20/07/2016

1

Anas ABOU EL KALAM

Président d’AM@N

Panorama de la cybercriminalité&

Perspectives 2016 …

Association Marocaine deconfiAnce Numérique(AM@N)

Association Marocaine deconfiAnce Numérique(AM@N)

Motivation

Notion d’APT

Vecteurs d’attaque

Exemples d’attaques récentes

Tendances 2016 …

Que faire … ?

Conclusions

Sommaire

Motivation

Notion d’APT

Vecteurs d’attaque

Exemples d’attaques récentes

Tendances 2016 …

Que faire … ?

Conclusions

SommaireCybercriminalité ?

Toute infraction qui implique l’utilisation des TI,

… actes illégaux intéressant l’informatique et les

télécommunications tant sur le plan des matériels que des

logiciels

L’ensemble des infractions pénales susceptibles de se

commettre sur les réseaux …

Les infractions facilitées 

par les TIC

Les infractions spécifiques aux TIC

« Le coût de la cybercriminalité dans le monde env. 500 milliards de $ -

20/07/2016

2

Physionomie de la Cybercriminalité au Maroc

Attaques DOS Phishing

Skimming Sextorsion

Modes Opératoires

Motivation

Notion d’APT

Vecteurs d’attaque

Exemples d’attaques récentes

Tendances 2016 …

Que faire … ?

Conclusions

Sommaire

placer du code malveillant personnalisé sur un

ou plusieurs ordinateurs pour effectuer des

tâches spécifiques et rester inaperçu pendant la

plus longue période possible …

se propager

se transformer

se dissimuler

attaque à long terme …

APT

8

• « Avancée» 

• l'attaquant va utiliser des mécanismes complexes : 

• vulnérabilités non encore connues/corrigées 

• compromission de plusieurs technologies

• « Persistante »

• l'attaquant va essayer de manière répétée 

d'atteindre son objectif 

• ne cherche pas un gain immédiat

• L’attaque est donc présente et recherche par sa 

discrétion à durer pour remplir l’objectif défini.

APT

20/07/2016

3

Motivation

Notion d’APT

Vecteurs d’attaque

Exemples d’attaques récentes

Tendances 2016 …

Que faire … ?

Conclusions

Sommaire

10

Augmentation

• Il y a eu « 317 millions de nouveaux maliciel créés au niveau mondial »

Délai

• « Il aura fallu 59 jours aux éditeurs de logiciels pour créer des correctifs

– ils n’en avaient besoin de seulement 4 en 2013 » …

Changement tactique

• les cyberattaquants poussent les particuliers ou les salariés à « s’auto-infecter »

• Les virus classiques tendent à disparaître ces dernières années (1%).

– on parle surtout de trojan, rootkit, addware, phishing, ransomware …

Vecteurs d’attaques

11

• Ingénierie sociale mieux identifier les victimes en étudiant leur

contexte social

• Envoi de courriels de plus en plus personnalisés

– Factures pour DF, CV pour RH, …

– surveiller pour voir les sites que la personne a l habitude de voir

• pour amener le destinataire à ouvrir un lien corrompu ou une pièce jointe

infectée.

• Le spear-phishing s’apparente donc à une attaque chirurgicale

– demande plus de travail de préparation mais qui se veut beaucoup plus efficace …

Vecteurs d’attaques : Spear Phishing

12

cible

• cadres ou des directeurs d’entreprises, politiques, célèbres

Moyen

• Ransonware, e-mail du patron demandant des transférer, …

Stats

• 55 % ont déclaré que leur E/se a eu une augmentation du

volume du whaling au cours des trois derniers mois

• L’usurpation DNS est la stratégie la plus courante,

puisqu’elle est utilisée dans 70 % des attaques »

• La majorité des faux messages sont signés du CEO

• 35 % par le directeur financier, …

Vecteurs d’attaques : Whaling & DNS

Toute la difficulté consiste à protéger un individu,… et pas simplement sa cyberprésence

20/07/2016

4

13

Scareware

• fonctionnant sur la peur, avec l’apparition d’une fenêtre

informant de la présence d’un virus, que l’on ne peut

éliminer qu’avec l’antivirus proposé, et payant….

Ransomware

• prendre en otage / blocage l’ordinateur, interdisant son

fonctionnement avant le paiement de la « rançon ».

– hausse de 113 % en 2014

Cryptolocker

• type de rançongiciel qui chiffre les données des utilisateurs

– a fait 45 fois plus de victimes qu’en 2014…

Vecteurs d’attaques : Scareware & RansonwareImpossible d’afficher l’image.

Motivation

Notion d’APT

Vecteurs d’attaque

Exemples d’attaques récentes

Tendances 2016 …

Que faire … ?

Conclusions

Sommaire

15

• Avril 2015, mais amorcée dès janvier 2015

• 8h d’interruption des 11 chaînes, RS, sites, wifi, skype, scanner, …

• revendiquée par « Cybercaliphate », mais aurait similitudes avec ATP28Russia

diversion

• coût : 5 millions d'euros pour 2015

– 11 millions d'euros pour 3 prochaines années

TV5 monde

16

• spear phishing

• Employé ouvre pièce jointe lancement maliciel hacker reste discret

déplacement latéral trouver ordi qui administre et/ou qui gère les transferts

• Ils sont parvenus à transférer des fonds vers des comptes aux US, Chine, …

• Les hackers ont pénétré discrètement les postes permettant de contrôler les DAB

pour que des billets sortent à un moment précis

– Une tierce personne était va chercher l’argent au distributeur

• Mot d’ordre :

– connaissance pointue du domaine, rester discret, respect règles, …

Banque Ukranienne

20/07/2016

5

17

• Ransamware

• L’attaque a commencé début décembre 2015 au ministère

des Transports

• en trompant les mesure de sécurité mises en place grâce à

l’utilisation du suffixe de messagerie @aviation-civile.gouv.fr.

Ministère des transports & DGAC

18

• Décembre 2015, codé à partir de la plateforme NW.js

• distribué via des campagnes de spams, charge utile est une archive WinRAR

• Disponible sur le Dark Web en modèle à la demande (RaaS).

• L’apprenti pirate peut configurer le ransomware et le télécharger (22 Mo de

fichiers), puis il donne @ Bitcoin pour que les sommes versées lui parviennent

• Les créateurs de Ransom32 prélèvent au passage une commission de 25%.

Ransom32, en javascript …

19

• Chiffre les données de la victime doit payer

2,4 bitcoins (environ 865 euros)

• Propose à sa victime de souscrire à un

programme d'affiliation.

– il lui demande de contaminer ses contacts, et

– propose de la rétribuer à hauteur de 50% de la

somme perçue …

Chimera : le ransomware qui paye ses victimes

20

• 2016, malware a infecté 3 compagnies régionales d’électricité en Ukraine.

Coupure de grande ampleur qui a privé de courant centaines de millier de foyers

• Le malware est issu du pack « BlackEnergy », découvert en 2007 et MAJ en 2013

• Impossibilité de démarrer, killDisk, backdoor, ….

Black-out électrique en Ukraine suite à un hacking

20/07/2016

6

Motivation

Notion d’APT

Vecteurs d’attaque

Exemples d’attaques récentes

Tendances 2016 …

Que faire … ?

Conclusions

Sommaire

22

• résurgence de phishing (spear phishing, whaling, …)

• Attaques sur les données des cartes de paiement

• Attaques parrainés par des États

Tendances 2016 : objets connectés

23

Smartphones

• Aujourd’hui, il y a plus de smartphones que d’ordinateur

• Ils sont allumés quasiment 24 heures/24

• nous suivent partout

• ont beaucoup plus de connectivité que les équipements traditionnels.

• ont des oreilles, des yeux ….

• stockent infos professionnelles et personnelles

• ont un portefeuille

• …

• MAIS paradoxalement, ….

• on a plus de sécurité sur un ordinateur que sur les smartphones & tablettes

n'ont absolument rien en termes de sécurité

Tendances 2016 : objets connectés

24

BYOD WYOD (Wear Your Own Device)

• Les objets IoT sont de plus en plus fréquents dans les environnements d'entreprise

• Ces objets communiquent en utilisant technos d’Internet peuvent être piratés

• Cependant, les périphériques connectés ne sont pas encore considéré comme

faisant partie de la stratégie de gestion des risques de l'organisation …

Tendances 2016 : objets connectés

Impossible d’afficher l’image.

20/07/2016

7

25

• Juillet 2015, deux scientifiques ont piraté à distance une voiture connectée

– couper le moteur et la commande des freins

• Novembre 2015, VTECH et ses jouets connectés ont été piratés.

– Un million de données volées : e-mail, @, comptes bancaires ...

• janvier 2016, verrouillage/déverrouillage de la serrure par badge (RFID),

smartphone (Bluetooth) ou code audio

• Nécessité pour les E/se de surveiller les appareils & façon dont ils sont utilisés

augmenter les coût, alors que les fabricants cherchent à maintenir les prix bas

« PAS encore UNE PRIORITÉ POUR LA PLUPART DES FABRICANTS »

• Si les problèmes ne sont pas nombreux, c’est que les personnes qui pourraient

réaliser ces piratages « n’y voient pas d’intérêt » …. Pour le moment ….

Tendances 2016 : objets connectés

26

• La plupart des équipements mobiles et objets connectés

interagissent avec le cloud (nuage) qui stocke leurs données &

applis

• Cet espace est une cible d’attaque idéale pour les hackers car il

rassemble une quantité importante de données

• Janvier 2016 : Citrix piratée et infiltrée

– accéder au système de gestion de contenu de Citrix …

Tendances 2016 : Fournisseurs du Cloud

27

• Le Cercle européen de la sécurité et des SI estime que le cybersabotage est

aujourd’hui l’une des plus grandes menaces.

• Exemple :

– polluer l’eau,

– faire exploser une usine,

– faire dérailler un train …

Tendances 2016 : Infrastructures critiques

Impossible d’afficher l’image.

28

Le maillon faible ?

• smartphones, tablettes et objets connectés, … humain …

• 76% des vulnérabilités identifiées avaient déjà été connu pour deux ans ou plus.

– Près de 10% étaient connues de plus de dix ans.

• Le périmètre de sécurité est en train de changer - avec sept des top 10 des

vulnérabilités identifiées agissent au niveau de l'utilisateur final

• +20% vise les établissements étatiques …

Tendances 2016 : généralités

20/07/2016

8

Motivation

Notion d’APT

Vecteurs d’attaque

Exemples d’attaques récentes

Tendances 2016 …

Que faire … ?

Conclusions

Sommaire

30

• Défense en profondeur basée sur l’analyse des risques

• Déconnecter la machine du réseau

• Prévenir le responsable sécurité

• Faire une copie physique du disque

• Rechercher les traces disponibles

Tendances 2016 : généralités

Motivation

Notion d’APT

Vecteurs d’attaque

Exemples d’attaques récentes

Tendances 2016 …

Que faire … ?

Conclusions

Sommaire

32

• Le risque zéro n’existe pas … Maroc = 3ème pays + touché en afrique

• Une attaque n’est pas éventuelle, elle n’est tout simplement pas encore arrivée

• Risque connu responsabilité engagée

• MaCERT c’est bien … encore faut il déclarer els incidents

– Pour gérer les incidents il faut les déclarer pour les déclarer il faut les détecter …

• Toute la difficulté consiste à protéger un individu, et pas simplement sa

cyberprésence

• L’être humain est souvent le maillon faible de sécurité

Conclusions

20/07/2016

9

33• Maroc = 3ème pays + touché en afrique

Conclusions

34

• Une attaque n’est pas éventuelle, elle n’est tout simplement pas encore arrivée

• Maroc = 3ème pays + touché en Afrique

Conclusions

35

• MaCERT c’est bien … encore faut il déclarer les incidents

– Pour gérer les incidents il faut les déclarer pour les déclarer il faut les détecter …

Conclusions

36

• Toute la difficulté consiste à protéger un individu, et pas simplement sa

cyberprésence

• L’être humain est souvent le maillon faible de sécurité

Conclusions

20/07/2016

10

37

• La sécurité ce n’est pas juste stopper, c’est aussi démarrer .. processus

• La sécurité c’est d’abord la « NORME »

Conclusions

38

• La sécurité est un voyage … pas une destination

Conclusions

39

• Défense en profondeur : prévention, détection, correction …

Conclusions

40

MERCI

Conclusions