www.microsoft.com/france/securite/lottery/default.mspx
https://www.internet-signalement.gouv.fr/
Virus GSM
http://www.avertlabs.com/research/blog/index.php/2008/03/04/crimewaregoes-mobile/
Recel de contrefaçon… (les stros)
http://www.01net.com/editorial/396899/nouveau-coup-de-filet-des-gendarmesdans-le-milieu-warez-/
http://www.01net.com/editorial/382842/arrestation-de-trois-gros-pourvoyeursde-films-pirates/
[email protected]
+ 33 1 5325 0880
15 janvier 2009
96
Panorama 2008
Effets d’annonce et failles de sécurité non exploitées :
quelle est la réalité de la menace ?
infrastructures
[email protected]
+ 33 1 5325 0880
15 janvier 2009
97
Surmédiatisation
Sécurité informatique et médias
Faille DNS
Faille TCP
Buzz divers
… pourtant, il y a eu de vraies failles en 2008 !
[email protected]
+ 33 1 5325 0880
15 janvier 2009
98
Surmédiatisation
Définition
Terme péjoratif visant à signaler la couverture et la concentration
disproportionnées des médias sur un sujet
On parle aussi de "cirque médiatique" = un évènement qui est
considéré comme sur-médiatisé par rapport à son importance
véritable
Utilisé pour dénoncer une manœuvre médiatique visant
à détourner l'attention du public d'autres faits
à satisfaire des fins mercantiles
Internet = amplificateur
[email protected]
+ 33 1 5325 0880
15 janvier 2009
99
Un rapprochement heureux
Période d'ignorance (ou pire de désinformation)
Depuis environ 7 ans :
Vraie demande d'information de la part du public
Intérêt croissant des médias pour la SSI
Des journalistes de mieux en mieux informés,
spécialisés et critiques
Du contenu et contenant journalistique de qualité
[email protected]
+ 33 1 5325 0880
15 janvier 2009
100
Pourquoi ?
La malveillance informatique n'est plus un
épiphénomène : mafia ...
Attaques massives spectaculaires avec de vrais
impacts économiques dans le passé
Développement d'attaques complexes impactant
le grand public
[email protected]
+ 33 1 5325 0880
15 janvier 2009
101
Lutte contre l'obscurantisme et les clichés
Outil formidable de prévention et de sensibilisation du grand
public
Aussi outil formidable de prévention et de sensibilisation pour
les utilisateurs dans l'entreprise
Des bonnes pratiques, du pragmatisme, permettant de faire
comprendre aux entreprises que la sécurité ce n'est pas
seulement des boitiers et des anti-virus
Principal outil pour contrer les attaques exploitant la crédulité
des utilisateurs
[email protected]
+ 33 1 5325 0880
15 janvier 2009
102
Dérapages, sensationalisme, surmédiatisation ?
Faille DNS
Faille TCP
Buzz divers
[email protected]
+ 33 1 5325 0880
15 janvier 2009
103
Faille DNS
DNS : résolution des noms de domaines en adresses IP
Faille réelle, problème dans la conception du DNS
Attaquant répond avant le véritable serveur DNS
Affecte la navigation web, l'envoi de courriels à l'extérieur, les
connexions VPN, etc
Attaque imposant beaucoup de conditions pour être exploitée
Annoncée en juin sans explications, détails publiés par erreur en
juillet, conférence à BlackHat en août
Application du correctif importante pour les gestionnaires de DNS
[email protected]
+ 33 1 5325 0880
15 janvier 2009
104
Faille DNS
Jeu entre les découvreurs
de vulnérabilités et les
organisateurs de
conférences
Auto promotion pour Dan
Kaminsky
Promotion de la
conférence Blackhat
Articles sensationnels
pendant des mois
[email protected]
+ 33 1 5325 0880
15 janvier 2009
105
Faille TCP
Déni de service "SockStress" sur toutes les piles TCP/IP
dont Windows
Annonce en septembre : Internet est mort
Explication prévue à la conférence T2 à Helsinki, mais
finalement pas d'explication
Tellement gros que cela s'amplifie partout
On ne sait toujours rien mais on n'arrête pas d'en
parler
Publicité pour une conférence du monde de la lutte
contre les logiciels malveillants peu connue
[email protected]
+ 33 1 5325 0880
15 janvier 2009
106
Faille TCP
Hello Folks,
We have become aware of a distributed refraction denial of service
vulnerability in SNMP. A discription of the issue is below and a proof of
concept code is at the bottom of this message. We would appreciate your help
in determining the validity and effectiveness of this issue. Any feedback you
may have would be very helpful.
Profiteurs
Fausse faille SNMP
Connu
depuis
toujours
According the party that has reported this issue:
"79 byte request gets a 56680 byte return. Thats an amplification of 717 times
based on my computer. Other computers may give slightly more or less.
The core problem with UDP is its simple to spoof depending on network
configuration. This is true with most ISP's. Another factor is that UDP rfc
limits replys by 1514 bytes. Which means that it must fragment the reply.
Adding to the effectiveness since the ethernet and udp headers must be
repeated each time."
This information is not yet public, please do not publicly disclose this
information.
We are tracking this matter as VU#453707, please include this unique tracking
number in the subject line of any further email messages we exchange on this
topic
. Please let us know if you have any questions, comments, feedback, etc.
Thanks.
Chris Taschner
------------------------------CERT Vulnerability Analyst
+1 412-268-7090
http://www.cert.org
[email protected]
+ 33 1 5325 0880
15 janvier 2009
107
Buzz divers
Lundi noir des virus
Annoncé par moult éditeurs d'anti-virus
Dates différentes
Il ne s'est absolument rien passé
MD5 cassé sur des PSP
Blackhat Europe
Rien de nouveau, chiffres faux, mais utile à la fausse CA
Elcomsoft
Annonces régulières de cassage par force brute de divers algorithmes : "WPA
cassé"
Réédition avec les cartes graphiques pour MD5 alors que leur logiciel est 2 à 3
fois plus lent que d'autres
[email protected]
+ 33 1 5325 0880
15 janvier 2009
108
Vraies failles
Pourtant il y a eu de de vraies failles en 2008
Qui n'ont pas été toujours bien comprises
Pas relayées par la presse à leur juste niveau
Exemples
Mifare classic pour la sécurité physique
PKI, certificats et MD5 : quelle confiance ?
Certains avis Microsoft
Avis concernant les postes clients
[email protected]
+ 33 1 5325 0880
15 janvier 2009
109
Vraies failles
Exemple Microsoft : MS08-067
Exploitation distante tous les systèmes jusqu'à Windows 2003 Service
Pack 2
Exploitation anonyme et efficace
Relayée sur les sites spécialisés
Pas relayée sur les sites généralistes comme les précédents
Traitée comme les autres failles Microsoft par la presse
Pas d'explication de l'impact sur l'ensemble des systèmes
Plusieurs vers sont sortis dans la nature par la suite exploitant cette
vulnérabilité
[email protected]
+ 33 1 5325 0880
15 janvier 2009
110
Vraies failles
Failles coté client
Flash, Internet Explorer, etc
Permettent d'infecter très facilement les postes clients
par simple visite d'un site web
Rarement relayées par la presse
Impact de l'infection d'un poste client potentiellement
dévastateur
Ne pas s'arrêter à "il faut télécharger et doublecliquer sur un .exe pour être infecté"
[email protected]
+ 33 1 5325 0880
15 janvier 2009
111
Webographie
Faille DNS / Kaminsky
http://www.wired.com/techbiz/people/magazine/1612/ff_kaminsky?currentPage=1
http://www.hsc-news.com/archives/2008/000346.html
Faille TCP / Conférence T2
http://www.ossir.org/windows/supports/2008/2008-11-04/OSSIR-20081104-v0.1.pdf
http://www.t2.fi/conference/
Buzz divers
Casser du MD5 : http://sid.rstack.org/blog/index.php/282-casser-du-md5-avec-classeou-pas
Benchmark MD5 : http://3.14.by/en/read/md5_benchmark
Lundi noir : http://seclists.org/isn/2008/Nov/0063.html
[email protected]
+ 33 1 5325 0880
15 janvier 2009
112
Panorama 2008
infrastructures
[email protected]
+ 33 1 5325 0880
15 janvier 2009
113
Cas d’école : sabotages par administrateur réseau
San Francisco, juillet : l’administrateur réseau de la
municipalité est remercié pour insubordination. Avant son
départ effectif, il verrouille le nouveau réseau qui gère près
de 60 % des données de la ville et installe un mot de passe
administrateur pour son accès exclusif.
Il est ensuite arrêté, livre tout d’abord un mot de passe
erroné puis refuse de livrer le vrai code !
La mairie prend contact avec des experts de la Silicon Valley
et de Cisco. L’indisponibilité se chiffre en semaines…
[email protected]
+ 33 1 5325 0880
15 janvier 2009
114
Cas d’école : sabotages par administrateur réseau
New Jersey, novembre : un fonds de pension décide de licencier
une dizaine de personnes… dont l’administrateur réseau. Après
avoir effectivement quitté la compagnie, l’ex-administrateur
envoie plusieurs emails tout d’abord pour signifier qu’il n’était
pas satisfait des termes de la négociation puis, pour avertir qu’il
avait installé plusieurs backdoors et qu’il préviendrait aussi les
médias après son attaque.
En complément de l’action de police, la compagnie a dû réviser
les accès en interne et à distance, mettre en place une analyse
des logs, durcir la sécurité des droits et des privilèges, déployer
une cellule de réaction sur incident.
[email protected]
+ 33 1 5325 0880
15 janvier 2009
115
Cas d’école : compromission des terminaux
de paiement
New England, mars : la chaîne de supermarché
Hannaford découvre une fraude aux cartes bancaires.
Environ 4,2 millions de références ont été piratés
(numéro de la carte, date d’expiration mais pas le nom
du porteur). Les informations collectées étaient
envoyées « overseas ».
La fraude a débuté en décembre. 300 serveurs ont été
compromis pour des magasin situés en Floride (106),
en Nouvelle Angleterre (165) et des indépendants (24)
[email protected]
+ 33 1 5325 0880
15 janvier 2009
116
Cas d’école : compromission des terminaux
de paiement
Conséquences :
Courant mars, 1 800 cas avérés de fraude
Frais de réémission pour environ 100 000 cartes
Une action en recours collectif (class action) de 5 millions
de dollars par un cabinet d’avocats
Des millions de dollars d’investissement en sécurité :
chiffrement des données en transit, un système de
monitoring en 24/7
Hannaford était conforme à la norme PCI… qui a été
modifiée dans l’urgence pour prendre en compte le mode
opératoire !
[email protected]
+ 33 1 5325 0880
15 janvier 2009
117
Cas d’école : divulgation de données et
demande de rançon
Illustration de la très forte croissance et volumétrie des pertes
de données à caractère personnel
En sus de l’événement accidentel (la perte), on constate soit
une exploitation malveillante des données accidentellement
perdues (chantage) soit une intrusion avec menace de
divulgation (cf. Hamburg, vente de 21 millions de références
bancaires pour 12 millions d’euros)
Saint-Louis, novembre : la compagnie Express Scripts est victime
d’une chantage par e-mail. Elle gère des informations de
prescriptions médicales. Le message menace de divulguer les
dossiers de 75 personnes. La base clients concerne plusieurs
millions de personnes (# 50)
Le montant de la demande de rançon n’est pas rendu public
[email protected]
+ 33 1 5325 0880
15 janvier 2009
118
Cas d’école : divulgation de données et
demande de rançon
Conséquences :
Web de crise pour informer et gérer les plaintes de
clients
Mise en place d’une cellule de traitement des
informations qui seraient divulguées et engagement de
prise en charge des frais
Appel à une société spécialisée en investigation
Une récompense d’un million de dollars pour l’aide à la
capture des rançonneurs !
[email protected]
+ 33 1 5325 0880
15 janvier 2009
119
Infrastructure : coupure de câbles sous-marin
Mer méditerranée, côtes égyptiennes, février : deux câbles
sous-marins assurant notamment les liaisons Internet sont
accidentellement sectionnés. L’inde est impactée, le trafic des
données doit être rerouté via un câble en région Asie-Pacifique.
Deux navires sont arraisonnés
Dans les semaines qui suivent, les incidents se multiplient ou
plutôt sont médiatisés : coupure sur le moyen orient, les
émirats arabes unis, sans cause identifiée.
22 décembre : 3 câbles rompus entre la Sicile et la Tunisie,
cause indéterminée. Etat du trafic voix : Maldives : 100 % HS,
Inde : 82 % HS, Qatar : 73 % HS, Djibouti : 71 % HS, Emirats
Arabes Unis : 68 % HS, - Zambie : 62 % HS, Arabie Saoudite :
55 % HS, etc.
[email protected]
+ 33 1 5325 0880
15 janvier 2009
120
Infrastructure : coupure de câbles sous-marin
Le rapprochement des incidents fait naître une
« théorie du complot »... Pour d’autres sources, ces
incidents sont statistiquement normaux.
On peut seulement constater la dégradation, parfois
importante mais de faible durée des moyens de
télécommunication. En conséquence, constater
également l’exposition à un sabotage et la faisabilité
d’un tel acte.
[email protected]
+ 33 1 5325 0880
15 janvier 2009
121
Infrastructure : malwares en milieu hospitalier
Londres, novembre : 3 hôpitaux londoniens ont arrêté leur
réseau informatique pendant au moins deux jours suite à une
contamination virale accidentelle. Le ver Mytob (dont la
souche initiale date de 2005) se serait introduit par le NHS mail
qui gère un million de personnels (National Health Service). Le
ver comporte un spyware et installe des backdoors
Plus de 5000 PC sont exposés…
Conséquences :
Reroutage des ambulances en arrivée
Officiellement, pas de préjudice corporel pour les patients
[email protected]
+ 33 1 5325 0880
15 janvier 2009
122
Infrastructure : malwares en milieu hospitalier
Saint-Cloud (E-U), mars : condamnation d’un développeur
informatique ayant introduit une bombe logique dans un
programme de formation médicale. Aucun préjudice sauf la
remise en état du dit logiciel.
Walter Reed (E-U), juin : un logiciel de Peer-to-peer (P2P)
permet la divulgation d’un fichier contenant l’état civil (mais
pas les données médicales) de 1 000 patients. C’est une
entreprise de data mining, effectuant une recherche pour le
compte d’un client, qui découvre le fichier.
[email protected]
+ 33 1 5325 0880
15 janvier 2009
123
Infrastructure : déraillement de tramway
Lodz (Pologne), janvier : un adolescent de 14 ans provoque le
déraillement de 4 wagons d’un tramway après avoir pris le
contrôle du système de signalisation et d’aiguillage. Il a, dans
les faits, provoqués plusieurs incidents (déraillements, arrêts
d’urgence) en s’amusant à modifier l’aiguillage des trams au
dernier moment. 12 personnes ont été légèrement blessé
dans un autre « accident ».
Le mode opératoire a nécessité une étude de longue durée
pour comprendre le fonctionnement puis la modification
d’une télécommande infrarouge de téléviseur
[email protected]
+ 33 1 5325 0880
15 janvier 2009
124
Infrastructure : déraillement de tramway
Le matériel « de fortune » utilisé (source : telegraph.co.uk)
[email protected]
+ 33 1 5325 0880
15 janvier 2009
125
Webographie
http://www.theregister.co.uk/2008/07/16/sf_sysadmin/
http://www.computerworld.com/action/article.do?command=printArticleBasic&taxonomyName
=Security&articleId=9119792&taxonomyId=17
http://www.itworld.com/legal/57799/sysadmin-under-house-arrest-blackmailing-financecompany
http://www.theregister.co.uk/2008/03/18/hannaford_data_breach/
http://www.prnewswire.com/cgi-bin/stories.pl?ACCT=109&STORY=/www/story/03-192008/0004777355&EDATE=
http://www.foxnews.com/printer_friendly_wires/2008Apr22/0,4675,HannafordSecurityBreach,0
0.html
http://www.theregister.co.uk/2008/11/13/express_scripts_extortion/
http://www.arabianbusiness.com/510132-internet-problems-continue-with-fourth-cablebreak?ln=en
http://www.arabianbusiness.com/510232-flag-plays-down-net-blackout-conspiracytheories?ln=en
http://www.pcinpact.com/actu/news/48031-rupture-cable-ralentit-web-asiatique.htm
http://www.networkworld.com/news/2008/111908-british-hospitals-hit-withmalware.html?fsrc=rss-security
http://www.startribune.com/local/16839951.html
http://www.darkreading.com/security/perimeter/showArticle.jhtml?articleID=211201106
http://www.theregister.co.uk/2008/01/11/tram_hack/
[email protected]
+ 33 1 5325 0880
15 janvier 2009
126
En conclusion,
nous aurions aussi aimé évoquer…
Géorgie : hacktivisme ou lutte informatique offensive ?
Warblogs, blogs d’émeutes : manipulations, désinformations…
Ecoterrorisme et Internet
[email protected]
+ 33 1 5325 0880
15 janvier 2009
127

CLUSIF - Panorama de la Cybercriminalité, Année 2008

Transcription

Documents pareils

Services Généraux sur IP : nouveaux risques

Cyberdéfense et Guerre de l`Information

bon de commande - SPA de Lyon et du Sud-Est

STAJ Nord-Artois BULLETIN D`ADHESION Je soussigné(e

www.creai-nantes.asso.fr

Télécharger la plaquette de lancement Appel à

Les Grands Jeux

Encyclopédie Hachette multimédia

Bulletin d`adhesion validé - sept 2014

organigramme de nos relations internes