Portrait robot de la cybercriminalité en 2008

Quels sont les nouveaux risques en matière de criminalité informatique ? Quels sont les délits qui ont défrayé la chronique au cours de l’année 2008 ? Le Clusif dresse le bilan.

Le 15 janvier 2009 s’est déroulée la traditionnelle présentation du Club de la Sécurité de l’Information Français (CLUSIF), intitulée « Panorama de la cybercriminalité 2008 ». Objectif : prendre du recul sur les évènements de l’année écoulée. Pour cela, un ensemble d’éléments représentatifs a été sélectionné par un groupe de travail pluridisciplinaire, englobant la criminalité haute technologie, les cyberconflits (Estonie, cyberattaques chinoises…) mais aussi, des affaires beaucoup moins techniques. Petit tour d’horizon des faits marquants…

Web 2.0 et réseaux sociaux : les menaces se précisent

Comme il fallait s’y attendre, la criminalité s’est emparée des réseaux sociaux. L’année 2008 a apporté son lot de virus et de vers « nouvelle génération » infectant les Facebook et autres MySpace a souligné François Paget (chercheur de menaces pour McAfee). Autre menace : la divulgation d’informations personnelles. Les utilisateurs de ces réseaux ne réalisent toujours pas à quel point ils se dévoilent au travers de blogs ou d’espaces de partage de photos et de vidéos… Enfin, de très grosses campagnes médiatiques orchestrées sur ces réseaux ont parfois dérivé vers la désinformation, le dénigrement, et pourquoi pas l’appel au terrorisme. Ce sujet est donc à suivre de près, et devrait continuer à être sur le devant de la scène dans les prochains mois.

Sécurité hardware et confiance sur Internet

Franck Veysset (expert en sécurité chez Orange Labs) a soulevé quant à lui la question des attaques « hardware », en particulier sur le matériel électronique. Début 2008, le système des cartes sans contact du métro d’Amsterdam a ainsi été complètement analysé et « cassé ». Basé sur la technologie RFID, ce système repose sur une solution Mifare de la société NXP qui n’a pas été conçue avec un niveau de sécurité élevé, et qui utilise un algorithme propriétaire CRYPTO-1 relativement faible. Via un reverse engineering de la solution, comprenant une analyse matérielle des composants, des chercheurs ont réussi à cloner des badges… Autre cas très discuté : la sécurité des passeports biométriques, ou « e-passeport ». En septembre, des chercheurs ont réussi à fabriquer un faux passeport d’Elvis Presley et à le valider sur une borne automatique de l’aéroport de Schipol ! Pourtant, les spécifications techniques, élaborées par l’ICAO, sont d’un excellent niveau, mais plusieurs éléments de sécurité sont « optionnels » et n’ont donc pas toujours été adoptés dans les versions en cours…

La criminalité organisée et le numérique

A cela, vient s’ajouter la criminalité organisée. Le Lieutenant Colonel Eric Freyssinet de la gendarmerie nationale a présenté quelques évènements notables de l’année écoulée. Au programme, une véritable explosion de la contrefaçon de logiciels, notamment de faux antivirus dont la commercialisation a permis aux malfaiteurs de débiter plusieurs fois la carte bancaire de leur victime. Autre contrefaçon marquante : la vente aux Etats-Unis de faux matériels Cisco, très bien imités et parfois distribués par des canaux légitimes, mais en provenance de Chine.Au-delà, le phénomène des hébergeurs « scélérats » (aussi appelé Bullet Proof Hosting) avec le célèbre RBN (Russian Business Network) a continué à sévir. Mais la communauté Sécurité ne s’est pas laissée faire. Ainsi, les sociétés Atrivo / Intercage ont été déconnectées de l’Internet à l’automne, car leurs actions (hébergements de contenus illégaux notamment) ont finis par être trop visibles. En octobre, c’est la société McColo qui a été sur la sellette. Sa déconnexion a été très remarquée, car durant une (trop) courte période, le spam a baissé de près de 75 % à l’échelle mondiale, preuve s’il en est que McColo menait bien des activités « sensibles ».

Effets d’annonce et failles de sécurité non exploitées : quelle menace ?

Autre sujet sensible : les failles de sécurité. Pour autant, il devient difficile d’en évaluer la menace note Hervé Schauer (consultant et gérant de HSC). Au cours de l’année 2008, plusieurs évènements ont fait la une des médias, tel que la « faille DNS » découverte par Dan Kaminsky. Bien que le problème soit sérieux et réel, son impact sur le grand public a été très faible : le problème a surtout concerné les opérateurs et ISP. Pourtant, les effets d’annonces ont été très bien orchestrés, avec un « bouquet final » et des révélations détaillées lors de la grande conférence « BlackHat » de Las Vegas. La faille TCP de l’année, pourtant fortement médiatisée en septembre, s’est aussi dégonflée comme un soufflet. Plusieurs annonces indiquaient que les auteurs allaient donner des détails, mais début 2009, aucune information crédible sur le sujet n’est parue. A l’opposé, des failles critiques sont curieusement passées totalement inaperçues. C’est par exemple le cas de la MS08-67, faille d’une grande majorité des systèmes Microsoft permettant une compromission distante !

Du sabotage interne aux atteintes de sécurité sur les infrastructures

Pour conclure, Pascal Lointier, président du CLUSIF, est revenu sur quelques cas d’écoles :

l’histoire de l’administrateur réseau de la municipalité de San Francisco qui, ayant été licencié, a bloqué l’accès au principal réseau informatique de la ville avant de partir. Même au cours du procès qui a suivi, il a refusé de fournir les mots de passe, entraînant des dépenses importantes pour déverrouiller les réseaux de la ville…

celle d’un administrateur de base de données dans le New Jersey, lui aussi licencié, qui a menacé la société de tout détruire si des dédommagements importants ne lui étaient pas versés. La aussi, l’histoire a fini devant les tribunaux…

celle d’un adolescent polonais qui a piraté le réseau du métro de Lodz… et qui a provoqué le déraillement de 4 wagons, ainsi qu’une grosse pagaille…

celle de l’affaire « Hannaford » ou plusieurs millions de numéros de cartes bancaires se sont retrouvé dans la nature. Ironie du sort, la société Hannaford venait de recevoir sa certification PCI-DSS, normalement garante d’un haut niveau de sécurité dans la gestion de ces données…

Pour en savoir plusLes supports de présentation de ce panorama, ainsi que les vidéos des présentations sont en ligne, en libre accès, sur le site du Clusif, http://www.clusif.asso.fr/. Par Franck Veysset, expert en sécurité