View
10.347
Download
2
Category
Preview:
DESCRIPTION
Panorama de la Cyber-criminalité, présentation du bilan effectué par le CLUSIF
Citation preview
Panorama de la cybercriminalitéannée 2009
Paris, 13 janvier 2010
213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Le CLUSIF : agir pour la sagir pour la séécuritcuritéé de lde l’’informationinformation
Association sans but lucratif (création au début des années 80)
> 600 membres (pour 50% fournisseurs et prestataires de produits et/ou services, pour 50% RSSI, DSI, FSSI, managers…)
Partage de l’informationEchanges homologues-experts, savoir-faire collectif, fonds documentaire
Valoriser son positionnementRetours d’expérience, visibilité créée, Annuaire des Membres Offreurs
Anticiper les tendancesLe « réseau », faire connaître ses attentes auprès des offreurs
Promouvoir la sécurité
Adhérer…
313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
La dynamique des groupes de travail
Documents en libre accès Traductions (allemand, anglais…)
Prises de position publiques ou réponses à consultation
Espaces d’échanges permanents : MEHARI, Menaces, RSSI
413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Une collaboration à l’international,des actions en région
513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Objectifs du panorama:
Apprécier l’émergence de nouveaux risques et les tendances de risques déjà connus
Relativiser ou mettre en perspective des incidents qui ont défrayé la chronique
Englober la criminalité haute technologie, comme des atteintes plus « rustiques »
Nouveauté 2009, élargissement au risque numérique
Evénements accidentels
Faits de société et comportements pouvant induire / aggraver des actions cybercriminelles société
accidentel
613 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Sélection des événements médias
Illustration
d’une émergence,
d’une tendance,
d’un volume d’incidents.
Cas particulier
Impact ou enjeux,
Cas d’école.
Les images sont droits réservés
Les informations utilisées proviennent de sources ouvertes
Les entreprises sont parfois citées par souci de précision et parce que leur nom a été communiqué dans les médias
713 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Contributions au panorama 2009
�Best Practices-SI
�Chartis
�HSC
�McAfee
�RATP
�SNCF
�Telindus
Le choix des sujets et les propos tenus
n'engagent pas les entreprises et organismes ayant participé au groupe de travail
Sélection réalisée par un groupe de travail pluriel : assureur, chercheur, journaliste, officier de gendarmerie et police, offreur de biens et de services, RSSI…
�Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI)
� Ambassade de Roumanie en France - Bureau
de l’Attaché de Sécurité Intérieure
�Direction Centrale de la Police Judiciaire (OCLCTIC)
�Gendarmerie Nationale
�Sûreté du Québec
813 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Panorama 2009 (1/3)
�[évocation] La sécurité du GSM compromise ?M. Alain Thivillon
� Directeur technique – HSCalain.thivillon@hsc.fr
�Services Généraux sur IP, nouvelle expositionM. Alain Thivillon
� Directeur technique – HSCalain.thivillon@hsc.fr
�[évocation] Câbles et ruptures de servicesM. Pascal Lointier
� Conseiller sécurité des systèmes d’information – Chartispascal.lointier@chartisinsurance.com
913 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Panorama 2009 (2/3)
�Cloud computing, virtualisation : haute indisponibilité… parfois !M. Pascal Lointier
� Conseiller sécurité des systèmes d’information – Chartispascal.lointier@chartisinsurance.com
�ANSSI, Retour d’expérience sur un déni de serviceM. Franck Veysset
� Chef du CERTA – ANSSI\COSSIfranck.veysset@ssi.gouv.fr
�Réseaux sociaux : menaces, opportunités et convergencesM. Yann Le Bel
� Conseiller auprès du Secrétaire Général – SNCFyann.lebel@sncf.fr
1013 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Panorama 2009 (3/3)
�Cartes bancaires : vos numéros voyagent…M. Fabien David
� Consultant Sécurité des SI – TELINDUS FranceFabien.David@telindus.fr
�Web 2.0 : le 5ème pouvoir ?Mme Isabelle Ouellet
� Analyste en cybercriminalité - Sûreté du Québecisabelle.ouellet@surete.qc.ca
�Une entreprise criminelle au microscopeM. François Paget
� Chercheur de menaces – McAfee LabsFrancois_Paget@avertlabs.com
1113 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Panorama 2009
�[évocation] La sécurité du GSM compromise ?
�Services Généraux sur IP, nouvelle exposition
�[évocation] Câbles et ruptures de services
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI, retour d’expérience sur un déni de service
�Réseaux sociaux : menaces, opportunités et convergences�Cartes bancaires : vos numéros voyagent…�Web 2.0 : le 5ème pouvoir ?�Une entreprise criminelle au microscope
1213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Trois évènements de ce début 2010
•29/12/2009 : au Chaos Computer Congress (Berlin), annonce d’avancées majeures dans le cassage du chiffrement GSM, par pré-calcul distribué sur des cartes graphiques, code source public
•31/12/2009 : Record battu pour le calcul des décimales de PI (2700 Milliards), par un effort individuel (131 jours de calcul sur un seul PC, 7To de stockage)
•8/01/2010 : Annonce par l’INRIA (et d’autres) de la factorisation d’une clé RSA 768 Bits : 30 mois de calcul par 1500 CPU
La loi de Moore (et l’intelligence des algorithmiciens et cryptologues) à l’œuvre : les puissances de CPU et de stockage permettent des calculs cryptographiques jugés hier réservés à des gouvernements.
1313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Chaos Computer Congress (CCC)
�Congrès de « hackers » en Allemagne (Berlin)26e édition cette année (26C3)
http://events.ccc.de/congress/2009/
Ne concerne pas seulement la sécurité informatique : vie privée, « building things », « Net Activism », …
�Evènement non commercialBeaucoup moins d’auto-censure qu’à BlackHat
Entrée ~ 100 euros
�Déjà connu pour des annonces sur la sécuritéCassage RFID
Cassage Xbox
1413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
La sécurité GSM (2G)
Authentification et confidentialité reposent sur les secrets contenus dans la SIM de l’abonné et dans le réseau opérateur, desquels sont dérivés une clé de chiffrement symétrique utilisée dans un algorithme nommé A5/1 (chiffrement radio).
A5/1 (Kc)
Rand
SresSres
Kc
BTS HLR
Kc
1513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
A5/1
�Algorithme conçu en 1987Pas public, reverse-engineeré en 1997
Attaques théoriques publiées depuis cette date, mais peu d’impact pratique public
En 2008, THC a commencé à publier du code puis a fait disparaitre le projet (pressions ?)
•A5/2 est un autre algorithme dégradé « export »
Cassable en quelques millisecondes
Le réseau choisit le chiffrement
�Manque d’authentification mutuelleLe téléphone ne peut pas authentifier le réseau
1613 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Attaque « active »
�Utilisation d’une fausse BTSProjet « OpenBTS » OpenSource + USRP (Décodeur/Encodeur radio)
Connecté au réseau téléphonique par Asterisk (GSM � SIP)
Permet de tester aussi la solidité du téléphone GSM, dénis de service, …
Passage en A5/2 et craquage immédiat (utilisé par les solutions commerciales)
MCC 208/MNC 01
MCC 208/MNC 01
IMSI
BTS
USRP + OpenBTS + Asterisk
1713 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Attaque « passive »
�Le temps de calcul d’un dictionnaire complet A5/1:100000 ans d’un CPU classique
128 Péta-Octets de stockage
�Karsten Nohl (DE), cryptologueDéjà connu pour le reverse-engineering et le cassage de RFID Mifare
Reprise du travail de THC
�Utilisation de techniques nouvellesAmélioration des algorithmes et portage sur GPU (Cartes graphiques Nvidia
et ATI)
Utilisation de « Rainbow Tables » permettant de restreindre l’espace de stockage tout en gardant un temps de calcul raisonnable
1813 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Attaque « passive » - 2
�Résultats Utilisation de 40 GPU en calcul distribué pendant 3 mois
Rainbow Tables totales de 2 To représentant 99 % de l’espace de clés
�Conséquences Récupération de la clé de chiffrement d’une conversation assez longue et
décryptage en quelques minutes
Possibilité de déchiffrer avec 50 % de probabilité la signalisation (SMS…) même sans conversation
�La partie la plus dure est de « sniffer » le mobileGestion des sauts de fréquence
Utilisation de USRP2 (~2500$)
Encore du travail pour faire un produit« tous terrains »
1913 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réaction GSM Association
A hacker would need a radio receiver system and the
signal processing software necessary to process the
raw radio data. The complex knowledge required to
develop such software is subject to intellectual property
rights, making it difficult to turn into a commercial
product.
…
Moreover, intercepting a mobile call is likely to
constitute a criminal offence in most jurisdictions.
Puisque la sécurité est mauvaise, changeons de cible de sécurité…
2013 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Et après ? …
�Réseaux 3G SIM � USIM
Utilisation d’autres algorithmes (KASUMI)
Authentification mutuelle !
�Réseaux 2G Passage encouragé depuis longtemps à A5/3 (Dérivé des algorithmes 3G)
Contraintes opérateurs fortes (fiabilité, charge des réseaux, compatibilité…)
Ca n’empêche pas l’attaque MITM et la dégradation d’algorithme…
�Kasumi cassé ?Faiblesses connues
Nouveau papier hier ! (signé par SHAMIR/RSA)
Résistance dans 5 ou 10 ans ? …
2113 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Webographie
Conférence CCC (slides + Video)
http://events.ccc.de/congress/2009/Fahrplan/events/3654.en.html
Karsten Nohl
http://reflextor.com/trac/a51
GSM Association
http://www.gsmworld.com/newsroom/press-releases/2009/4490.htm
INRIA/RSA 768
http://www.inria.fr/actualites/espace-presse/cp/pre210.fr.html
2700 Milliards de décimales de PI, Fabrice Bellardhttp://bellard.org/pi/pi2700e9/
Attaque « Sandwich » sur Kasumi
http://eprint.iacr.org/2010/013
2213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Panorama 2009
�[évocation] La sécurité du GSM compromise ?
�Services Généraux sur IP, nouvelle exposition
�[évocation] câbles et ruptures de services
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI, retour d’expérience sur un déni de service
�Réseaux sociaux : menaces, opportunités et convergences�Cartes bancaires : vos numéros voyagent…�Web 2.0 : le 5ème pouvoir ?�Une entreprise criminelle au microscope
2313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Migration IP
�Après la téléphonie , le reste des infrastructures générales migre sur les réseaux IP :
Migration complète (y compris le transport ou les équipements terminaux) ou partielle (supervision, commande, reporting…)
Surveillance et accès (portes, badgeuses, caméras, détecteurs présence, détecteurs incendie, humidité…)
Climatisation, chauffage, éléments de confort (volets)
Energie (onduleurs, électrogènes…)
Systèmes SCADA (pilotage, processus industriel…)
2413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Nouvelles offres/technologies
�Surveillance du domicile depuis Internet
Détection de fumée Orange : http://mamaison.orange.fr/
SFR HomeScope : http://www.sfr.fr/vos-services/equipements/innovations/sfr-homescope/
•Tous nouveaux services M2M : « Internet des objets »
•ZIGBEE
•IPv6, s’il arrive un jour...
permettra d’adresser plus facilement les objets du bâtiment/domicile
Auto-configuration, intelligence du réseau, mobilité…
2513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Quels risques ?
•Changement radical de l’exposition :
Technologie plus facile à acquérir par les attaquants
Changements d’échelle des accès aux éléments sensibles
• Exemple une centrale d’alarme connectée en IP accessible depuis une filiale étrangère
Complexité et intégration des systèmes
�Le risque informatique peut devenir un risque physique
Intrusion par le système d’accès
Déni de service sur les alarmes, l’incendie…
Vie privée, Chantage…
2613 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Vulnérabilités liées à IP
�Equipements très souvent légers (mémoire, CPU…), système d’exploitation moins évolués (RT) et peu éprouvés
�Risque élevé de déni service sur la couche IP (par flood, déni de service…)
•Protocoles de communication « portés » et peu résistants
Déni de service, boucles, redémarrage…
Spoofing, interceptions, rejeu…
�Exemples :
DefCon 17 : Déni de service sur la vraie caméra, puis Injection de flux vidéo (« Ocean’s Eleven Attack »)
HSC 2009 : plantage capteur à distance à travers la Box, puis génération de fausses alarmes…
2713 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Vulnérabilités physiques/infra
�Comment résister à :
Coupure ou perturbations du réseau Ethernet
Brouillage Wifi
Coupure du Power On Ethernet ou alimentation
Perte de l’infrastructure IP (DHCP, DNS, Routage…)
Attaques par épuisement de ressources (batteries…)
•Rebonds IP
Exemple équipement connecté au GPRS pour la supervision externe _et_ au réseau de l’entreprise
2813 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Vulnérabilité des serveurs
� Très souvent, les serveurs sont livrés par un intégrateur et échappent aux équipes IT : « Vous touchez à rien sinon ça ne marche plus ! »
� La sécurité est « abandonnée » :
Suivi des correctifs Windows (risque sur les vers…)
Mots de passe (système, bases de données)
Vulnérabilité des interfaces d’administration
Backups !
• Accès distants intégrateur…
� Exemples récents HSC :
Gestion des Pointeuses avec SQL Server sans mot de passe
Serveur de gestion des écoutes d’un centre d’appel
2913 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Caméras sur Internet…
3013 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
RTU sur Internet…
3113 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Que faire ?
�Reprendre la main…
Se faire expliquer et comprendre les technologies utilisées, les flux de données, les interfaces…
Préférer ce qui est normé et ouvert
Envisager une segmentation réseau
Audits, Tests intrusifs
�Amener la PSSI à ces équipements
Mots de passe, Correctifs, Domaine, bonnes pratiques…
Intégration, Supervision, Masters, Sauvegardes, PCA
Contrats
Règles d’accès par des Tiers
3213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Webographie
Shodan (Computer Search Engine)
http://shodan.surtri.com/
Hacking Hospital
http://pcworld.about.com/od/securit1/Security-Guard-Charged-With-Ha.htm
Defcon 17 - Video Hacking
http://www.theregister.co.uk/2009/08/01/video_feed_hacking/ , http://hackerpoetry.com/images/defcon-17/dc-17-presentations/defcon-17-ostrom-sambamoorthy-video_application_attacks.pdf
RISKS Digest
http://catless.ncl.ac.uk/Risks
3313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Panorama 2009
�[évocation] La sécurité du GSM compromise ?
�Services Généraux sur IP, nouvelle exposition
�[évocation] câbles et ruptures de services
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI, retour d’expérience sur un déni de service
�Réseaux sociaux : menaces, opportunités et convergences�Cartes bancaires : vos numéros voyagent…�Web 2.0 : le 5ème pouvoir ?�Une entreprise criminelle au microscope
3413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
[évocation] câbles et ruptures de services
Année 2008, théorie du complot, entre autres, pour expliquer les « nombreuses » ruptures de câbles sous-marins voix-données
Août, Malaisie : rupture du câblesous-marin APCN2 (Asia-Pacific CableNetwork 2).Le typhon Morakot est présumé coupable.
Septembre, câble Colt GB-continent…
Janvier, Phoenix (USA) : sectionnement accidentelaccidentel des câbles en fibre optique à proximité d’un centre informatique d’une compagnie aérienne. Perturbation du système de gestion et retards pour une centaine de vols
accidentel
3513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
[évocation] câbles et ruptures de services
Avril, Californie (USA) : sectionnement malveillant des fibres, optiques sur deux sites de la Silicon Valley. Forte dégradation des appels aux services d’urgence, téléphonie commutée, distributeurs de billets et connexions Internet. Des dizaines demilliers d’utilisateurs impactés et, entre autres Sprint, Verizon et AT&T qui offre une récompense de 100 000 Dollars… AT&T informe via http://twitter.com/attnews/ ☺
Octobre, IdF : perturbation du trafic ferroviaire suite au vol de 200 m de câble électrique.
Janvier 2010, Bouches du Rhône : vol de câbles et « paralysie quasi-totale » du système de signalisation.
3613 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
[évocation] câbles et ruptures de services
Novembre, Californie : coupure malveillante des câbles des caméras de surveillance.
Décembre, (Etat de N-Y) : coupure de fibre optique affectant toute la région et notamment les services de billetteries et le traitement des transactions bancaires
Avril, Massachussetts : le FBI utilise un spyware (CIPAV, Computer and Internet
Protocol Address Verifier) pour confondre une tentative de rançons contre Verizon et Comcast après coupures de 18 câbles (2005)
Une solution à privilégier : la double adduction physique…
3713 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Webographie
Ruptures de câbleshttp://news.smh.com.au/breaking-news-technology/computer-problem-delays-us-airways-flights-20090130-7tdo.html
http://www.eweek.com/c/a/VOIP-and-Telephony/ATT-Offers-100000-Reward-for-Conviction-of-Bay-Area-Telecom-Vandals-437552/
http://www.datacenterknowledge.com/archives/2009/04/09/cable-cut-cited-in-silicon-valley-outage/
http://www.pcmag.com/article2/0,2817,2344762,00.asp
http://www.theinquirer.fr/2009/01/30/cable-sectionne-les-vols-us-airways-cloues-au-sol.html
http://www.varmatin.com/ra/derniere-minute/233072/vols-de-cables-jusqu-a-1h30-de-retard-sur-le-reseau-tgv?utm_source=rss&utm_medium=feed&xtor=RSS-220&
http://www.umpguingamp.over-blog.org/article-les-vols-de-metaux-en-augmentation-un-fleau-pour-les-transports-39597879.html
http://www.coltethernet.com/global_network_map.php
http://www.indybay.org/newsitems/2009/11/30/18630970.php
http://www.networkworld.com/news/2009/042009-fbi-used-spyware-to-catch.html
3813 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Panorama 2009
�[évocation] La sécurité du GSM compromise ?
�Services Généraux sur IP, nouvelle exposition
�[évocation] câbles et ruptures de services
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI, retour d’expérience sur un déni de service
�Réseaux sociaux : menaces, opportunités et convergences�Allez en Europe de l'Est, votre carte bancaire y est (peut-être) déjà�Web 2.0 : le 5ème pouvoir ?�Une entreprise criminelle au microscope
3913 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Cloud computing, virtualisation :haute indisponibilité… parfois !
Buzz et tendances
Virtualisation
�la virtualisation comme un ensemble de techniques matérielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systèmes d'exploitation et/ou plusieurs applications, séparément les uns des autres, comme s'ils fonctionnaient sur des machines physiques distinctes (Wikipedia)
Cloud computing L'« informatique dans les nuages » permet aux entreprises de réduire leurs coûts
en délocalisant leurs contenus et en utilisant des applications à distance. Mais « c'est un cauchemar pour la sécurité et elle ne peut pas être traitée par les méthodes traditionnelles », a estimé John Chambers, PDG de Cisco (01net, 27/04/2009)
accidentel
4013 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Cloud computing, virtualisation :haute indisponibilité… parfois !
Haute disponibilitéLa haute disponibilité est un terme souvent utilisé en informatique, à propos
d'architecture de système ou d'un service pour désigner le fait que cette architecture ou ce service a un taux de disponibilité convenable (wikipedia)
� Pour mesurer la disponibilité, on utilise souvent un pourcentage essentiellement composé de '9' :
99% désigne le fait que le service est indisponible moins de 3,65 jours par an 99,9%, moins de 8,75 heures par an 99,99%, moins de 52 minutes par an 99,999%, moins de 5,2 minutes par an 99,9999%, moins de 54,8 secondes par an 99,99999%, moins de 3,1 secondes par an Etc.
Et pourtant…
accidentel
4113 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Cloud computing, virtualisation :haute indisponibilité… parfois !
Quelque part dans le monde (cloud ☺ ) pendant l’année 2009 mais pour des entreprises prestigieuses : Air New Zealand, Amazon (dont EC2), Barclay’s, eBay (Paypal), Google (Gmail entre autres), Microsoft, Over-blog, Rackspace, RIM, Twitter…
�Panne électrique (UPS) et crash disques au redémarrage
�Feu électrique, destruction du générateur de secours et de l’UPS, commutateurs électriques, etc.
�Mise à jour corrective qui bogue
�Mauvaise configuration du routage entre 2 Data Center
�Attaque en DDoS ciblant des ressources DNS dans un Data Center spécifique
accidentel
4213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Cloud computing, virtualisation :haute indisponibilité… parfois !
L’année 2009 n’est peut-être pas spécifiquement exceptionnelle mais les incidents sont de plus en plus visibles : alerte via blogs, réseaux sociaux, Twitter…
Des effets secondaires
�Temps de redémarrage des serveurs
�Crash des disques
�Destruction par incendie, le reste par inondation pour extinction…
�Pénalités (Rackspace contraint de payer entre 2,5 et 3,5 millions de dollars à ses Clients)
�Saisie des serveurs (FBI chez Core IP Networks, Texas)
�Perte de contrats (prestataire mais aussi pour l’entreprise commerciale vis-à-vis de ses propres clients)
�Twitter « interdit » de mise à jour par une Administration le dimanche de juin d’une élection…
�…
accidentel
4313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Cloud computing, virtualisation :haute indisponibilité… parfois !
accidentel
4413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Cloud computing, virtualisation :haute indisponibilité… parfois !
Problématiques multiples
�Valider la politique de SSI du prestataire
�Maîtrise la confidentialité des informations (au regard du droit et de la contre-Intelligence Economique)
�Identifier la chaîne de responsabilité (légale) lors d’un dysfonctionnement
accidentel
4513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Cloud computing, virtualisation :haute indisponibilité… parfois !
Points de vigilance
�Clauses du contrat d’infogérance, à lire par le Département juridique, l’informatique (et la SSI) mais également par les Responsables métiers pour valider les délais de reprise sur incident
�Contrôler les procédures de sécurité effectives
�Identifier les sous-traitances et relocalisations possibles et parfois non signifiées au client
�Apprécier la capacité de reprise sur incident avec des systèmes mutualisés
accidentel
4613 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Cloud computing, virtualisation :haute indisponibilité… parfois !
�La redondance physique des ressources (serveurs, électricité, réseaux) exposée à des défaillances logicielles.
Le MTBF (Mean Time Between Failure) concerne des pannes physiques pas le déploiement simultané sur toutes les ressources redondantes mais à l’identique
d’une mauvaise configuration (cf. incident HLR),
d’un correctif bloquant (cf. … vous avez le choix ☺),
d’une intrusion externe par la télémaintenance (cf. DHS pour CNN, conférence SCADA du CLUSIF)
accidentel
4713 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
WebographieCentres informatiques et Cloud computinghttp://www.datacenterknowledge.com/archives/2009/11/04/inside-a-cloud-computing-data-center/
http://www.datacenterknowledge.com/archives/2009/12/16/major-data-center-outages-of-2009/
http://www.datacenterknowledge.com/archives/2009/07/06/the-day-after-a-brutal-week-for-uptime/
http://cloudsecurity.org/
http://www.datacenterknowledge.com/archives/2009/12/23/dns-issues-cause-downtime-for-major-sites/
http://www.informationweek.com/story/showArticle.jhtml?articleID=222001992
http://www.networkworld.com/news/2009/101209-sidekick-cloud-computing-outages-short-history.html
http://www.infoworld.com/print/105435
http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853
http://www.networkworld.com/news/2009/040609-cloud-computing-security.html
http://www.theregister.co.uk/2009/10/05/amazon_bitbucket_outage/
http://www.computerworld.com/s/article/9130283/Backup_provider_Carbonite_loses_data_sues_vendor
http://www.tdg.ch/feu-avenue-provence-fermez-fenetres-2009-09-25http://www.tsr.ch/tsr/index.html?siteSect=200001&sid=11279188http://www.theregister.co.uk/2009/06/17/barclays_gloucester_outage/
http://www.theinquirer.fr/2009/07/02/panne-electrique-sur-un-centre-de-donnees.html
http://www.networkworld.com/news/2009/071009-rackspace-ceo-speaks.html
http://www.theregister.co.uk/2009/08/04/paypal_offline_again/
http://www.theregister.co.uk/2009/06/24/paypal_uk_down/
http://www.theregister.co.uk/2009/08/05/cisco_2hour_outage/
http://www.theregister.co.uk/2009/10/19/swissdisk_failure/
http://www.silicon.fr/articles/printView/fr/silicon/news/2009/12/10/des_hackers_s_introduisent_dans_ec2__l_offre_de_cloud_d_amazon
4813 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Panorama 2009
�[évocation] La sécurité du GSM compromise ?
�Services Généraux sur IP, nouvelle exposition
�[évocation] câbles et ruptures de services
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI, retour d’expérience sur un déni de service
�Réseaux sociaux : menaces, opportunités et convergences�Cartes bancaires : vos numéros voyagent…�Web 2.0 : le 5ème pouvoir ?�Une entreprise criminelle au microscope
4913 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
LL’’Agence Nationale de la SAgence Nationale de la Séécuritcuritéé des des SystSystèèmes dmes d’’InformationInformation
Retour dRetour d’’expexpéérience sur un Drience sur un Dééni de serviceni de service
Franck Franck VeyssetVeyssetANSSI/COSSI/CERTAANSSI/COSSI/CERTA
5013 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Nouvelle stratégie française en matière de défense et de sécurité nationale
Livre blanc sur la défense et la sécurité nationale
***
Volet Cyberdéfense
5113 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
La stratégie de défense et de sécurité nationaleMenaces
Attentats terroristes
Attaques informatiques
Menace balistique
Pandémie
Catastrophes naturelles
Criminalité organisée
Dom-Com
5213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Objectifs prioritaires
une cyber défense active
- Une capacité de détection précoce des attaques
systèmes et produits sécurisés
- Promouvoir le développement et l’utilisation des produits de sécurité
Infrastructures vitales
Résilience et internet
5313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
L’agence nationale de la sécurité des systèmes d’information
7/7/2009
Décret n°2009-384
5413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Agence nationale
de la SSI
Systèmes d’informationsécurisés (SIS)
Centre opérationnel(COSSI)
Centre de formation(CFSSI)
Communication
Stratégie et Réglementation(SR)
L’ANSSI
Assistance, conseil etexpertise (ACE)
• Relations internationales• Réglementation• Relations industrielles• Centre de certification• Stratégie
• ISIS, RIMBAUD•Autres projets
• Assistance & conseil• Architecture mat. & log.• Réseaux, proto. et preuves• Crypto & composants• Sans fil
• Veille• CERTA• Coordination• Plans & exercices• Détection• Inspections• Crypto appliquée
5513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Centre Opérationnel
de la SSI
Bureau inspections en SSICERTA
Centre de détection
(Equipe projet)
Coordination
Bureau plans et exercices
Centre de veille
(7/7 24/24)
Bureau cryptologie appliquée
Ministères Opérateurs
Le COSSI
5613 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Le CERTA
5713 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
L’assistance opérationnelle : Le CERTA
Rôle préventif
VeilleFourniture de documents
A priori
Rôle curatif
Analyse et intervention
A posteriori
Aide à la décision pour le RSSI
La réponse technique àl’incident
5813 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
2009 et Botnet
2009, année dans la « continuité »
Nombreux codes malveillants
Conficker
Zeus
Torpig
…
Spam, vol de données (keylogger, bancaire…), ddos
5913 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Un cas concret…
Fin mars, une administration française a subit une attaque massive de type DDoS
Les services de Web, de messagerie, l’accès Internet ont étéfortement impactés
CERTA, Le CERT gouvernemental Français, est intervenu sur ce dossier
La Police française a aussi été impliquée, ce dossier ayant été“judiciarisé”
6013 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
CERTA & Police : actions
Le CERTA a été contacté tôt sur ce dossier
Gestion de crise
Signalement auprès de la Police
Le trafic d’attaque provient du monde entier
Au moins 7000 bots impliqués
Identification de systèmes infectés sur le territoire français
6113 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
En résumé
T0: Démarrage du déni de service distribué (DDoS)
T0+6h: L’opérateur internet met en place un filtrage IP
Pas efficace, le DDoS paralyse toujours le site
T+12h: Black holing du trafic Web
Efficace, mais le DDoS atteint alors son objectif !
La messagerie et les autres services sont restaurés
T0+20h: Black holing sur les flux internationaux
L’accès « France » redevient opérationnel
T0+24h: fin du DDoS
6213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
DDoS (4/4)
Hacker
Master system
zombies
Victim
6313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Outil de DDoS
La Police a identifié des PC français impliqués dans le DDoS
Dans les jours suivant, quelques PC ont été saisis en « flagrant délit »
Le CERTA a été missionné pour réaliser l’analyse « forensic »
PC fortement multi-infectés
“VIRUT”, un malware multifonction a été détecté sur plusieurs systèmes
6413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Virut
Comportement de type Virus (win 32)
Infection massive des fichiers .exe sur le système
Lancement au démarrage
Client IRC basique
Activité DDoS
Téléchargement d’un outil de DDOS dédié
Adresse IP du serveur cible codée « en dur »
6513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Fonctionnement d’un Botnet (IRC) BotMasterBotMaster
IRC C&CIRC C&C
BotnetBotnet
VulnerableVulnerableUserUser
ExploitExploit
BotBot downloaddownload
ConnexionConnexion
CommandCommand
6613 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
6713 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Retour
Ce dossier est encore en cours d’analyse
Points positifs
Dossier « flagrant délit »
Le CERTA est intervenu (contacté) très rapidement
Points difficiles
Virut est très bruyant, analyse complexe…
Les attaques de type DDoS sont toujours complexes
6813 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Webographie
L’ANSSI - http://www.ssi.gouv.fr
Le CERTA – http://www.certa.ssi.gouv.fr
Portail sécurité grand public – http://www.securite-informatique.gouv.fr/
Botnet & Ddos
Taking over the Torpig botnet –http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html
The Zeus toolkit –http://rsa.com/blog/blog_entry.aspx?id=1274
6913 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Panorama 2009
�[évocation] La sécurité du GSM compromise ?
�Services Généraux sur IP, nouvelle exposition
�[évocation] câbles et ruptures de services
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI, retour d’expérience sur un déni de service
�Réseaux sociaux : menaces, opportunités et convergences�Cartes bancaires : vos numéros voyagent…�Web 2.0 : le 5ème pouvoir ?�Une entreprise criminelle au microscope
7013 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociauxMenaces, opportunités et convergences…
Le choix des sujets et les propos tenus
n'engagent pas les entreprises et organismes ayant participé au groupe de travail
société
7113 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
One to Many
Autorité des marques et des organisations
Consommateurs ‘‘soumis’’
WEB 1.0Many to Many
Empower consumer
‘‘Citoyen’’ acteur(notion de contre-pouvoir et du
marketing collaboratif)
WEB 2.0Tendance
vers une plus grande
interactivité(disparition progressive
des difficultés techniques)
WEB 3.0
EVOLUTIONForums / Blogs / Wiki / …
Réseaux sociauxMenaces, opportunités et convergences…
société
7213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociauxMenaces, opportunités et convergences…
société
7313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociauxMenaces, opportunités et convergences…
Le panorama de la cybercriminalité en 2008 avait mis en exergue les points suivants :
� L’atteinte à la « sphère » privée et professionnelle de chaque personne
� L’accroissement du risque pour les entreprises d’être victimes de vols d’informations, de campagnes de désinformation et de déstabilisation
� Le succès des réseaux sociaux attirent les pirates et les opportunistes
société
7413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociauxMenaces, opportunités et convergences…
Les réseaux sociaux attirent encore et toujours les pirates
� Février 2009 : Tweet Tornado et pourriels sur Twitter
� Mai 2009 : Campagne d’hameçonnage sur Facebook
société
7513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociauxMenaces, opportunités et convergences…
� Mai 2009 : Le futur chef des espions anglais en caleçon sur Facebook
Les réseaux sociaux et protection de la vie privée un concept dépassé ?
société
7613 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociauxMenaces, opportunités et convergences…
� Août 2009 : 45% des recruteurs consultent des réseaux sociaux
Selon une étude publiée par le site américain de recherche d'emploi Careerbuilder.com, neuf employeurs sur vingt, soit 45 % des sondés, consultent les réseaux sociaux avant d'envisager le recrutement d'un candidat.
29 % d'entres eux se ruent sur Facebook, 26 % sur LinkedIn, 21% sur Myspace, 11 % sur les blogs et 7 % sur Twitter.
Ils sont 35 % à avoir renoncé à embaucher après avoir visité les pages Facebook, Twitter ou encore Myspace des candidats potentiels.
Les réseaux sociaux et protection de la vie privée un concept dépassé ?
société
7713 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociauxMenaces, opportunités et convergences…
� Décembre 2009 : Épinglés sur Twitter pour alcool au volant
Aux États-unis, les autorités du comté de Montgomery (Texas) ont décidé d'utiliser Twitter. Pendant les fêtes de fin d'année, les automobilistes arrêtés en état d'ébriété voient leur identité publiée sur le compte Twitter de Brett Ligon, procureur de la région.
Naturellement, la médiatisation de leur nom ne les exempte pas de poursuites judiciaires habituelles.
Les réseaux sociaux et protection de la vie privée un concept dépassé ?
société
7813 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociaux Menaces, opportunités et convergences…
� 2009 : Prise de conscience et maturité des internautes
A Practical Security Handbook for Activists and Campaigns
“8. Computer Security & Internet Privacy :
We will not go into much detail on computers here other than to cover the basics. There are a number of sites on the internet which go into computer security and protecting your privacy online in more dept. However, as a bare minimum you should be doing the following…“
Les réseaux sociaux et protection de la vie privée un concept dépassé ?
société
7913 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociaux Menaces, opportunités et convergences…
� 2009 : Prise de conscience et maturité des internautes
Les réseaux sociaux et protection de la vie privée un concept dépassé ?
société
8013 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociaux Menaces, opportunités et convergences…
� Janvier 2010 : Facebook et Twitter mettent fin aux suicides virtuels de la Web 2.0 Machine
Les réseaux sociaux bloquent l’accès au site Web 2.0 Suicide Machine qui permettait à
ses utilisateurs de supprimer profils et données personnelles de ses pages.
Les réseaux sociaux et protection de la vie privée un concept dépassé ?
société
8113 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociaux Menaces, opportunités et convergences…
� Janvier 2010 : Pour le fondateur de Facebook, la protection de la vie privée est périmée
Après le PDG de Google, Eric Schmidt, c'est au tour de celui de Facebook, Mark Zuckerberg, de s'en prendre à la protection de la vie privée. Si pour Eric Schmidt, le souci de préserver sa vie privée n'était une réalité que pour les criminels, selon Mark Zuckerberg ce n'est tout simplement plus la norme au sein des internautes.
« Les gens sont à l'aise, non seulement avec le fait de partager plus d'informations différentes, mais ils sont également plus ouverts, et à plus de personnes. La norme sociale a évolué ces dernières années » a ainsi déclaré Mark Zuckerberg.
Les réseaux sociaux et protection de la vie privée un concept dépassé ?
société
8213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociaux Menaces, opportunités et convergences…
Les réseaux sociaux comme support de l’activisme…
� Janvier 2009 : 150 jeunes se donnent rendez-vous sur Facebook et déferlent sur le Monoprix de la ville
« La préfecture de l'Aveyron n'avait jamais vu ça...
Il était 16h 30, hier, quand en plein centre-ville de Rodez, une vague déferlante de 150 ados a envahi le Monoprix, boulevard Gambetta. A l'intérieur du magasin des vols sont commis.
Puis les jeunes se retrouvent dans les rues de la ville, pénètrent dans d'autres magasins, et en passant, dégradent du mobilier urbain. »
société
8313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociaux Menaces, opportunités et convergences…
Les réseaux sociaux comme support de l’activisme…
société
8413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociaux Menaces, opportunités et convergences…
Les réseaux sociaux comme support de l’activisme…
� Mai 2009 : Domino Pizza nous délivre ses secrets sur Dailymotion
Chacun ayant le pouvoir potentiel de créer un buzz planétaire, certains se sentent pousser des ailes : dernière attaque 2.0 en date contre une entreprise, une vidéo postée sur Dailymotion par deux cuisiniers de la chaîne de restauration Domino's Pizza dans laquelle ils se filment en train de concocter un sandwich répugnant. Une expérience culinaire qui a fait le tour du web, compromettant sérieusement les restaurants de la chaîne.
société
8513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociaux Menaces, opportunités et convergences…
Conclusion…
� 2010, année de la convergence des « mass media » ?
société
8613 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Réseaux sociaux Menaces, opportunités et convergences…
Conclusion…
� 2010: Année de la convergence des « mass media »?
Les réseaux sociaux vont devenir un « mass media » à part entière avec une convergence vers la télévision.
Microsoft offre l’accès à Facebook, Twitter et aussi LastFMvia la console Xbox 360.
De nouveaux téléviseurs permettant d’accéder directement, via le menu à Facebook, Youtube ou MySpacesans passer par un ordinateur.
Les medias participatifs sur Internet, et les réseaux sociaux en particulier sont bien à considérer comme un 5ème pouvoir.
Les menaces et les risques présentés en 2008 restent d’actualité.
société
8713 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
8813 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
http://www.digiactive.org/wp-content/uploads/digiactive_facebook_activism.pdf
http://www.lejdd.fr/International/Europe/Actualite/Le-chef-du-MI6-trahi-par-Facebook-16281/
http://www.lepost.fr/article/2009/01/15/1388104_des-ados-deferlent-sur-un-monoprix-ca-s-est-fait-via-facebook.html
http://fr.news.yahoo.com/12/20091230/ttc-epingles-sur-twitter-pour-alcool-au-549fc7d.html
http://www.lefigaro.fr/web/2010/01/05/01022-20100105ARTFIG00551-facebook-interdit-le-suicide-virtuel-.php
http://www.zdnet.fr/actualites/internet/0,39020774,39712119,00.htm
Webographie
8913 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Panorama 2009
�[évocation] La sécurité du GSM compromise ?
�Services Généraux sur IP, nouvelle exposition
�[évocation] câbles et ruptures de services
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI, retour d’expérience sur un déni de service
�Réseaux sociaux : menaces, opportunités et convergences�Cartes bancaires : vos numéros voyagent…�Web 2.0 : le 5ème pouvoir ?�Une entreprise criminelle au microscope
9013 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Sommaire
1. Vols massifs de numéros de Carte Bancaire (CB)
2. Nouvelles menaces liées aux DAB (Distributeurs Automatiques de Billets)
9113 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
1- Vols massifs de numéros de Carte Bancaire (CB)
9213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Vols massifs de numéros de Carte Bancaire:Fraude RBS Wordpay
RBS Wordpay : Filiale américaine de la « Royal Bank of Scotland »
9 millions de dollars de retraits frauduleux (fin 2008) :
�Avec des cartes clonées
�Dans un délai très court
�Dans 2100 distributeurs de billets
�Dans 280 villes, 8 pays (E-U, Russie, Ukraine, Estonie, Italie, Hong-Kong, Japon, Canada)
Un réseau de mules très organisé
9313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Vols massifs de numéros de Carte Bancaire:Fraude RBS Wordpay
L’enquête a identifié :
�4 hommes de 25 à 28 ans, originaires d’Estonie, Russie et Moldavie (mi-2009)
�Quelques mules (rémunérées de 30 % à 50 % des sommes retirées)
�Une intrusion sur le réseau, avec le vol de 1,5 millions de numéros de cartes bancaires avec leur code PIN (entre autres)
�Une méthode de contournement pour déchiffrer les codes PIN, pourtant stockés chiffrés
�Ces informations ont suffit pour créer des clones de carte à piste magnétique
�Le changement des plafonds de retrait de ces cartes
�Une supervision de l’opération depuis le réseau corrompu, puis l’effacement de leurs traces
9413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Vols massifs de numéros de Carte Bancaire:Fraude en Espagne
Vol de centaines de milliers de CB en Espagne en octobre 2009 :
Nombreux retraits et paiements frauduleux
Pays touchés : Allemagne (principalement) mais aussi la Suède, la Finlande et l’Autriche
En Novembre : VISA a alerté ses clients d’un vol important de numéros de CB en Espagne dans une compagnie espagnole
Recommandations de réémettre les cartes sans puce EMV
Très peu évoqué dans la presse française
Peu d’information disponible, investigation en cours
Serait dû à un vol de données informatiques auprès d’un prestataire de service ou d’un opérateur de télécommunication
9513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Vols massifs de numéros de Carte Bancaire:Fraude Heartland aux US
Intrusion dans les systèmes informatiques de l’opérateur « Heartland PaymentSystems » et la chaîne de supermarché « Hannaford Brothers »
Les données bancaires étaient revendues sur Internet (de $10 à $100 par CB)
Installation d’un malware très performant et discret, permettant d’intercepter les transactions sur CB en temps réel avant leur encodage
D’octobre 2006 à mai 2008, les hackers ont pu siphonner les numéros de 130 millions de cartes, leurs dates d’expiration et parfois l’identité des porteurs de carte
Les données volées étaient transférées sur des serveurs à l'étranger
Effacement des traces du passage
9613 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Vols massifs de numéros de Carte Bancaire:Fraude Heartland aux US
L’enquête a identifié les auteurs mi-2008, dont un certain « Albert Gonzales » :
�Il est arrêté une 1ère fois à New York en 2003 pour piratage
�Il échappe à la prison en devenant informateur
�Il permet au FBI d'identifier 28 hackers (mais peu d’arrestations)
�En mai 2008, il est identifié et mis en détention préventive à Brooklyn pour son implication dans l’affaire TJX (fraude record en 2006 de 40 millions de CB piratés)
�Mi-2009, la police découvre son implication dans ce vol de 130 millions de CB entre octobre 2006 et avril 2008
�Deuxième série d'inculpations : il risque 35 ans de prison
9713 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
2- Nouvelles menaces liées aux DAB
9813 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Nouvelles menaces liées aux DAB : Rapport de l’ENISA :
ENISA = Agence européenne chargée de la sécuritédes réseaux et de l'information
Publication d’un rapport sur l’augmentation inquiétante des délits liés aux guichets automatiques bancaires :
�Perte collective de 485 millions d'euros en 2008 en Europe(12 278 attaques déclarées)
�75 % des fraudes hors des pays où la carte a été délivrée, car 90 % des banques en Europe utilisent des puces EMV
�Les fraudes sont réalisées dans les pays où les distributeurs utilisent encore la piste magnétique
9913 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Nouvelles menaces liées aux DAB : Rapport de l’ENISA :
L'attaque la plus commune s'appelle « skimming » :
�Ajout d’un dispositif sur le DAB pour enregistrer la bande magnétique ou bloquer la carte bancaire
�Souvent couplée à un dispositif discret permettant la capture du code confidentiel (faux claviers, caméras pointant sur le clavier..)
Cependant, le rapport ENISA rappelle que les distributeurs utilisent souvent des systèmes d'exploitation du commerce, du matériel standard et s’appuient de plus en plus sur des réseaux TCP/IP
=> Conséquence, ils peuvent être infectés par des malwares et des virus
Comme tout système informatique, les correctifs de sécurité doivent être testés, puis déployés
10013 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Nouvelles menaces liées aux DAB : Compromission de DAB en Europe de l’Est
En mars 2009, Sophos identifie le 1er Malware spécifique pour les distributeurs de billets
En mai 2009, les experts sécurité de Trustwave confirment la découverte
Ce Malware était spécifique pour une marque et des modèles précis de DAB
Des inspections ont eu lieu pour repérer les DAB infectés : L’Europe de l’Est (Russie, Ukraine) principalement touchée
Un correctif a été créé par l’industrie
10113 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Nouvelles menaces liées aux DAB : Compromission de DAB en Europe de l’Est
Caractéristiques du malware
Une fois activé, il injecte un code dans les processus en mémoire, pour récupérer les informations des transactions passées
Il récupère les données nécessaires (dont code PIN saisi), et stocke le tout dans un fichier
Il filtre les seules transactions valides, et uniquement en devises russes, ukrainiennes et américaines
Il s’appuie sur des instructions non documentées par le constructeur, ce qui laisse présager des complicités internes
Plusieurs évolutions du malware ont été identifiées
10213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Nouvelles menaces liées aux DAB : Compromission de DAB en Europe de l’EstMode opératoire:
Pas de propagation par les réseaux : installation au coup par coup
Leur installation physique dans le DAB n’est pas clair : �soit par complicité d’un dabiste ou d’un agent de maintenance�soit l’utilisation directe d’une carte de maintenance clonée
Plusieurs mois après, on envoie une mule récupérer les informations collectées : �Ils activent un menu à l’aide d’une carte spécifique�Ils lancent une impression sur l’imprimante embarquée�Une autre option permettait de vider le coffre du distributeur
Certaines informations sont chiffrées en DES, avant impression
Une évolution non opérationnel devait permettre de récupérer les informations directement sur une carte de stockage
10313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Possibilité d’acheter des DAB d’occasion sur des sites d’enchères, ou de petites annonces :
�Pour développer un virus ou un malware
�Pour récupérer des informations sur le disque dur
�Pour le transformer en DAB factice
Ex: Conférence du Defcon 2009
Nouvelles menaces liées aux DAB : Les distributeurs de billets d’occasion
10413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Conférence annulée à Blackhat 2009, sous la pression d’industriels et d’établissements financiers
Les menaces sur les distributeurs ne sont pas toutes malveillantes :
Bug du passage à l’an 2010 en Allemagne
Retrait à l’étranger sans plafond d’une banque anglaise
Erreur de chargement ou de maintenance à Lorient
Indisponibilité du réseau informatique des DAB chez Barclays
Expérimentation houleuse en Afrique du Sud
Nouvelles menaces liées aux DAB : D’autres menaces à découvrir…
10513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
WebographieFraude RBS WordPayhttp://www.informationweek.com/news/software/showArticle.jhtml?articleID=221601284http://www.usatoday.com/money/usaedition/2009-11-10-atm-hackers_NU.htm?csp=outbrainhttp://www.bankinfosecurity.com/articles.php?art_id=1935&opg=1
Vol de CB en Espagnehttp://www.databreaches.net/?p=8314http://countermeasures.trendmicro.eu/europes-heartland-in-large-scale-credit-card-theft/http://www.visaeurope.com/pressandmedia/newsreleases/press420_pressreleases.jsphttp://www.lematin.ch/actu/monde/100-000-cartes-credit-rappelees-banques-193086
HeratLand & Albert Gonzaleshttp://www.theregister.co.uk/2009/08/17/heartland_payment_suspect/http://www.bankinfosecurity.com/heartland_breach.phphttp://www.liberation.fr/monde/0101585965-albert-gonzalez-le-pirate-aux-130-millions-de-cartes-de-credithttp://www.lexpansion.com/economie/actualite-high-tech/qui-est-albert-gonzalez-le-recordman-de-la-fraude-a-la-carte-bancaire_194803.htmlhttp://www.lemonde.fr/technologies/article/2009/08/20/130-millions-de-cartes-bancaires-piratees-aux-etats-unis_1230199_651865.html
Rapport ENISAhttp://securite.reseaux-telecoms.net/actualites/lire-distributeurs-bancaires-la-menace-augmente-selon-l-enisa-20814.htmlhttp://www.enisa.europa.eu/media/press-releases/prs-in-french/20090709ATM%20FR.pdfhttp://www.enisa.europa.eu/act/ar/deliverables/2009/atmcrime/at_download/fullReport
Malware pour DABhttp://www.sophos.com/blogs/sophoslabs/v/post/3577http://www.theregister.co.uk/2009/03/17/trojan_targets_diebold_atms/http://www.goodgearguide.com.au/article/295924/criminals_sneak_card-sniffing_software_diebold_atmshttp://www.securitypark.co.uk/security_article263236.htmlhttp://www.theregister.co.uk/2009/06/03/atm_trojans/?cfC0438101=9004D4FBC!WDA3OTE2NzphdXRoc2d0X3J0ZmU6+tzxKhbtwOT2W8ILmVhCsQ== https://www.trustwave.com/downloads/alerts/Trustwave-Security-Alert-ATM-Malware-Analysis-Briefing.pdf
Autres Menaces / Dysfonctionnementshttp://www.theregister.co.uk/2009/06/17/barclays_gloucester_outage/http://www.guardian.co.uk/world/2009/jul/12/south-africa-cash-machine-pepper-spray
http://www.ouest-france.fr/actu/actuDetFdj_-a-Lorient-le-distributeur-de-billets-voit-double_39382-930715_actu.Htmhttp://www.guardian.co.uk/world/2009/jul/12/south-africa-cash-machine-pepper-sprayhttp://tatun.unblog.fr/2009/09/12/vol-cartes-bancaires-pas-de-calais-un-bug-informatique/
DAB Facticehttp://www.theregister.co.uk/2009/08/03/fake_atm_scam_busted_at_defcom/
10613 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Panorama 2009
�[évocation] La sécurité du GSM compromise ?
�Services Généraux sur IP, nouvelle exposition
�[évocation] câbles et ruptures de services
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI, retour d’expérience sur un déni de service
�Réseaux sociaux : menaces, opportunités et convergences�Cartes bancaires : vos numéros voyagent…�Web 2.0 : le 5ème pouvoir ?�Une entreprise criminelle au microscope
10713 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Isabelle Ouellet
Analyste en cybercriminalité
Bureau de coordination des enquêtes sur les délits informatiques (BCEDI)
Sûreté du Québec
Web 2.0, le 5ème pouvoir ?
10813 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
RÉSULTAT
Institutions perdent leur autorité exclusive
1. Médias => gouvernements
2. Forces policières
3. Autres
Par de simples citoyensFacile et offrant
une grande visibilitéEn temps réel
DIFFUSION D’INFORMATION
Web 2.0, le 5ème pouvoir ?
société
10913 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Exemples d’information en temps réel
Lecture en transit (streaming)
Musique (Deezer, Lala)
Films (streamov ,Saficity)
Même les torrents…
société
11013 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
� Informatique dans les nuages (cloud computing)
� Moteurs de recherche en temps réel�Collecta
Exemples d’information en temps réelsociété
11113 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Web 2.0
� Communications instantanées
Twitter, Facebook, YouTube, Flickr
Exemples d’information en temps réel
� Permet aux personnes « ordinaires » de rapporter presque instantanément des informations concernant des événements d‘intérêt
société
11213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Exemples d’information en temps réel
Web 2.0
� Effet de « buzz »
� Source d’information pour les médias traditionnel
Dès qu'un petit voyant rouge s'allume sur Twitter,
le journaliste en prend connaissance, vérifie
l’information, la synthétise, et la publie
société
11313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Institutions perdent
leur autorité exclusive
1. Médias => Gouvernements
2. Forces policières
3. Autres
Web 2.0, le 5ème pouvoir ?
société
11413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
1. Concurrencer les médias
Janvier 2009
Amerrissage parfait d'un avion d'US Airwaysdans l'Hudson River de New York
Quelques minutes après l’accident, Janis Krums poste son célèbre twitt :
"There is a plane on the Hudson.
I am on the ferry to pick up the people. Crazy."
société
11513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Novembre 2008
Les attentats de Bombay
1. Concurrencer les médias
société
11613 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Autres exemples:
� L’élection de Obama (novembre 2008)
� La crise iranienne (juin 2009)
� En Italie, un appel à un rassemblement pour dénoncer les ennuis judiciaires de Berlusconi a attiré plus de 400 000 personnes (décembre 2009)
1. Concurrencer les médias
société
11713 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Plus que seulement vecteur d’information descriptive
Ces sites :
Deviennent des «instruments de contournement de la censure et de dénonciation de la répression»
Favorisent la création de communauté de résistance démocratique
Octroient à leurs utilisateurs une réelle force politique
1. Concurrencer les médias
société
11813 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Limites:
Laurent Suply, journaliste au Figaro.fr« Mosaïque d'informations parcellaires qui se développe en direct de façon anarchique »
Informations non vérifiées, non synthétisées , subjectives, émotives, parfois fausses
Bruit - Écho
Amy Gahran, consultante en communication de l’université du Colorado “Les journalistes citoyens ne produisent ni information ni analyse, ils se contentent
souvent de citer les contenus des médias traditionnelsou des faits banals et sont incapables de donner du sens à un événement »
1. Concurrencer les médias
société
11913 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Institutions perdent
leur autorité exclusive
1. Médias => Gouvernements
2. Forces policières
3. Autres
Web 2.0, le 5ème pouvoir ?
société
12013 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Citoyens utilisent Internet pour retrouver:
� l’auteur de sévices sur un chat� un cambrioleur� un client parti sans payer l’addition
2. Concurrencer les forces policières
société
12113 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
�Activités anti-pédophiles
Perverted Justive
Wikisposure
�Décembre 2009
Chasse à l'homme en direct sur Google Wave
�Chine:
« moteurs de recherche
de chair humaine»
2. Concurrencer les forces policières
société
12213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Institutions perdent
leur autorité exclusive
1. Médias => Gouvernements
2. Forces policières
3. Autres
Web 2.0, le 5ème pouvoir ?
société
12313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
� Pour les artistes, signer chez une major n’est plus l’unique voie pour accéder au succès
� Ils peuvent maintenant se faire connaitre à travers le WEB 2.0.
Autres changements dans les modes conventionnels
� Les vidéos de Pomplamoose ont généré plusieurs millions de vues sur Youtube et ont été "twittées" par Ashton Kutcher et Kylie Minogue
société
12413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Décembre 2009
Les scientifiques de l'Institut d'études géologique des États-Unis ont intégréTwitter à leurs outils de
Détection des tremblements de terre
Dr. Paul Earle, USGS
"Les messages sur Twitter sont publiés
quelques secondes après un séisme alors
que les scientifiques n'obtiennent ces
informations qu'entre 2 et 20 minutes plus
tard ".
Autres changements dans les modes conventionnels
société
12513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Novembre 2009
«Climategate».
Groupes de détracteurs d’une idée qui utilisent le WEB pour promouvoir leur point de vue et trouver des appuis
Autres changements dans les modes conventionnels
société
12613 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Conclusion
Les outils du Web 2.0 offrent aux citoyens:
Une large vitrine, que ce soit pour la diffusion d’information, l’expression d’opinions ou la recherche d’une personne
La capacité d’influencer les médias, gouvernements et autres institutions
Évolution du phénomène?
société
12713 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
http://www.silicon.fr/fr/news/2008/11/28/twitter__relais_de_l_information_lors_des_attentats_de_bombay
http://encyclopedie.linternaute.com/definition/169/3/streaming.shtml
http://www.numerama.com/magazine/14722-utorrent-21-va-integrer-le-streaming-video.html
http://techno.branchez-vous.com/actualite/2009/12/google_resultats_temps_reel_reconnaissance_vocale.html
http://technaute.cyberpresse.ca/nouvelles/internet/200912/07/01-928819-google-lance-la-recherche-en-temps-reel.php
http://www.lemonde.fr/opinions/article/2009/06/25/twitter-la-crise-iranienne-et-les-mobilisations-citoyennes-par-yves-mamou_1211292_3232.html
http://www.fredcavazza.net/2008/03/26/twitter-au-coeur-de-la-revolution-des-medias-sociaux
http://www.languagemonitor.com/news/top-words-of-2009 ;
http://www.nonfiction.fr/article-2948-twitter_une_nouvelle_arme_politique.htm
http://blog.lefigaro.fr/hightech/2008/11/mumbai-bombay-twitter.html
http://www.nonfiction.fr/article-2948-twitter_une_nouvelle_arme_politique.htm
http://blog.lefigaro.fr/hightech/2008/11/mumbai-bombay-twitter.html
http://www.lemonde.fr/technologies/article/2009/06/10/le-reseau-twitter-emerge-comme-source-d-information-pour-les-medias_1205117_651865.html#ens_id=1213353
http://www.psyetgeek.com/twitter-lavion-dans-lhudson-et-les-mythes
http://www.suchablog.com/video-de-lamerissage-de-lairbus-a320-sur-lhudson-river
http://fr.techcrunch.com/2008/11/27/attentats-en-inde-twitter-un-media-au-coeur-de-lhorreur/
http://www.silicon.fr/fr/news/2008/11/28/twitter__relais_de_l_information_lors_des_attentats_de_bombay
http://www.nonfiction.fr/article-2948-twitter_une_nouvelle_arme_politique.htm
http://www.lagazettedeberlin.de/5462.html
http://www.lesinrocks.com/actualite/actu-article/t/1261570201/article/le-web-outil-de-revolte-de-la-jeunesse
http://www.nonfiction.fr/article-2948-twitter_une_nouvelle_arme_politique.htm
http://www.nonfiction.fr/article-2948-twitter_une_nouvelle_arme_politique.htm
http://www.lemonde.fr/opinions/article/2009/06/25/twitter-la-crise-iranienne-et-les-mobilisations-citoyennes-par-yves-mamou_1211292_3232.html
Webographie 1/2
12813 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
http://www.lagazettedeberlin.de/5462.html
http://fr.techcrunch.com/2008/11/27/attentats-en-inde-twitter-un-media-au-coeur-de-lhorreur
http://blog.lefigaro.fr/hightech/2008/11/mumbai-bombay-twitter.html
http://technaute.cyberpresse.ca/nouvelles/internet/200811/28/01-805403-les-attentats-de-mumbai-en-direct-sur-les-blogues-et-sites-de-messagerie.php
http://groups.poynter.org/members/?id=3056573
http://www.journalistiques.fr/post/2008/11/27/Attentats-en-Inde%3A-citizen-journalists-plus-commentateurs-que-reporters
http://www.nonfiction.fr/article-2948-twitter_une_nouvelle_arme_politique.htm
http://www.kenny-glenn.net/
http://www.theregister.co.uk/2007/08/02/facebook_burglar
http://www »’aff.paperblog.fr/1376176/partis-sans-payer-l-addition-on-les-retrouve-grace-a-facebook/
http://www.wikisposure.com
http://www.perverted-justice.com/
http://www.20minutes.fr/article/368146/High-Tech-Chasse-a-l-homme-en-direct-sur-Google-Wave.php
http://typepad.viceland.com/vice_france/2009/06/nerd-shit-traque-sur-internet.html#more ;
http://www.letemps.ch/Page/Uuid/278149e6-e5a8-11dd-b87c-1c3fffea55dc/Des_justiciers_chinois_de_lInternet_pr%C3%B4nent_le_lynchage_virtuel
http://www.numerama.com/magazine/14690-pomplamoose-signer-avec-une-major-non-merci.html
http://www.annemariecordeau.com/non-classe/le-pouvoir-des-consommateurs-du-web-ou-la-nouvelle-economie-relationnelle
http://www.numerama.com/magazine/14716-twitter-un-nouvel-outil-pour-detecter-les-tremblements-de-terre.html
http://news.bbc.co.uk/2/hi/science/nature/8413128.stm
http://crimes-cyber.blogspot.com/2009/11/des-pirates-simmiscent-dans-le-debat.html
http://www.wired.com/threatlevel/2009/11/climate-hack
http://www.cyberpresse.ca/opinions/chroniqueurs/francois-cardinal/200911/27/01-925730-le-climategate-un-reel-scandale.php
http://www.nonfiction.fr/article-2948-twitter_une_nouvelle_arme_politique.htm
Webographie 2/2
12913 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Panorama 2009
�[évocation] La sécurité du GSM compromise ?
�Services Généraux sur IP, nouvelle exposition
�[évocation] câbles et ruptures de services
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI, retour d’expérience sur un déni de service
�Réseaux sociaux : menaces, opportunités et convergences�Cartes bancaires : vos numéros voyagent…�Web 2.0 : le 5ème pouvoir ?�Une entreprise criminelle au microscope
13013 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Une Entreprise Criminelle au Microscope
TOUTES LES INFORMATIONS UTILISEES DANS CETTE PRESENTATION PROVIENNENT DE SOURCES PUBLIQUES. ELLES ONT ETE PUBLIEES PAR INNOVATIVE MARKETING, SES PARTENAIRES OU SES EMPLOYES. ELLES ONT ETE COLLECTEES AU TRAVERS DU PORT TCP 80.
AUCUNE TENTATIVE DE PIRATAGE N’A ETE MENEE, AUCUN LOGIN (NOM D’UTILISATEUR ET/OU MOT DE PASSE) N’A ETE EMPLOYE DURANT CES RECHERCHES. LES DONNEES SONT/ETAIENT SIMPLEMENT DISPONIBLES POUR QUI VEULENT/VOULAIENT BIEN LES CONSULTER.
Un grand merci à Dirk Kollberg (McAfee) qui a réalisé toutes les premières investigations qui m’ont amenées ensuite à être moi-même curieux.
13113 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Préambule
Qu’est ce qu’un scareware ?
Logiciel inefficace ou malveillant vendu par une société éditrice sans scrupule qui invoque des menaces imaginaires afin d’inciter les internautes à l’achat.
13213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Préambule
Pendant près de 12 mois, les serveurs de la société restent ouverts à tous ceux qui veulent en comprendre le fonctionnement. La société est aussi fortement représentée sur LinkedIn.
• Agencement des locaux,• Personnel,• Production et R & D,• Filiales et sous-traitants,• Support technique,• Chiffre d’affaire,• Vie privée & parcours professionnel des employés (répertoire perso pour nombres d’employés - plus de 10 000 photos).
13313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Banlieue de Kiev
13413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
De véritables locaux
13513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Un agencement étudié
13613 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Du beau monde dans l’annuaire LDAP (835 entrées)
• Déjà en lien avec InnovativeMarketing Inc. Société commerciale constituée conformément aux loi de Belize et ayant ses bureaux à Kiev.
• Poursuivi en décembre 2008 par la FTC, il trouve un accord en juin 2009 en acceptant de payer une amende et ne plus s’investir dans ce type d’industrie.
• CEO de ByteHosting (création en 1997),
• Condamné en 2004 pour avoir diffusé un clone de Norton AntiVirus
13713 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Du beau monde dans l’annuaire LDAP (835 entrées)
• L’un des fondateurs d’InnovativeMarketing Inc. (IMI est créé en 2002)
• Poursuivi en décembre 2008 par la FTC, il ne s’est toujours pas présenté devant ses juges.
• Exerce ses activités sous les dénominations Vantage Software et Winsoftware, Ltd. A la direction d’Innovative Marketing, Inc.
• En 1999, Microsoft porte plainte contre KT Services (soit VantageSoftware) pour distribution de versions contrefaites de Windows 98 et d’Office Pro 97.
13813 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Du beau monde dans l’annuaire LDAP (835 entrées)
• Par tricherie, il positionne sa startup (eFront Media) en 18e position sur la liste Media Metrix.
• Condamné en 2005 et 2008 pour contrefaçon de logiciel.
• Directeur d’Innovative Marketing Inc.• Poursuivi en décembre 2008 par la
FTC, il s’enfuit à l’étranger et fait l’objet d’un mandat d’arrêt émis par Interpol.
?
13913 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
… et plus de 600 collaborateurs
• Gestion du personnel avec AtlassianConfluence V2.5.1
• 666 entrées
14013 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Un comité d’établissement
14113 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Un spectacle fin 2008 avec remise de récompenses
14213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Une production diversifiée et de nombreux services de paiement en ligne
34 se
rveu
rs d
e pr
oduc
tion
repé
rés s
ur 6
moi
s.
De fré
quen
ts ch
ange
men
ts
d’IS
P.
4 m
illio
ns d
e té
léch
arge
men
ts
prov
oqué
s en
10 jo
urs.
14313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Une véritable structure R & D
L’un
e de
s car
acté
ristiq
ues
signa
lée:
des
adr
esse
s IP
à
duré
e de
vie
< 1
5 m
inut
es.
14413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Une véritable structure R & D
14513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Des individus à ne pas croiser au coin d’un bois
14613 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Un support technique qui fait trainer les réclamations, mais qui enregistre tout
• 2 millions d’appel en 2008,• Plus de 3000 enregistrements
audio dont plus de 900 en langue française:
• double débit carte bleue,• débit CB pour des produits
non commandés,• PC planté,• produit absent au
téléchargement,• etc.
14713 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
4,5
mill
ions
de
com
man
des
en 1
1 m
ois:
4,5M
* $
40 =
$18
0 00
0 00
0
Innovative Marketing Ukraine
Un chiffre d’affaires satisfaisant
14813 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Une activité diversifiée
14913 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Les surprises de LinkedIn
• Environ 180 individus retrouvés
15013 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Origine des salariés (source LinkedIn)
Education National TechnicalUniversity of Ukraine 'KyivPolytechnic Institute'
Education Nacional'nijAviacijnij Universitet
Education Kyiv National Taras Shevchenko University
Q=60
Q=21
Q=23
Autres Universités Q=53
Non renseigné Q=18
15113 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Vie professionnelle (source LinkedIn)
CommerceLabs Ltd
L……
E………………
Q=17
Q=16
Q=5
G………………Q=6
I………………..Q3
… mais aussi…
Sociétés ukrainiennes
liées aux technologies de
l’information
15213 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
Vie professionnelle (source LinkedIn)
… mais aussi…
DEC-2003 AVR-2005
JUL-2008 DEC-2008
APR-2006 APR-2007
DEC-2007 SEP-2008
JUN-2006 DEC-2007
OCT-2004 APR-2005
AUG-2005 OCT-2005
Les plus grandes sociétés
logicielles et les plus grandes
banques de la planète
15313 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Innovative Marketing Ukraine
70 Giga-octets de données…
… entre les mains de divers services de police américains et européens…
15413 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
Webographie
Fix Winfixer! – Today Fraudware… Tomorrow, The Universehttp://fixwinfixer.wordpress.com/2007/04/10/corporate-citizenship/Microsoft Takes a Bite Out of Software Fraud on the Internethttp://www.microsoft.com/presspass/press/1999/dec99/bitefraudpr.mspxPlainte de Symantec (source Youtube)http://www.youtube.com/watch?v=zBUZHiKhsog - Feb. 26, 2007). Special Report on a lawsuit
involving Beatrice Ochoa, whose computer was infected by the notorious Winfixer.More on Innovative Marketinghttp://msmvps.com/blogs/hostsnews/archive/2007/12/08/1386368.aspxFTC Press Releasehttp://www.ftc.gov/os/caselist/0723137/index.shtmSpyware Suckshttp://msmvps.com/blogs/spywaresucks/Interpolhttp://www.interpol.int/public/Data/Wanted/Notices/Data/2009/45/2009_13445.aspICQ logs spark corporate nightmarehttp://news.cnet.com/2100-1023-254173.html&tag=txt
15513 janvier 2010
Panorama cybercriminalité, année 2009
clusif@clusif.asso.fr + 33 1 5325 0880
En conclusion,nous aurions aussi aimé évoquer…
� Evolution du test d'intrusion vers le test de conformité
� RFID, les emplois de plus en plus variés, les attaques aussi…
� L’incompétence, une menace interne qu’il ne faut pas sous-estimer…
Recommended