Bonjour, > A ce Lundi de l'Intelligence Economique, le 17 septembre, animé par trois > experts du pôle Management des Risques de CEIS, Barbara Louis-Sidney pour > l'aspect juridique, Nicolas Caproni et Charles Ibrahim pour la partie > technique, et organisé dans le cadre du Medef Ile-de-France et du Medef > Hauts-de-Seine, près de 200 personnes s'étaient inscrites, 155 furent > présentes, le grand amphi du Medef IdF était donc bien pourvu ! > > Ceci n'est pas un compte-rendu exhaustif de ce bel évènement mais plutôt un > ensemble d'informations que j'en ai retirées, pas forcément classées dans > l'ordre où elles ont été dites. > > Deux scénarii d'attaque ont été analysés, avec saisies d'écrans projetées en > diapos : > > * Le vol et la vente de données dans les marchés noirs de la > cybercriminalité. > Un pirate trouve une faille dans le système ciblé et lance l'attaque, > par exemple par "Injection SQL" qui consiste, par une requête spécialement > formée à contourner les défenses du serveur Web, faite à partir d'un simple > navigateur, pour aspirer la base de données d'un site de commerce en ligne. > Le pirate récupère ainsi des données bancaires insuffisamment protégées. Le > but est ensuite, pour le pirate, de monnayer cette prise dans l'économie > souterraine. Il poste une annonce sur un forum spécialisé pour vendre, en > gros, les données piratées, comme des identifiants de cartes de paiement > volées. D'autres pirates, lui répondent par e-mail ou par ICQ, que la > marchandise les intéresse et les achètent en payant en monnaie virtuelle > (WebMoney, e-Gold, Liberty Reserve) sur un "Shop". La monnaie virtuelle > plébiscitée par les cybercriminels aujourd'hui, c'est Liberty Reserve. > > * L'extorsion d'argent à partir d'un pays lointain > Il s'agit là d'extraire des données pour faire chanter l'entreprise victime. > Avec la base de données dans ses mains, le pirate va poster des petits > échantillons de cette base, pour montrer qu'il ne plaisante pas, dans un site > Web évidemment non référencé ou de Pastebin. Ensuite il contacte la victime, > qui jusque là ne s'est aperçu de rien, non pas pour lui dire "t'as pas cent > balles", mais plutôt "Si tu ne veux pas voir exposées tes données > confidentielles et nominatives sur la place publique, c'est 20 000 euros". > Pour illustrer, voici un exemple : Un groupe de pirates surnommé Rex Mundi, > qui avait dérobé les données confidentielles d'une société Créditprêt, a > posté l'ensemble des données volées sur la place publique, la date de fin de > l'ultimatum étant passée, la victime ayant refusé de payer. > > Peut-on vous donner un conseil, à vous, organisation, PME, grand groupe ou > particulier ? Protégez vos données sensibles avant qu'il ne soit trop tard ! > > Les cybercriminels s'appuient sur des Infrastructures informatiques qui sont > bien réelles (et un peu virtuelles aussi quand elles sont dans un Cloud). > > Il y a d'abord les forums qui sont des lieux où cybercriminalité et > criminalité se rencontrent. Vous pouvez y trouver des références vers toutes > sortes d'outils utiles pour perpétrer vos forfaits : Location de botnets pour > envoyer des spams ou des attaques en déni de services distribué, kits de > Phishing prêts à l'emploi, achat de cartes de crédits, vers, virus, Trojan, > maliciels de tous poils, et de tous prix... Bien sûr beaucoup de forums > exigent que vous montriez patte blanche, malgré vos idées noires, et vous > demandent d'ouvrir un compte pour commencer vos achats. Ce compte peut être > rendu accessible par un simple "login/password", mais parfois il faut aussi > que vous soyez cooptés, pour avoir le droit d> '> ouvrir un compte, par un ou > plusieurs parrains reconnus et que vous régliez un droit d'inscription. Pour > profiter pleinement de ces forums, il faut en général encore aujourd'hui, > savoir lire l'anglais et encore plus souvent le russe. > > Il y a ensuite les Shops qui sont les vitrines de la cybercriminalit> é. Vous > y trouverez les fruits du Skimming qui consiste à récupérer les données qui > résident sur la bande magnétique des cartes bancaires pour ensuite les > charger sur une nouvelle carte vierge qui sera mise en vente. Comment on > récupère ces données des cartes de paiement ? Mais directement à la source, > on ajoutant un petit dispositif électronique sur la fente des distributeurs > de billets, les piles sont incluses dans le kit. Oui mais pour autant les > pirates ne récupèrent pas votre code secret à quatre chiffres ? Avez-vous > remarqué la petite caméra "additionnelle" au dessus du distributeur de > billets dirigée sur vos doigts au moment de la transaction ? Et ensuite les > références de vos cartes de paiements sont vendues sur les Shops. Bien, mais > tous les cybercriminels ne sont pas des gens honnêtes, alors qui vous prouve, > vous acheteur, que les cartes contrefaites sont réellement valides ? Pour > quelques dizaines de cents de plus par cartes proposées, on peut vous fournir > les services d'un "checker" automatique qui va analyser la carte sur la toile > et vous apporter la certification qu'elle est valide. Si vous n'êtes pas > spécialiste, vous pouvez aussi louer sur les Shops des services > d'accompagnement. C'est le CaaS (Crimeware as a Service). Bien sûr il y a > aussi, dans les Shops, d'autres produits que des cartes qui sont proposées > dans ces vitrines. Vous pouvez aussi acquérir des papiers officiels > contrefaits : cartes d'identité, passeports, permis de conduire, diplômes> > ...> > > Autres produits qui semblent intéressants, ce sont les "Credit Stick", > petites cartes avec connecteur USB contenant une somme d'argent numérique qui > permettent le paiement auprès de nombreux commerces, surtout aux Etats-Unis. > Elles sont vendues dans les Shops, à 10% de la valeur monétaire qu'elles > contiennent. > > Il y a aussi des serveurs disponibles, appelés proxies, qui vous proposent > quand vous vous connectez à partir d'un endroit A, de faire comme si vous > vous étiez connectés à partir d'un endroit B, situé dans un autre pays, > peut-être dans un autre continent. Quand on réside dans un pays où les lois > punissant la cybercriminalité ne sont pas permissives (France, USA,> ...> ), > c'est plus prudent, en effet. > > Mais où sont situés au juste ces serveurs qui alimentent le black market en > hébergeant Shops et Forums ? Car physiquement, ils doivent bien se situer > quelque part ? En Russie, en Ukraine mais aussi aux Pays-Bas et aux USA. Vous > voyez, ce n'est pas vraiment dans des paradis fiscaux qu'ils sont situés. Ces > serveurs dits "bulletproof" ne sont pas regardant sur l'origine des personnes > qui les utilisent, et ne fournissent pas les logs de connexion si on les leur > demande :-) > > Et pour tromper la police et rendre l'activité des serveurs du black market > intraçable, on utilise les techniques du "single flux" ou mieux du "double > flux". Pour faire simple, le cybercriminel possède un nom de domaine (DNS) > qualifié et a compromis une vingtaine, ou plus, de postes de travail > honnêtes, qui forment alors un botnet. Si l'utilisateur veut accéder mettons > au serveur "shop.exemple.com", sa requête est transmise à son serveur de noms > pour convertir l'adresse "nom de domaine" en adresse IP (4 octets dans > l'Ipv4). Si la table de conversion n'est pas dans le cache du DNS, celui-ci > va s'adresser à un autre DNS jusqu'à remonter au DNS du cybercriminel placé > dans la boucle. Ce DNS va renseigner les DNS qui lui ont posé la question en > donnant une des adresses IP des postes de travail compromis. Le poste de > travail compromis possédant cette adresse IP reçoit la requête et la > transfère, à l> '> insu de son plein grès, via des serveurs tout à fait > légaux, les "upstream" placés sur la toile pour brouiller et opacifier les > pistes, vers le serveur du black market "shop.exemple.com". Ce n'est donc pas > l'utilisateur qui semble avoir interrogé le serveur, c> '> est le poste de > travail compromis. Et quelques centaines de secondes plus tard, le DNS du > cybercriminel fournira, suite à une autre requête, l'adresse d'un autre poste > de travail compromis. Avec ça, difficile de remonter à la source de > l'utilisateur. Bon je n'ai pas pu résister à entrer dans ces détails, > excusez-moi. C'est la dernière fois que je fais un peu technique dans ce > message. > > Pour conclure, avec les services vraiment très simples d'emploi, qu'on trouve > sur les serveurs de l'économie souterraine (il suffit de savoir remplir des > formulaires), il n'est pas difficile de devenir un cybercriminel. D'un autre > côté, les offres se professionnalisent. Mais attention, ne tentez pas de > jouer à ça, car mes messages ne vous parviendront plus, quand vous serez en > prison. > > Barbara, la juriste, intervient pour nous parler de l'économie de la > cybercriminalité, avec un focus sur les monnaies virtuelles. CEIS a > surveillé, en 2011, en temps réel, cinq Shops pendant un mois pour mesurer ce > que leur a rapporté ce marché. Si vous vous posez la question : Mais si vous > connaissiez l'existence de ces Shops, pourquoi ne les avez-vous pas signalées > à la police ? Plutôt que de les surveiller, vous auriez rendu, en les > dénonçant, un grand service aux gens qui se sont fait plumés ??? J'ai posé la > question et Barbara m'a répondu que CEIS n'est pas un indicateur de la > police, c'est une société qui travaille notamment avec des banques, > souhaitant être proactives et détecter la fraude en amont, afin de garantir > une sécurité optimale aux clients. Et ne nous y trompons pas, la police a > depuis longtemps infiltré beaucoup de Forums et de Shops des marchés noirs de > la cybercriminalité et ne vous attendent pas pour agir quand ils décident que > le moment est venu de le faire> ...> > > Le chiffre d'affaires de ces cinq Shops a été mesuré : 800 000 dollars pour > un seul mois. La Corée du sud, les USA et la Nouvelle-Zélande ont été les > pays dans lesquels les habitants ont été le plus plumés sur ces cinq shops. > Pour la France, le chiffre d'affaires n'a été que de 7000 dollars. > > Dans ces Shops, on paye en monnaie virtuelle, anonyme et intraçable. Le > problème est ensuite de convertir la monnaie virtuelle en monnaie réelle, si > on ne veut pas bien sûr directement réinvestir les gains dans de la monnaie > virtuelle. Rassurez-vous, pour convertir la monnaie virtuelle en monnaie > réelle, des solutions existent. Pour créditer un compte d'emonnaie virtuelle > telle que Liberty Reserve, il suffit de proposer une carte prépayée (ukash ou > paysafe card) à un intermédiaire, la société d> '> échange. En échange de > votre carte prépayée, la société d> '> échange créditera votre compte Liberty > reserve. En effet, ils vous est impossible de le créditer directement, seul > un nombre restreint de grossistes ont la possibilité de traiter de la monnaie > virtuelle Liberty Reserve, fermée au circuit bancaire traditionnel. > > Ceux qui effectuent les transactions sont peu regardants sur votre identité. > Vous leur proposez par exemple le nom : Dupond Dupond, ou Donald Duck (pas > Gérard Peliks, s'il vous plait) et c'est bon. Pour fournir l'adresse e-mail > demandée, utilisez plutôt une adresse en gmail ou en hotmail que celle de > votre entreprise. Vous réglez directement aux intermédiaires par cartes > prépayées qui sont légales : Ukash, PayPal ou paysafecard. La monnaie > virtuelle que vous obtenez peut être créditée sur e-Gold (emonnaie en perte > de vitesse), Webmoney (hébergé en Russie, aussi en perte de vitesse), ou sur > Liberty Reserve (hébergé au Costa Rica, très peu regardant sur ces > transactions, donc le meilleur aujourd'hui). Bien sûr ces organismes prennent > une commission au passage, mais l'opacité est garantie. > > Ensuite vous effectuez vos achats par monnaie virtuelle. > > Pour le passage inverse de monnaie virtuelle en monnaie réelle, on ne vous > propose pas de virement bancaire :-) On utilise le circuit inverse, vers > Ukash, PayPal ou Liqpay. Et l'argent gagn> é est réinvesti dans l'immobilier, > les casinos, le cinéma, les hôtels> ...> Rien que du très traditionnel à ce > stade là. > > Donc résumons le circuit pour passer de la monnaie virtuelle vers la monnaie > réelle : > > 1. Monnaie virtuelle Liberty reserve vers une société d> '> échange > 2. Utilisation de paypal ou des services d'une mule (ou agent de > transferts de fonds) > 3. Retrait bancaire ou virement effectué par la mule > 4. Envoi de l> '> espèce par western union ou money gram > > Toutes ces transactions se passent donc en circuit fermé et échappent aux > services bancaires situés du côté clair de la force. L'argent est ensuite > réinvesti dans le marché traditionnel > > Le marché noir de la cybercriminalité est caractérisé essentiellement par : > > 1. L'opacité, (car qui connait comment Liberty Reserve fonctionne ?) > 2. La flexibilité, (car rien de plus facile de payer par eCash, > Paysafecard) > 3. L'anonymat, (sur l'ensemble de la chaine du cybercrime) > 4. La complexité des circuits alliée à la simplicité de leur utilisation > (il suffit de savoir remplir un formulaire). > > Un des participants, Bernard Besson, du cercle IE du Medef IdF, fait > remarquer que pour lutter contre ces marchés noirs, on a besoin de > renseignements d'une part mais aussi et surtout d'une volonté politique de > lutter contre les mafias organisées, sinon toutes les actions qu'on > entreprendra ne serviront à rien. Aucun état n'est totalement blanc bleu et > les cybercriminels bénéficient dans certains pays de protections politiques > parfois de très haut niveau. > > Le combat est-il perdu d'avance ? Barbara Louis-Sidney pense que c'est comme > pour la lutte contre la drogue, ce n'est pas facile à vaincre ! Quand la > cybercriminalité frappe au niveau des états, au niveau de leur PIB, ils > réagissent mais quand elle touche de simples particuliers, les pertes pour un > particulier sont en général indolores, quelques dizaines d'euros, et si c'est > plus, les banques remboursent, donc le particulier ne porte pas plainte. > > Dominique Lacroix, Présidente de la Société Européenne de l'Internet demande > quels sont les noms de domaines les plus utilisés par les cybercriminels. > Nicolas Caproni répond que ce n'est pas en général le ".com", parce que les > Etats-Unis pourraient bloquer les serveurs repérés, ce sont en général des > noms de domaine plus "folkloriques". > > 2012 a été une année particulièrement riche en évènements (je parle des > évènements de cybercriminalité, pas ici des "Lundi de l'IE"). En janvier des > Brésiliens ont formé des hackers en herbe ; en février les botnets ont fait > de la pub pour le cybercrime mais la lutte contre eux s'est intensifiée ; > mars a vu une recrudescence des demandes de rançons contre la non-divulgation > d'informations volées mais Microsoft a réussit à détruire d'importants > botnets ; en avril, des pirates ont laissé des plumes et de nombreux sites > douteux ont été fermés ; en mai on a vendu des variantes du virus Zeus ; en > juin, terminé pour un botnet qui contrôlait quatre millions de machines > zombies, encore merci à la police russe ; en juillet la connaissance de > failles logicielles non connues et exploitables a été proposée pour un > montant de 8000 euros la faille ; en août le kit d'exploit Blackhole a permis > aux cybercriminels de tirer le meilleur parti d'une faille sur java ; en > septembre, découverte d'un maliciel directement implanté sur des ordinateurs > chinois dans une version contrefaite de Windows ; et ça continuera en octobre > et en novembre et en décembre et en 2013> ...> > > Le cyberespace est truffé d'infractions. De la fraude à la carte bancaire à > la contrefaçon en passant par tout ce que vous ne pouvez même pas imaginer, > les marchés noirs de la cybercriminalité se portent bien et rapportent ! > Toute une chaine économique participe à ce côté obscur de la force : > cybercriminel bien sûr, mais aussi acheteur, vendeur, interm> édiaires : les > Mules dans le cas des botnets, les opérateurs non avoués de monnaie virtuelle > dans le cas des Shops, les gestionnaires de serveurs "bulletproof". Mais il y > a des lois (parfois mais pas partout). Il y a les lois Godfrain en France et > des organismes tels que l'OCLCTIC, la Befti, les enquêteurs Ntec de la > Gendarmerie nationale, la DCRI. Il y a la convention de Budapest sur la > cybercriminalité, mais tous les pays n'y participent pas, la Russie n'est pas > signataire. La coopération internationale entre les polices, entre le secteur > privé et le secteur public, la sensibilisation de tous les utilisateurs du > cyberespace devraient constituer des remparts contre le cybercrime. > > Bernard Besson, ancien haut fonctionnaire au Ministère de l'Intérieur, fait > alors la suggestion suivante : > "Au 18eme siècle, il y avait déjà des pirates qui infectaient mers et océans. > Mais il y avait aussi des navires de guerre qui les poursuivaient et quand on > saisissait des pirates, on les pendait haut et court aux mats des navires, ce > qui donnait à réfléchir à ceux qui pensaient s'engager dans cette voie > devenue périlleuse. Alors, au 21eme siècle, n'est-il pas temps d'ériger des > mats virtuels, des piloris virtuels pour donner des exemples bien sentis aux > cybercriminels imprudents qui tombent dans les filets de la police ? > Cordi@lement Gérard Péliks Coordinateur de l'activité sécurité de l'Information des "Lundi de l'IE" du Medef Ile-de-France 01.61.38.78.91 - 06.80.36.51.69
_______________________________________________ comptoir mailing list [email protected] http://cafedu.com/mailman/listinfo/comptoir_cafedu.com
