Phishing, vols d’identité, attaques « zero day »?Les plaies du Net qui montent

Cloud

Dans le cadre de son panorama 2006 de la cybercriminalité, le Clusif dresse
un état des lieux des menaces les plus inquiétantes.

Le 18 janvier dernier, le Club de la Sécurité de l’Information Français (Clusif) a organisé une conférence au Cercle National des Armées à Paris pour présenter la nouvelle édition de son nouveau Panorama de la Cybercriminalité.

Rappelons que le Clusif est une association ouverte à toute entreprise ou collectivité qui cherche à sensibiliser tous les acteurs grâce à des groupes de travail dans des secteurs aussi variés que le management des risques, le droit, l’intelligence économique… Il réunit actuellement plus de 300 membres.

Le but du panorama n’est pas de présenter de manière exhaustive les évènements de l’année passée en matière de sécurité informatique, mais plutôt de revenir sur les plus importants et d’aborder ceux qui pourraient marquer les prochains mois. En guise d’introduction, Pascal Lointier, président de l’association Clusif et ingénieur sécurité chez Ace Europe, commence par faire un suivi du panorama 2005. Ainsi, un terme qui était encore inconnu du public, le happy slapping (du nom de cette pratique visant à filmer à l’aide d’un téléphone portable les actes de violence volontairement générés), est désormais un phénomène pris au sérieux. D’ailleurs, le Sénat s’est récemment penché sur le sujet*.

Usage d’e-mules pour des cyberdélits

Le premier intervenant est Joachim Krause, consultant senior sécurité chez Telindus Arche. Les attaques par phishing explosent, mais la difficulté reste pour les pirates de récupérer l’argent détourné à des banques par exemple. Car le simple fait de d’effectuer un virement sur leur propre compte bancaire permettrait à la police de remonter à eux.

Les pirates se sont donc lancés dans le recrutement de « mules » (terme signifiant « intermédiaire » et emprunté au domaine douanier) grâce à des sites Internet à la présentation très professionnelle, des contrats de travail qui paraissent en bonne et due forme, un salaire alléchant.

Ces personnes plus ou moins naïves recevront les sommes détournées sur leur compte bancaire situé dans le même pays que la victime, avant d’y prélever leur commission et de renvoyer le reste vers des moyens parfois difficilement traçables. En France, rien que dans un établissement bancaire, il y a déjà eu une douzaine de victimes, affirme Joachim Krause, sans connaître la situation dans les autres établissements.

Keylogger : risque de piratage massif

François Paget, secrétaire général du Clusif et chercheur antivirus chez McAfee revient sur les vols d’identité. Dans le précédent panorama, ces usurpations concernaient les entreprises. Désormais, elles touchent aussi les particuliers. Les attaques se déroulent habituellement par keyloggers, des logiciels qui enregistrent à l’insu de l’utilisateur les touches tapées au clavier.

Le chercheur détaille une affaire qui s’est déroulée outre-Manche et qui a fait 2300 victimes. Les autorités sont remontées au serveur qui contenait les informations récoltées par le pirate, des mots de passe notamment. Le logiciel qu’il utilisait était très simple d’utilisation, son interface reposait sur une simple page Web.

Heureusement, c’était une ancienne version qui ne reconnaissait pas les claviers virtuels (une version plus récente contient une base de 562 sites bancaires prédéfinis). Sur une des captures d’écran trouvées sur le disque dur du pirate, on note qu’un antivirus avait donné l’alerte chez une des victimes ! François Paget ajoute que certaines n’ont toujours pas changé leurs mots de passe suite à cette affaire.

Vincent Maret, expert en audit et sécurité des systèmes d’information chez Ernst &Young, fait une présentation prospective sur le spam par téléphonie IP. Pour l’instant, il ne peut donner d’exemple concret. Mais compte tenu de la gratuité des communications, le phénomène ne peut qu’amplifier, estime-t-il.

Spam sur IP : la prochaine vague ?

Le spam téléphonique représente pour les entreprises une perte de productivité au regard de la consommation de ressources informatiques supérieures à du spam textuel reçu par mail. A terme, on pourrait assister à des attaques par déni de service. Les solutions sont envisagées comme le contrôle sur l’adresse IP ou un test de Turing avant la conversation pour vérifier que l’appelant est une personne et non une machine.

L’expert passe ensuite à un tout autre domaine : la manipulation des cours de bourse. En 2005, le « stock spam » (spam mettant en avant le cours d’un titre) représentait 1 % du spam. En 2006, le taux est passé à 15 %. Le but est de pousser à la hausse des actions que le pirate aura achetées à vil prix. L’avantage de ce procédé est sa discrétion : le pirate est noyé dans la masse de spéculateurs qui profiteront de la vague.

Certains vont plus loin en piratant des comptes boursiers de particuliers via des keyloggers. Mais, cette fois, il y a des traces utilisables plus facilement par la police. Le conférencier donne deux exemples d’affaires retentissantes outre-Atlantique avec des gains respectifs de 47 000 et 353 609 dollars.

Failles zero day : en progression

Retour de François Paget pour une présentation sur les vulnérabilités et les failles dites zero day, ces attaques exploitant une faille dans un programme ou un logiciel encore non résolu par les éditeurs de solutions de sécurité IT. « On en cherche de plus en plus, on en trouve de plus en plus », commente-il en alignant les statistiques sur trois ans : 2300 en 2004, 4800 en 2005 et 6500 en 2006 selon ses analyses des sites de références. L’explosion des « zero day » est encore plus forte : on en recense dix fois plus sur un an contre Microsoft. En fait, plus de failles sont découvertes sous les différents Unix, mais elles sont moins graves habituellement et font donc moins parler d’elles. Le professionnel venu de McAfee ajoute qu’Internet Explorer a été vulnérable pendant 365 jours en 2006, du fait de failles successives non corrigées.

La grande nouveauté est la naissance d’un véritable commerce des vulnérabilités. Certaines transactions se font sous le manteau, d’autres au grand jour, avec des prix situés entre 8000 et 12 000 dollars, et une tendance à la hausse. L’objectif des acheteurs est soit d’avoir un avantage sur leurs concurrents quand ils travaillent dans la sécurité, soit d’injecter des ad-wares à l’insu d’internautes qui surfent sur le Web.

François Paget rappelle qu’il n’y a pas eu d’attaque massive en 2006 sur Internet et, selon lui, il n’y en aura pas non plus cette année. Les pirates optent désormais pour des attaques mieux ciblées et plus discrètes.

*Lors du vote en seconde lecture du projet de loi relatif à la prévention de la délinquance voté le 11 janvier, les sénateurs ont approuvé la création d’une nouvelle sanction pour le délit visant « enregistrer ou diffuser par quelque moyen que ce soit, sur tout support que ce soit, des images relatives à la commission de ces infractions [c’est à dire torture, meurtre, viol?, nldr] ». Plus connu sous le terme anglophone happy slapping. Le projet de loi remodelé doit encore être approuvé par les députés.