Download - Panorama de la cybercriminalité
Panorama de la cybercriminalité
Année 2004
CLUSIF > 213/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Objectifs du panorama:
Apprécier l’émergence de nouveaux risques et les tendances de risques déjà connus
Relativiser ou mettre en perspective des incidents qui ont défrayé la chronique
Englober la criminalité haute technologie, comme des atteintes plus « rustiques »
Sélection réalisée par un groupe de travail pluriel (assureur, avocat, journaliste, officier de gendarmerie et police, offreurs de biens et de services, RSSI).
CLUSIF > 313/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Sélection des événements médias
Illustration d’une émergence, d’une tendance,d’un volume d’incidents.
Cas particulierImpact ou enjeux,Cas d’école.
Les images sont droits réservésLes informations utilisées proviennent de sources ouvertes,
Les entreprises sont parfois citées par souci de précision et parce que leur nom a été communiqué dans les médias
CLUSIF > 413/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Retour sur le panorama 2003
Logiciel Libre : une sécurité surestimée ?« Security flaws force Linux kernel upgrade », http://news.com.com/2100-1002-5135129.html« Sécurité: la réputation de fiabilité des systèmes Linux mise à mal », CNETnews.com, 20/02/2004« Warnung vor Linux-Flaw », http://www.newsbyte.ch/suche2.cfm?id=64742, 10/12/2004
Téléchargements illicites : les risques pour l’entreprise
« Les pirates du numérique au cachot », 01net, 30/01/2004« AOL employee arrested on spam charges », IDG news, 24/06/2004
Virus : professionnalisation et recherche de gain« Les auteurs de virus en pleine guerre psychologique », ZDnet France, 04/03/2004«E-Mail Viruses Getting Smarter, Report Says », Reuters, 17/08/2004«Mac OS X touché par le virus Opener », ZDnet France, 26/10/2004
CLUSIF > 513/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Retour sur le panorama 2003
Ripostes judiciaires : objectif dissuasion« L'auteur présumé du virus informatique Phatbot en détention provisoire », AFP, 10/05/2004« Interpellation d'un proxénète présumé soupçonné d'avoir recruté des mineures sur internet », AP, 15/10/2004« Arrestation d'un Américain qui vendait le code source de Windows », Reuters, 10/11/2004
La riposte anti-spam s’affirme« Neuf ans de prison pour un spammeur aux Etats-Unis », Reuters, 04/11/2004«Spammers go on trial », CNN, 26/10/2004
Spam: le parquet va faire appel dans le procès ABS, ZDNet France, 17/12/2004
Phishing : la triple imposture« Phishers tapping botnets to automate attacks », Register, 26/11/2004« "Phishing" lures German banking clients », Reuters, 26/08/2004«Les clients de Postbank et Deutsche Bank victimes de fraudeurs sur internet », AFP, 23/08/04
Nouvelles opportunités d’espionnage hi-tech
CLUSIF > 613/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Panorama 2004
Vol de données : code source et bases de données
Programmes malveillants : spywares, robots et keyloggers
Chantage – extorsion – racket sur InternetAttaques concurrentiellesCyberterrorisme : de quoi parle-t-on ?Menaces sur la mobilité : GSM, VoIP, WiFi…
CLUSIF > 713/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Vols de données
Les faitsLes cas marquants de vols de données :
Fichiers sources de systèmes d’exploitation : Microsoft et Cisco Fichiers sources de logiciels et de documents confidentiels : JollyDonnées clients : Wells Fargo
CLUSIF > 813/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Vols de données
Chronologie et détailsAffaire Microsoft (février 2004)
Portions du code source de Windows NT 4.0 Service Pack 3 et Windows 2000 SP1 en libre accès sur Internet Volume d’environ 660 Mo de fichiers sourcesCommunication de Microsoft pour rappeler le caractère illicite des téléchargementsMainsoft (partenaire de Microsoft) identifiécomme étant à l’origine de cette fuite
CLUSIF > 913/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Vols de données
Chronologie et détailsAffaire Cisco
Mai 2004 : fichiers sources (800 Mo) du système d’exploitation IOS 12.3 (routeurs) envoyés à un site web russeSeptembre 2004 : arrestation d’un homme soupçonné d’être mêlé au volNovembre 2004 : copies de fichiers sources du firewall PIX 6.3.1 mises en vente sur des newsgroups
CLUSIF > 1013/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Vols de données
Chronologie et détailsAffaire Wells Fargo (octobre 2004)
Vol de plusieurs ordinateurs d’un sous-traitant de la banque contenant des informations personnelles de clientsActions de communication auprès des personnes concernées
Affaire Jolly Technologies (juillet 2004)Vol de fichiers sources de logiciels et de documents confidentielsUn ingénieur renvoyé du centre de R&D situé en Inde serait à l’origine de ce vol
CLUSIF > 1113/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Vols de données
Enjeux et ConséquencesCes affaires (ré)ouvrent des débats sur plusieurs questions fondamentales avec des avis partagés sur les réponses à donner !
La sécurité des systèmes d’information des grandes entreprisesLes failles de sécurité découvertes à l’aide du code source d’un logicielLa sécurité du développement : le spectre de la compromission des sources
CLUSIF > 1213/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Vols de données
Enjeux et ConséquencesLes soupçons de présence de «raccourcis» permettant une meilleure compatibilité de logicielsL’externalisation des opérations de développement logiciel
CLUSIF > 1313/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Panorama 2004
Vol de données : code source et bases de données
Programmes malveillants : spywares, robots et keyloggers
Chantage – extorsion – racket sur InternetAttaques concurrentiellesCyberterrorisme : de quoi parle-t-on ?Menaces sur la mobilité : GSM, VoIP, WiFi…
CLUSIF > 1413/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Programmes Malveillants & Indésirables
SommaireFaille JPEGAdware et SpywareRobots et Keyloggers
CLUSIF > 1513/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Faille JPEG
14 septembre 2004 : MS04-028Microsoft annonce une faille affectant Windows XP Service Pack 1Une saturation de la mémoire tampon lors du traitement JPEG (GDI+) peut permettre l'exécution de code (833987)Taux de sévérité : critique
CLUSIF > 1613/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Faille JPEG
17 septembre 2004 :Crash d’Internet Explorer en ouverture d’un fichier distant
18 septembre 2004 : Nombreux fichiers suspectsMise à disposition d’un générateur de JPG
L’ouverture ou la prévisualisation en local d’une image ainsi créée permet le téléchargement d’un fichier depuis une URL prédéfinie, puis son exécution sur la machine vulnérable
CLUSIF > 1713/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Faille JPEG
Ce n’est pas un virus, c’est un downloader (téléchargeur et implanteur)La faille n’est pas liée au format JPEG lui-mêmeLe problème affecte les utilisateurs de Windows XP Service Pack 1Il n’y a pas d’exécution automatique à la lecture d’un mail contenant une imageL’image doit être sauvée puis manipulée en local
CLUSIF > 1813/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Faille JPEG
Un exemple d’image correcte : l’en-tête de fichier est normal
CLUSIF > 1913/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Faille JPEG
Un exemple d’image incorrecte : l’en-tête de fichier est écrasé et contient du code exécutable
CLUSIF > 2013/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Programmes Malveillants & Indésirables
SommaireFaille JPEGAdware et SpywareRobots et Keyloggers
CLUSIF > 2113/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Adware & Spyware
Acronymes qui désignent 2 classes particulières de logiciels commerciaux :
Adware
Ads + Ware
Advertising Software
Logiciel Publicitaire
Spyware
Spy + Ware
Spying Software
Logiciel espion
A ces 2 classes se mêlent parfois d’autres groupes d’outils, malveillants ou non, et d’origines diverses
Ils sont essentiellement liés au monde Microsoft (OS Windows et Internet Explorer)
CLUSIF > 2213/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Programmes Indésirables
Adware / SpywareOutil d’aide à la navigation / BHO - Browser Helper ObjectOutils de re-direction / Browser HijackerLogiciels de connexion téléphonique / DialerPlaisanteries / Joke
Programmes Malveillants
Virus, VersBombes logiquesChevaux de Troie / Porte dérobéesBots / Robots
Outils furtifs d’administration à distance (RAT en anglais)Outils de capture d’informationsOutils d’appropriation de ressourcesOutils d’attaque réseau
Adware & Spyware
Programmes commerciaux indésirables, usage détourné, absence de consentement…
CLUSIF > 2313/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
i
Adware & Spyware
Pourquoi en parler aujourd’hui ?Il a fallu attendre 20 ans pour atteindre un chiffre de 1500 virus dans la nature (In-The-Wild)En moins de 2 ans il y plus de SEPT MILLE adwares et spywares en circulationOn ne perd pas de temps quand le profit financier devient une motivation !
CLUSIF > 2413/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Adware & Spyware
0
50
100
150
200
250
300
1999 2000 2001 2002 2003 2004
AdwareSpywareBHOHijackerDialer
Nombre cumulé depuis 1999 (source PestPatrol(http://research.pestpatrol.com/graphs/form.jsp)
CLUSIF > 2513/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
0
20
40
60
80
100
120
Aout2003
Janvier2004
SpywareKeyloggersDialersAdware
Estimation McAfee – évolution des soumissions reçues
Pourcentage
Adware & Spyware
CLUSIF > 2613/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
• Programme provenant d’une source commerciale
• Non auto-reproducteur
• S’installe après un consentement initial
• Observe les habitudes de navigation
• Dirige des publicités ciblées. Fourni des offres adaptées à un profil
• Ne collecte aucune information personnelle de manière intentionnelle
• Fichiers binaires (EXE ou DLL)
Adware & Spyware
L’adware est un « profiler »
CLUSIF > 2713/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Vecteurs d’introduction :Logiciels gratuits ou en démonstration :
Utilitaires de téléchargementAide à la navigationPartage de ressources (poste à poste)Économiseurs d’écranJeux
Sites à risques :PornographieJeuxMonde underground
Courrier électronique :SpamForums de discussion
Procédures d’enregistrement en ligne :
Licences de logiciels,Accès à des zones de navigation privées
Virus et les chevaux de Troie
Adware & Spyware
CLUSIF > 2813/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Adware & Spyware
Un exemple
CLUSIF > 2913/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Un exemple
Adware & Spyware
CLUSIF > 3013/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
• Programme provenant d’une source commerciale
• Non auto-reproducteur
• S’installe après un parfois sans consentement initial
• Observe Collecte les habitudes de navigation
• Dirige des publicités ciblées. Fourni des offres adaptées àun profil
• Sert de tremplin à d’autres activités commerciales
• Ne collecte et transfert aucune de nombreuses informations personnelles de manière intentionnelle
• Fichiers binaires (EXE ou DLL)Le spyware est un « espion »
Adware & Spyware
CLUSIF > 3113/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
2 types d’applicatifs pour 2 objectifs distincts :
Le commerce - Ils se rapprochent des adwares, mais transmettent des informations nominatives et personnelles
Le renseignement - Il s’agit de logiciels espions
Adware & Spyware
CLUSIF > 3213/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
http://windows.xx.hhhh.eeeeeee.french.crack.123456.crack-locate.com/
Routines visibles et routines invisibles…
Fenêtres visibles et fenêtres invisibles…
En cas de refus, l’accès au site est refusé
Dans un cas, comme dans l’autre…
Adware & Spyware
Un exemple
CLUSIF > 3313/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
180SolutionsBargains BuddyInternet OptimizerISTbar & ISTsvcPower scanPurityScanIpsentryBetterInternetSearchCentrixEtc.
Adware & Spyware
Un exemple
Quelle que soit la réponse, les adwares sont installés sur l’ordinateur !
CLUSIF > 3413/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Quelle que soit la réponse…
Adware & Spyware
Un exemple
CLUSIF > 3513/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Quelle que soit la réponse, un cheval de Troie s’infiltre pour forcer le maintien de certains spywares
Adware & Spyware
Un exemple
CLUSIF > 3613/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Adware Spyware Source commerciale légitime Oui Oui Profite de la connexion Internet de l’utilisateur Oui Oui Consomme de la bande passante Internet de manière invisible Oui Oui Observe les habitudes de navigation de l’internaute afin de lui fournir des bannières publicitaires adaptées à son profil
Oui, c’est le but
Oui, mais pas uniquement
Modifie ou ajoute des fonctionnalités au navigateur Parfois Parfois Modifie le comportement et les réglages du navigateur Parfois Parfois Télécharge et installe des programmes et autres objets de manière arbitraire
Oui Oui
En cas de transfert de données, la préservation de l’anonymat est annoncée (et respectée). Si des données personnelles sont transmises l’utilisateur en a été informé (EULA – End user Licence Agreements).
Oui Non
Collecte et transmet des données statistiques (habitudes de navigation) et/ou personnelles à un site distant sans que la victime en ait connaissance et sans son autorisation explicite (objectif commercial). Aucune clause de confidentialité n’est fournie par défaut.
Non Oui, c’est le but !
Se conduit comme outil d’espionnage en interceptant la globalité de l’activité effectuée sur la machine de la victime (objectif de renseignement)
Non Parfois
Adware & Spyware
CLUSIF > 3713/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Adware & Spyware
PRESERVATION DE L’ANONYMAT ?
Les concepteurs nous affirment que l’information est traitée de manière agrégée.
En théorie, la méthode consiste à remplacer des unités individuelles par des unités représentatives, en plus petit nombre, mais permettant de conserver l’essentiel de l’information initiale sur la population considérée
CLUSIF > 3813/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
PRESERVATION DE L’ANONYMAT ?
Adware & Spyware
http://www.oecd.org
CLUSIF > 3913/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
PRESERVATION DE L’ANONYMAT ?
Adware & Spyware
http://67.15.22.137:8095/politiques.php (Spa Eastman - Montreal)
CLUSIF > 4013/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Adware ou Spyware ?
D’un point de vue fonctionnel, le spyware se différencie de l’adware par un ou plusieurs des points suivants :
installation silencieusecollecte d’informations personnelles à l’insu de l’utilisateurtransmission de ces informations à un tiers sans accord préalable clair et sans préservation d’anonymatabsence ou dysfonctionnement volontaire du logiciel de désinstallation
Où est la frontière entre l’acceptable et l’inacceptable ?
Que penser d’un produit publicitaire dont la politique d’installation est totalement différente d’un site à un autre ?
CLUSIF > 4113/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Adware ou Spyware ?
Un accord préalable souvent donné à la légèreDes détournements d’usageDes personnes peu scrupuleusesUne absence fréquente de logiciel de désinstallationUne absence fréquente de panneau de configurationUne impossibilité de désactiver temporairement ou définitivement le produit
Tout cela engendre une suspicion grandissante de la part des usagers..
Certaines grandes marques abandonnent le concept pour sauvegarder leur image de marque…
CLUSIF > 4213/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Programmes Malveillants & Indésirables
SommaireFaille JPEGAdware et SpywareRobots et Keyloggers
CLUSIF > 4313/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Programmes Indésirables
Adware / SpywareOutil d’aide à la navigation / BHO - Browser Helper ObjectOutils de re-direction / Browser HijackerLogiciels de connexion téléphonique / DialerPlaisanteries / Joke
Programmes Malveillants
Virus, VersBombes logiquesChevaux de Troie / Porte dérobéesBots / Robots
Outils furtifs d’administration à distance (RAT en anglais)Outils de capture d’informationsOutils d’appropriation de ressourcesOutils d’attaque réseau
Adware & Spyware
Programmes commerciaux indésirables, usage détourné, absence de consentement…
CLUSIF > 4413/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Keyloggers
0
1000
2000
3000
4000
1999
2000
2001
2002
2003
2004
RAT
0
200
400
600
800
1999
2000
2001
2002
2003
2004
Keylogger
RAT : Remote Administration Tool ou « outil furtif d’administration à distance »
Nombre cumulé depuis 1999 (source PestPatrol(http://research.pestpatrol.com/graphs/form.jsp)
CLUSIF > 4513/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Robots
0
100
200
300
400
500
600
700
800
900
1000
avr-03
mai-03
juin-03
juil-03
août-03
sept-03
oct-03
nov-03
déc-03
janv-04
févr-04
mars-04
avr-04
mai-04
juin-04
juil-04
août-04
sept-04
oct-04
Gaobot Spybot Randex
Source Symantec (Kaoru Hayahi – AVAR 2004)
CLUSIF > 4613/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Robots
Pour s’implanter, le robot utilise des méthodes classiques : • Il peut être déposé sur sa cible par :
• Un courrier électronique (spam)• Un vers ou virus• Un cheval de Troie
• Il peut posséder son propre module de propagation (propagation souvent lente et ciblée) et exploite :
• Une vulnérabilité• Des partages ouverts (open shares)• Des mots de passe faibles ou manquants
• Il peut exploiter la crédulité des internautes (social engineering)
CLUSIF > 4713/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
• Réutilisation de la technologie existante IRC - Internet Relay Chat (voir nota)
• Protocole basé sur le principe du client-serveur• Connexion simpliste :
• Ouverture d’un socket TCP sur le port du serveur• Définition d’un pseudo
• Le bot est exécuté silencieusement sur chaque système piraté. Il se connecte automatiquement à un serveur IRC prédéfini pour rejoindre son botnet. Chaque système piraté peut, dès lors, être piloté à distance par l’IRCcommand master
• On en découvre entre 25 et 50 nouveaux chaque jour !
Robots
Nota : Certains robots sont contrôlés via les réseaux P2P et des protocoles autres que l’IRC (exemple WASTE par AOL’s Nullsoft division sur le réseau Gnutella).
CLUSIF > 4813/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Robots
Schéma issu du document : Sécurité des postes de travail : Botnet, Alain Hugentobler
CLUSIF > 4913/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
• Ceux qui se cachent derrière les robots veulent :• Envoyer du courrier et collecter des adresses• Obtenir les clés de certains logiciels et CD de jeux• Diffuser et exécuter des mini-serveurs relais• Diffuser et piloter des outils d’attaque (DDoS ou autres)• Capturer le trafic IRC (pour trouver les mots de passe
d’autres botnets)• Capturer les mots de passe et utilisateurs FTP• Capturer le trafic HTTP et les cookies (PayPal)• Terminer des applications (AV, pare-feux…)• Voler des informations relatives aux comptes AOL• Etc.
• Le grand public ignore encore la menace• Là où le « bot » circule, l’argent circule !
Robots
CLUSIF > 5013/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Sdbot, Agobot, Gaobot, Spybot, Polybot, Kwbot, Phatbot…
Robots
• Les utilisateurs les distribuent sous la forme de code source
• Tout comme les logiciels libres (open source), le code est facilement modifiable. Il est conçu pour pouvoir évoluer. Il s’enrichit au fil du temps et les programmeurs diffusent les perfectionnements qu’ils développent jour après jour
• Aucun pré requis technique n’est nécessaire, les fichiers de traitement par lot et les compilateurs sont fournis
• Un large panel de personnes malveillantes s’intéresse aux bots…
CLUSIF > 5113/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Robots… en mode « open source »…
CLUSIF > 5213/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Robots… à la portée de tous…
CLUSIF > 5313/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Robots… à la portée de tous…
CLUSIF > 5413/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Porte Dérobée
Vers
Porte Dérobée
Vers
Code Additionnel
Porte Dérobée
Vers
Code Additionnel
Code Additionnel
Porte Dérobée
Vers
Code Additionnel
Code Additionnel
Attaque parvulnérabilité
Compacteurpolymorphique
Avril 2003Q=1
Novembre 2004Q > 4000
Basée sur SdBotSupporte 22 commandes17 mots de passe en dictionnaire
Supporte 90 commandes
139 mots de passe en dictionnaireUtilise Bagle, Mydoom et autres Trojans pour se propager
MS01-059 (UPnP)MS02-061 (SQL)MS03-007 (WebDAV)MS03-026 (DCOM RPC)MS03-049 (Workstation)MS04-011 (LSASS)
Robots… ils s’enrichissent au fil du temps…
Exemple : Spybot
CLUSIF > 5513/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
… chaque cas est unique…
Robots
• La détection est parfois difficile à obtenir• Chaque variante est créée dans un but précis. Si vous ou
votre entreprise êtes ciblé, vous seul en possédez la souche
• Ils attendent d’être sollicités par leur concepteur ou par ceux qui « louent » leurs services
• Ils captureront de l’information• Ils participeront depuis chez vous à des attaques
groupées (DDoS)• Vos machines serviront de relais de spamming et/ou de
phishing• Se sachant éphémères, ils préparent la place pour leur
descendance
CLUSIF > 5613/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
… chaque cas est unique…
Robots
• C’est leur nombre qui fait leur force• Leur durée de vie est courte :
• Ils sont créés• Ils sont « distribués » afin de créer un « botnet »• Ils sont utilisés
• Certains outils « commerciaux » s’en servent comme intermédiaires
CLUSIF > 5713/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
INFO ou
INTOX ???
… au service des « professionnels » ??
Robots
CLUSIF > 5813/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
… au service des « professionnels » ??
Robots
CLUSIF > 5913/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
… au service des « professionnels » ??
Robots
CLUSIF > 6013/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Robots
• Quelques chiffres :Source Peter Haag SWITCH Security Workshop, 03/11/2004• Le plus grand botnet : > 140.000 machines• Un accès non exclusif à un bot vaut 0,15€
0,35€ en mode exclusif (10 cents, 25 cents)
• Un réseau de 500 bots peut valoir jusqu’à 380€ (500$)
• La location de 20000 proxies par jour pour spammer vaut 75€/semaine (100$)
• Les attaques DDoS se négocient entre 38€ et 750€ (50$ et 1000$)
• Pour 38€ par mois, on reçoit une liste quotidienne de proxies ouverts (50$)
CLUSIF > 6113/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Programmes Malveillants
RéférencesFaille JPEG
LURHQ, ***JPEG "Virus" Facts***http://www.lurhq.com/jpegvirus.htmlMICROSOFT TECHNET
Microsoft Security Bulletin MS04-028Buffer Overrun in JPEG Processing (GDI+) Could Allow Code Execution (833987)http://www.microsoft.com/technet/security/bulletin/MS04-028.mspxBulletin de sécurité Microsoft MS04-028Une saturation de la mémoire tampon lors du traitement JPEG (GDI+) peut permettre l'exécution de code (833987)http://www.eu.microsoft.com/france/technet/securite/ms04-028.mspx
CLUSIF > 6213/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Programmes Malveillants
RéférencesAdware et Spyware
VIRUS BULLETIN, décembre 2004How ‘dare’ you call it a spyware!Prabhat K. Singh, Fraser Howard, Joe TelaficiAdware & Spyware
François PagetDocument de travail présenté au Forum des Droits de l’Internet et Conseil Supérieur de la propriété littéraire et artistiqueSilicon.fr, Spywares: le 'top 10' des plus méchants
http://www.silicon.fr/getarticle.asp?ID=7659Assiste.com, dossier spyware
http://assiste.free.fr/p/frameset/05.phpSecuser.com, Spywares : ces logiciels à votre écoute
http://www.secuser.com/dossiers/spywares_generalites.htmInternet Intruders: Spyware, Adware, Hijackers and Other Pests.
David J. Stang, Ph.D. PestPatrol Research Centerhttp://research.pestpatrol.com/WhitePapers/About_Spyware.aspLes logiciels espions
Sophie Revol, DESS Droit du Multimedia et de l’informationhttp://www.u-paris2.fr/dess-dmi/rep_travaux/32_logiciels_espions.pdf
CLUSIF > 6313/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Programmes Malveillants
RéférencesAdware et Spyware (suite)
OptOut, Internet Connection Misuse & Abusehttp://grc.com/optout.htmZDnet, Le "spyware" de Gator n'en finit pas d'attirer les critiques
http://www.zdnet.fr/actualites/internet/0,39020774,2118596,00.htm'Spyware' Steps Out of the Shadows
John Borlandhttp://www.10e20webdesign.com/news_center_latest_technology_internet_news_november_19_2003_spyware_steps_out_of_the_shadows.htm
CLUSIF > 6413/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Programmes MalveillantsRéférences
Robots et KeyloggersSécurité des postes de travail : Botnet
Alain Hugentobler, 14 décembre 2004http://www.unige.ch/dinf/projets/pres_corres10_14102004/Botnet_10_14122004.pdfMessagelabs, Monthly Report: October 2004, Rise of the zombies botnets
http://www.messagelabs.com/emailthreats/intelligence/reports/monthlies/October04/default.aspWho Wrote Sobig ?
http://spamkings.oreilly.com/WhoWroteSobig.pdfLURHQ, Phatbot Trojan Analysis
http://www.lurhq.com/phatbot.htmlLes Bots
François PagetDocument de travail présenté au Conseil Supérieur de la propriété littéraire et artistiqueCERT® Advisory CA-2003-08 Increased Activity Targeting Windows Shares
http://www.cert.org/advisories/CA-2003-08.htmlN@tpreneur, Using Shopping Bot Sites to Attract New Visitorshttp://www.entrepreneur.com/article/0,4621,314466,00.htmlComputer Security Update, Décember 2004
Lionel Cons, Denise Heagerty, CERN Computer Security Team, ACCU Meeting, 8 December 2004http://ph-dep.web.cern.ch/ph-dep/ACCU/Minutes/Presentation.66/ComputerSecurity.pdf
CLUSIF > 6513/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Panorama 2004
Vol de données : code source et bases de données
Programmes malveillants : spywares, robots et keyloggers
Chantage – extorsion – racket sur InternetAttaques concurrentiellesCyberterrorisme : de quoi parle-t-on ?Menaces sur la mobilité : GSM, VoIP, WiFi…
CLUSIF > 6613/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Chantage – extorsion - racket
Il n’est pas nouveau que les entreprises fassent l’objet de tentatives de chantage, d’extorsion, ou de racket.
L’actualité de l’année 2004 le confirme : menaces de divulgation de données, d’attaques en déni de service (DoS), les maîtres-chanteurs savent tirer parti d’Internet et des ressources informatiques.
Quelques affaires marquantes, pas encore toutes résolues, sont significatives de cette problématique pour les entreprises, lorsqu’elles se trouvent confrontées à des approches douteuses.
CLUSIF > 6713/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Chantage – extorsion - racket
Février 2004 : Arrestation de quatre suspects au Japon, dans le cadre d’une affaire oùSoftbank explique avoir fait l’objet de chantage et tentative d’extorsion après un accès à la base de données de ses clients
28 millions de dollars lui sont demandés contre la non-divulgation des données personnelles de plus de 4,5 millions de clients
L’affaire fait scandale au Japon, le président du groupe Softbank présente ses excuses à ses clients et promet un dédommagement
CLUSIF > 6813/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Chantage – extorsion - racket
Mars 2004 : Google reçoit des emails d’un individu qui l’approche pour lui vendre un logiciel conçu pour abuser le système de paiement au clic de publicités. Il menace l’entreprise de la détruire financièrement si elle ne lui verse pas la somme de 100.000 dollars
Sa menace consiste à vendre à des spammeurs ce logiciel programmé pour fausser le système de paiement des publicités payées au clic par Google
Le logiciel crée une augmentation artificielle du nombre de clics
Inculpation de Michael B, auteur présumé.
CLUSIF > 6913/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Chantage –extorsion -racket
Plusieurs sites web de pari en ligne en Grande-Bretagne subissent des attaques en DDoS ( Attaques distribuées en déni de service ), parmi lesquels : William Hill, Ladbrokes, Coral,Betfair and BetDaq,etc
L’inaccessibilité des sites web avec paiement en ligne entraîne un manque à gagner qui va de plusieurs heures à plusieurs jours, à l’approche de compétitions sportives importantes
Des demandes de rançon en échange de la non-attaque sont reçues. Montant demandé : + ou -40.000 dollars
Blue Square indique avoir essuyé plusieurs attaques après avoir refusé de payer 30.000 dollars
CLUSIF > 7013/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Chantage –extorsion -racket
BetCBSports.com : indique avoir reçu un email disant en substance :"You have 3 choices. You can make a deal with us now before the attacks start. You can make a deal with us when you are under attack. You can ignore us and plan on losing your Internet business“
En juillet 2004, annonce de l’arrestation en Russie de 3 maîtres-chanteurs présumésIls sont suspectés de racket contre des sites web de pari en ligne en Grande-Bretagne, aux Etats-Unis et dans les Caraïbes.
CLUSIF > 7113/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Chantage –extorsion -racket
Quelques modes opératoires utilisés :
- Accès à des données et menaces de les divulguer contre demande de rançon
- Utilisation d’outils d’attaques : logiciels
- Utilisation d’outils d’attaques : attaques en DDoS avec une armée de PC Zombies
CLUSIF > 7213/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Chantage –extorsion -racket
Sécurité :- L’argent attire les racketteurs
- Cibles : casinos en ligne, sites de pari, sociétés de services de paiement en ligne, grandes entreprises…
- Mais tout le monde peut être la cible de tentative de chantage : des PME, des particuliers ou des employés non cadres- Organisation :
- Contre-mesures techniques à envisager- Actions de sensibilisation (notamment, savoir repérer les prémisses d’une tentative de chantage)- Actions juridiques- Risques de payer la rançon demandée
CLUSIF > 7313/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Chantage –extorsion -racket
Sources : Affaire Softbank : AFP Tokyo 27 février 2004Japan Times : 26/02/04 et 27/04/04Zdnet :http://www.zdnet.fr/actualites/internet/0,39020774,39143347,00.htmAssociated Press : 19/11/2004
CLUSIF > 7413/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Chantage –extorsion -racket
Sources : Affaire Google :Comuniqué du Département de la Justice USAhttp://www.usdoj.gov/usao/can/press/html/2004_03_19_bradley.html
CLUSIF > 7513/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Chantage –extorsion -racket
Sources : Racket -Attaques DDoS:BBC :http://news.bbc.co.uk/1/hi/business/3914363.stmZdnet :http://www.zdnet.fr/actualites/technologie/0,39020809,39177350,00.htm
CLUSIF > 7613/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Panorama 2004
Vol de données : code source et bases de données
Programmes malveillants : spywares, robots et keyloggers
Chantage – extorsion – racket sur InternetAttaques concurrentiellesCyberterrorisme : de quoi parle-t-on ?Menaces sur la mobilité : GSM, VoIP, WiFi…
CLUSIF > 7713/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Attaques concurrentielles
Les attaques concurrentielles représentent une menace qui ne connaît pas de répit
Quelques affaires sélectionnées dans l’actualité de 2004 illustrent différentes formes d’attaques concurrentielles facilitées par les systèmes informatiques et Internet :espionnage industriel, atteinte au droit des marques, diffusion de fausses informations, attaques en Déni de Service ciblées.
CLUSIF > 7813/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Concurrence-espionnage
Air Canada poursuit sa concurrente WestJet Airlines pour espionnage industriel présumé. Faits allégués *:- Accès non autorisé à des données confidentielles stratégiques via le système informatique de vérification de la disponibilité des sièges sur tous les avions de la compagnie.- Accès 243 630 fois en 10 mois- De hauts responsables de WestJest sont visés dans la plainte, ainsi que l’analyste financier de WestJet, ancien employé de Air Canada qui aurait utilisé son ID pour accéder au système.- Demande 220 millions de dollars de dommages et intérêts par Air Canada
* Affaire en cours, à suivre
CLUSIF > 7913/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Concurrence - Espionnage
WestJet contre attaque : elle entend poursuivre Air Canada pour obtention de documents dans les poubelles de la résidence privée de l’un des ex-cadres de WestJet.
Les documents déchiquetés obtenus par des enquêteurs privés envoyés par Air Canada, sont reconstitués et il se trouve qu’ils contiennent des données sur un autre transporteur, Jetsgo.
Jetsgo les récupère et poursuit à son tour WestJet
CLUSIF > 8013/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Concurrence –espionnage
Plainte de la société belge Electrabel pour une affaire d’espionnage présumé
Suite à la prestation d’audit d’une société de service de sécurité informatique, Electrabelsoupçonne que des fichiers auraient été copiés et un logiciel d’espionnage placé dans l’ordinateur du responsable des investisseurs
Un dirigeant de Suez aurait introduit dans les locaux de sa filiale belge Electrabel les techniciens d’une société spécialisée, aux fins de tests de sécurité, par crainte de fuite de fichiers informatiques pouvant servir à une OPA hostile contre Electrabel
Affaire en cours, à suivre
CLUSIF > 8113/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Concurrence- Marques
Droit des Marques – Mots clés – Moteurs de recherche – Publicité :
En Allemagne, Metaspinner Media engage une action contre Google concernant la marque Preispiraten
Metaspinner reproche à Google de vendre ”Preispiraten” comme mot clé à des concurrents dans le cadre de son système de publicité Adwords.
CLUSIF > 8213/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Concurrence - Marques
Actions similaires de la compagnie d’assurances AXA
GEICO poursuit Google et OvertureAmerican Blind & Wallpaper Factory
poursuit AOL, Ask Jeeves, CompuServe Interactive Services EarthLink Inc, Google,Netscape
Google obtient gain de cause contre LWD Internet et récupère le nom de domainefroogle.co.uk
CLUSIF > 8313/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Concurrence –Diffusion de fausses Informations
Affaire Belvédère :Près de 7 ans après les faits, le dirigeant de la société américaine PBC (Phillips BeverageCompany ) est condamné à Paris à 100 000 euros d’amende pour « diffusion de fausses informations en matière boursière pour agir sur le cours des titres » (art. L 465 et s. du code monétaire et financier).
CLUSIF > 8413/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Concurrence Diffusion de fausses informations
En 1998, des informations fausses ou trompeuses sur Belvédère ont été diffusées sur le site internet d’une agence de communication.A la suite de quoi la valeur en Bourse de Belvédère avait chuté.
CLUSIF > 8513/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Concurrence Attaques DDoS
En août 2004, 6 personnes sont arrêtées aux Etats-Unis dans une affaire d’attaques en DDoS commanditées contre des concurrents
Les attaques DDoS menées contre les sociétés Weaknees, et Rapid Satellite et Expert Satellite, rendaient indisponible leur système de commande en ligne. Chaque fois qu’un site changeait d’hébergeur, il se faisait attaquer à nouveau
CLUSIF > 8613/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Concurrence Attaques DDoS
Le dirigeant d’une société concurrente est accuséd’avoir commandité ces attaques.
Selon les documents de l’enquête, il a payé 1000 dollars un intermédiaire, qui possédait une sociétéd’hébergement, pour lui trouver des pirates qui fassent le « travail ».
Les pirates contrôlaient entre 3.000 et 20.000 bots chacun
Le commanditaire présumé a ensuite racheté la société d’hébergement, et engagé l’ancien propriétaire comme administrateur pour un salaire annuel de 120.000 dollars.
Inculpé, il est en fuite.
CLUSIF > 8713/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Concurrence - espionnage
Sources : Air Canada/ WestJet/Jetsgo : Radio CanadaElectrabel :AFP 11 mai 2004Article quotidien belge Le Soirhttp://www.lesoir.be/rubriques/eco/page_5171_217350.shtmlArticle Intelligence Online
CLUSIF > 8813/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Concurrence -
Sources : Marques :Out-law.com
Belvédère : Legalis.netExpertises
Attaques DDoS :http://www.usdoj.gov/usao/cac/pr2004/110.htmlAssociated Press
CLUSIF > 8913/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Panorama 2004
Vol de données : code source et bases de données
Programmes malveillants : spywares, robots et keyloggers
Chantage – extorsion – racket sur InternetAttaques concurrentiellesCyberterrorisme : de quoi parle-t-on ?Menaces sur la mobilité : GSM, VoIP, WiFi…
CLUSIF > 9013/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Du néologisme à l’effet d’annonce
Du néologisme à l’effet d’annonceCyberjihad
« Cyber Jihad and the Globalisation ofWarfare », DefCon, 2004« …Hackers who have proclaimed‘electronic Jihad’ […] main strike will mostprobably be directed against political andfinancial sites of the United States, Israeland West-European countries » RIA Novosti, 24/08/04, citation d’un éditeur antivirus.
Assertion d’une OCT (organisation criminelle transnationale) dans la lutte entre les virus Netsky et Bagle. ZDnet UK, 09/12/2004
CLUSIF > 9113/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Cyberterrorisme, un terme récurrentdepuis près de 10 ans
Discours variés sur 2004«Cyberterrorism confuses people,… use ‘information security’ or ‘cybercrime’, but please don’t use ‘cyberterrorism’ », Richard Clarke (ancien conseiller de la Maison Blanche), ZDnet, 05/11/04« Le cyberterrorisme inquiète les Etats-Unis », Les Echos, 28/11/04Vœux présidentiels 2005, citation du terme
Eviter amalgames et réductionnisme (consultants sécurité, médias)
Altération de page web avec « coloration » politique, hacktivisme, cybercriminalité, hacking…
On a constaté une professionnalisation des attaques (cf. Panorama 2003) et l’implication probable d’OCT
CLUSIF > 9213/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Terrorisme, quelle(s) définition(s) ?Etats-Unis, FBI « The unlawful use of force against persons or property to intimidate or coerce a government, the civilian population or any segment thereof, in the furtherance of political or social objectives »
France, CP Art. 321-1 «Constituent des actes de terrorisme, lorsqu’elles sont intentionnellement en relation avec une entreprise individuelle ou collective ayant pour but de troubler gravement l’ordre public par l’intimidation ou la terreur, les infractions suivantes :… »
Des définitions très variées avec des conséquencesAu sein d’un même Etat, en fonction des servicesLa qualification d’un acte par ce terme permet la disqualification… ou certaines actions de police ou militairesLes terroristes d’un jour peuvent être plus tard renommés les premiers résistants ou libérateurs… ou être requalifiés comme les auteurs d’une action spéciale étrangère
CLUSIF > 9313/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Cyberterrorisme, quelle définition ?
FBI, Congressional Statement, 24/02/2004 : « However, mere terrorist use of information technology is not regarded as cyberterrorism. The true threat of ‘cyberterrorism’ will be realized when all the factors that constitute a terrorist attack, coupled with the use of the Internet, Are met. Cyberterrorism is a criminal act perpetrated by the use of computers and telecommunications capabilities, resulting in violence, destruction and/or disruption of services, where the intended purpose is to create fear by causing confusion and uncertainty within a given population to conform to a particular political, social or ideological agenda. »
CLUSIF > 9413/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Terrorisme, caractérisation
Il existe des terrorismesEn fonction du domaine : politique (séparation, libération), social (ou ethnique), culturel, religieux (fondamentalisme, apocalypse)…En fonction d’un but : influence, revendication, répression, conversion, extermination, nihilisme…
Critères empiriquesSurprise dans la survenanceViolence contre une cible « désarmée », terroriser…Implication personnelle du Public (victime potentielle)Suspense dans une re-survenanceRevendication médiatique (et sous entendu de l’impossibilité pour l’Etat de maintenir l’ordre public)
CLUSIF > 9513/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Internet et TIC, modes d’emploi
1/ Moyen de liaison ( déjà vu)Messagerie Internet et forums Usenet, téléphonie cellulaire, agenda électronique, traitement et stockage de données multimédias
2/ Moyen de propagande (web et forums) ( déjà vu)Information et soutien,Relais médiatique (avec essor d’emploi du multimédias)DiscréditAppel à la haineContre-site, propagande noire
CLUSIF > 9613/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Internet et TIC, modes d’emploi
3/ Moyen de financement ( déjà vu)Appel aux donsExploitation des systèmes d’information (cartes bancaires, chantage-extorsion), blanchiment, etc.)? Phishing? Accès à des données personnelles d’identité
« Police Arrest Hacker Apparently Linked to Sardinian
Anarchist Attacks », Corriere della Sierra, 07/01/2005
CLUSIF > 9713/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Internet et TIC, modes d’emploi4/ Moyen d’action directe
Quelles opportunités ?Dépendance à l’information numériqueEvénements accidentels ayant entraîné des dommages financiers, matériels, corporels
Arrêts de fours de traitement thermique, de turbines électriques lors des tests An 2000Sûreté de fonctionnement d’infrastructure télécoms ou de réservations de billetsIndisponibilité du service d’authentification de transactions bancairesPerte de contrôle de la régulation pour un segment du réseau d’acheminement du gaz en RussieHomicide d’une personne dont un système informatique pilotait les fonctions vitalesDécès dans un service de réanimation suite à une coupure électrique…
CLUSIF > 9813/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Internet et TIC, modes d’emploi
Renseignement d’opération (et présélection de cibles) ( déjà vu)
Informations en ligne (almanachs, photos, plans de site publics et/ou industriels)Cybergéographie (exemples des routeurs nationaux, des infrastructures réseaux et télécoms)
CLUSIF > 9913/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Internet et TIC, modes d’emploi
Action directe proprement dite (destruction, attrition des ressources)
Discours général ambiant focalisé sur la destruction massive et/ou la menace systémique (effondrement de l’Internet, arrêt d’une activité au niveau national)L’action pourrait être plus limitée/ciblée mais répétitive et/ou en prélude à une attaque conjuguée… ou encore une attrition s’étendant dans la durée
CLUSIF > 10013/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Panorama 2004
Vol de données : code source et bases de données
Programmes malveillants : spywares, robots et keyloggers
Chantage – extorsion – racket sur InternetAttaques concurrentiellesCyberterrorisme : de quoi parle-t-on ?Menaces sur la mobilité : GSM, VoIP, WiFi…
CLUSIF > 10113/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Menaces sur la Mobilité multimédia
AgendaQui est menacé ?
Quelques mots sur la victimeUne victime de choixQue risque la victime ?Menaces sur la mobilité : pourquoi ?
De la menace aux attaquesEn fait ça a déjà commencéLes failles du « rassurant » GSMLes hots-spots Wi-FI « la cible à la mode »Voix sur IP: H323, SIP et autres VOMITBluetooth : une porte d’entréeEt enfin, les premiers Virus/Vers
Conclusion: faire face à la menaceFaudra-t-il un Cert Wireless ?L’équilibre entre Défense et attaque
CLUSIF > 10213/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Quelques mots sur la victime
Débit
Bluetooth
GSM
GPRS
UMTS / 3GWI-FI
Couverture
CLUSIF > 10313/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Quelques mots sur une victime de choix
http://www.nwfusion.com/news/2004/0902rncwir.html
By Dan Verton Computerworld, 09/02/04
… at this week's Republican National Convention (RNC) at New York's Madison Square Garden.
While physical security was tightened to unprecedented levels -- transforming the city into somethingunrecognizable to those who call it home -- IT security researchers uncovered an unsettling number of unencryptedwireless devices that they say create a potential information security nightmare for convention organizers anddelegates.
During a two-hour "war drive" around the site of the RNC as well as Manhattan's financial district, securityresearchers from Boston-based Newbury Networks discovered more than 7,000 wireless devices, 1,123 of whichwere located within blocks of the convention, including a network named WirelessForKerry.
More important, 67% of those devices were access points that did not have encryption protection.
The two-hour drive around Manhattan also revealed as many as 2,161 access points and 821 client devicesbroadcasting unique service set identifiers (SSID). "The SSIDs beaconed by clients is really a valuable list for an attacker,« … These security gaps potentially open the entire hard-wired RNC network and other corporatenetworks to data sabotage, virus and worm infections, denial-of-service bots and spam engines, "Apparentlynobody at the RNC seems to know what the wireless policy is,".
"They spend millions of dollars on physical security and they don't have a clue of who's using their airwaves."
Access Point Manager
Access Point
Hacker
La sécurité des mobiles devrait être traitée aussi sérieusement que la sécurité tout court …
CLUSIF > 10413/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Menaces : que risque la victime ?
Menace Localisation Moyens FinalitésInterception Flux
de connexion et de contrôle
• Crypto-analyse (crack, brute force)• Man in the Middle (MiM)• Mascarade / re-jeu• Altération de message
Atteinte du Système d’Information :• DIC contre ses données• à ses ressources internes• à ses ressources de connexion
pour consultation des serveurs de données
Flux de données • Captation• Fausse borne AP (MiM)• Altération de message
• Divulgation• Exploitation frauduleuse
de données financières
Disponibilité Equipements • Déni de service (logique)• Brouillage par susceptibilité
électromagnétique
Indisponibilité :• Divulgation• Exploitation frauduleuse
War-Xing War drivingGéo-localisationWar chalking
• Localisation de proximité Opportunité ultérieure :• d’interception ou• d’indisponibilité
pour cartographie, marquage, …
Attaques Ad-Hoc (P à P)
Flux de :• Connexion• Données
• ARP cache poisoning• Man in the Middle
• Génération de pertes de paquets réseau • Dysfonctionnement de la machine
pour accès au réseau et/ou attaques DoS
CLUSIF > 10513/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Menaces sur la mobilité : pourquoi ?Pourquoi les environnements de mobilité (mobiles et wireless) seraient-ils unedes prochaines cibles des hackers ?
Parce que c’est facile :Les infrastructures Radio & wireless facilitent l’accès non autorisé à l’infrastructureL’objectif de mobilité et de flexibilité rend difficile un contrôle d’identitéfortement sécuriséLes architectures évoluent pour intégrer de plus en plus le protocole IP, environnement familier des hackers
Parce que ça va finir par rapporter :L’évolution vers plus de débit avec la 3G apporte de plus en plus de services multimedias à haute valeur ajoutée, plus intéressants à pirater(€€€), et IP est un environnement familier des hackers : failles, piratageset virus devraient se multiplier
En fait ça a déjà commencé …http://www.nytimes.com/2003/11/28/technology/28cell.html?ei=5035&en=30e59a29c137f7cd&ex=1156395600&partner=MARKETWATCH&pagewanted=print&position=
CLUSIF > 10613/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Menaces sur la Mobilité multimédia
AgendaQui est menacé ?
Quelques mots sur la victimeUne victime de choixQue risque la victime ?Menaces sur la mobilité : pourquoi ?
De la menace aux attaquesEn fait ça a déjà commencéLes failles du « rassurant » GSMLes hots-spots Wi-FI « la cible à la mode »Voix sur IP: H323, SIP et autres VOMITBluetooth : une porte d’entréeEt enfin, les premiers Virus/Vers
Conclusion: faire face à la menaceFaudra-t-il un Cert Wireless ?L’équilibre entre Défense et attaque
CLUSIF > 10713/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
En fait ça a déjà commencé …
Débit
Bluetooth
GSM
GPRS
UMTS / 3GWI-FI
Failles
Virus
Failles
Failles
Couverture
CLUSIF > 10813/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Les failles du « rassurant » GSM
Même le « simple » GSM comporte des failles structurelles, entrainant l’émergence du 3GPP :http://www.3gpp.org/TB/SA/SA3/SA3.htm
Rogue BTS & othe interception attackshttp://www.geocities.com/clubkefia/gsmintercept.htm
Attaques A5/2http://www.issadvisor.com/columns/GSMSecurity/GSMSecurity.htm
Son évolution GPRS, plus connectée au monde IP ne fait pas exception :
GPRS over-billinghttp://www.theregister.co.uk/2003/10/02/official_crackers_have_broken_into/
De plus, les terminaux mobiles haut de gamme peuvent être un simple relais pour une attaque de convergence :
http://informationweek.oraclepeoplesoftinsider.com/showArticle.jhtml?articleId=54800350&printableArticle=true
CLUSIF > 10913/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Les hot-spots Wi-Fi, « la cible à la mode »
Jusqu’à maintenant, les failles des terminaux ont surtout été exploitées pour rebondir et accéder de manière illégitime à un réseau Wi-Fi :
Convergence des menaces : des scénarios d’attaque combinent la faille bluetooth et son exploitation sur des terminaux (« GSM » ou PDA) haut de gamme, pour accéder aux données d’authentification et/ou d’abonnement et les réutiliser
La phase pilote des déploiements de hots-spots Wi-Fiétait considéré comme peu sécurisée :
http://www.reseaux-telecoms.com/alerte_btree/04_06_16_105502_697/CSO/Alerte_view
CLUSIF > 11013/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Voix sur IP: H323, SIP et autres VOMIT
La mobilité par le WiFi peut entraîner un recours à la Voix sur IP La Téléphonie sur IP a tout d’abord inquiété de par la perméabilité qu’elle a introduit entre deux mondes qui se craignaient mutuellement“IP ne doit pas nuire à la sécurité de la Téléphonie, et la Voix sur IP ne doit pas introduire des brèches dans la sécurité du réseau Data“
La VoIP est-elle moins sûre que les autres infrastructures ?Failles structurelles dans la gestion du protocole H323
Contrainte sur la gestion des ports dynamiques par les FirewallPublication d’outils facilitant l’attaque des infrastructures VoIP
VOMIT (Voice Over Misconfigured Internet Telephone)SiVuS : SIP Vulnerability Scanner
Mais l’analyse objective montre que la VoIP relève surtout d’une exigence de sécurité système et réseaux classique :
http://csrc.nist.gov/publications/nistpubs/800-58/SP800-58-final.pdf
CLUSIF > 11113/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Bluetooth, une porte d’entrée
Bluetooth" Bluesnarfing "
Cette vulnérabilité permet à un attaquant distant de voler les données confidentielles contenues sur un téléphone mobile vulnérable (si le téléphone est en mode "visible" "discoverable"). Des codes malicieux exploitant cette vulnérabilité sont disponibles sur Internet depuis février 2004.
" Porte dérobée "Un attaquant distant est capable de mettre en relation de confiance son équipement avec un mobile vulnérable bluetooth (au travers du mécanisme de "pairing"). Cette attaque permet de capturer sur un téléphone mobile vulnérable la totalité des données de la mémoire, mais aussi d'utiliser les ressources du GSM vulnérable tels que les accès Modem, Wap, Internet et GPRS
" Bluebug " La troisième vulnérabilité permet de créer un canal série caché ce qui donne un accès illimité aux commandes AT (commandes modem), d'utiliser ce mobile pour initialiser des appels, envoyer et lire des SMS, se connecter à Internet ainsi que d'être à l'écoute de conversations téléphoniques au voisinage du périphérique vulnérable.
" Bluejacking "Ces 3 vulnérabilités sont renforcées par le fait que les terminaux Bluetooth peuvent être contactés sans autorisation, technique appelée le "Bluejacking" qui permet d'envoyer des messages de façon anonyme.
http://www.cert-ist.com/francais/outils/article36_fr.htm
CLUSIF > 11213/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
POC
CABIR
Blocage
15 Juin 2004 Fin 2004
Le premier sur Symbianpas de chargediffusion Bluetooth
Action : génération d’appels surtaxésTélé-chargeable sur forumcible symbian série 60
Et enfin, les premiers Virus/Vers… ils s’enrichissent au fil du temps…
Toute ressemblance avec le transparent sur les robots est volontaire afin de voir la progression
POC
Dust CE
Le premier sur Win CEpas de chargeTélé-chargeable par services com
15 Juin 2004
Exploit
Skulls
Action : icônes multiples crânes Action : blocage mises à jour Télé-chargeable sur forumcible symbiansérie 60
Outil « spam »?
Génération Appels
Mosquito
Publication Code Source de CabirVariante D de Skulls, qui transporte Cabir : infection par fichier et bluetoothVirus/Ver Lasco.Ainfection par fichier et bluetoothhttp://news.zdnet.com/2100-1009_22-5520003.html?tag=default
…
Du 30 dec 2004 au 11 janvier 2005
Début 2005
CLUSIF > 11313/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Menaces sur la Mobilité multimédia
AgendaQui est menacé ?
Quelques mots sur la victimeUne victime de choixQue risque la victime ?Menaces sur la mobilité : pourquoi ?
De la menace aux attaquesEn fait ça a déjà commencéLes failles du « rassurant » GSMLes hots-spots Wi-FI « la cible à la mode »Voix sur IP: H323, SIP et autres VOMITBluetooth : une porte d’entréeEt enfin, les premiers Virus/Vers
Conclusion: faire face à la menaceFaudra-t-il un Cert Wireless ?L’équilibre entre Défense et attaque
CLUSIF > 11413/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Conclusion: faire face aux menaces (1/2) Faudra-t-il un Cert Wireless ?
La GSM Association a lancé un RFI pour la constitution de « Wireless Emergency Response Service »:
Service permanent de Veille et d’Alertes sur les attaques de Sécurité (Virus, hacking) affectant les usagers de services de mobilité : GSM, GPRS, UMTS …Certains soumissionnaires ont étendu leur réponse au Wi-FIEn France l’idée d’un WERS-France piloté par les opérateurs fait son chemin
Intérêt de la structureAccès privilégié à un centre d’expertiseMutualisation des ressources nécessaires à une forte réactivitéNeutralité des intervenants
face aux contraintes opérationnelles des équipes d’exploitation face à des interlocuteurs tiers (éditeurs, partenaires, autres opérateurs)
Aptitude pour les opérateurs à communiquer sur l’effort entrepris
CLUSIF > 11513/01/[email protected] + 33 1 5325 0880
Cybercriminalité 2004
Conclusion: faire face aux menaces (2/2)L’équilibre entre défense et attaque
Sommes-nous prêts ?Les éditeurs d’antivirus et de firewall ont des solutions déjà prêtes avant même que l’on ait dépassé le stade du Proof ofConceptLes opérateurs ont pris en considération les problématiques de sécurité avant le déploiement à grande échelle, instruits par leur expérience des services IP, ADSL/broadband et des premiers pilotes hot-spotLes services de veille et d’Emergency Response sont prêts à se mettre en place
Une petite prévision sur les prochaines batailles ?Osons un pronostic et parions sur l’ingénierie sociale : l’utilisateur typique est, comme l’a caractérisé un opérateur, un YAF (Young Active and Fun).Ce profil le rend très vulnérable à des actions impulsives d’assistance au hacker, trompé par des données attractives d’actualité (scoop) ou encore plus basiques (images de stars …)