Panorama de la cybercriminalité année 2008

Transcription

1 Panorama de la cybercriminalité année 2008 version b

2 Le CLUSIF : agir pour la sécurits curité de l informationl Association sans but lucratif(création au début des années 80) > 600 membres (pour 50% fournisseurs et prestataires de produitset/ou services, pour 50% RSSI, DSI, FSSI, managers ) Partage de l information Echanges homologues-experts, savoir-faire collectif, fonds documentaire Valoriser son positionnement Retours d expérience, visibilité créée, Annuaire des Membres Offreurs Anticiper les tendances Le «réseau», faire connaître ses attentes auprès des offreurs Promouvoir la sécurité Adhérer 2

3 La dynamique des groupes de travail Documents en libre accès Traductions (allemand, anglais ) Prises de position publiques ou réponses à consultation Espaces d échanges permanents : MEHARI, Menaces, RSSI 3

4 Des actions en région, une collaboration à l international 4

5 Objectifs du panorama: Apprécier l émergencede nouveaux risques et les tendances de risques déjà connus Relativiser ou mettre en perspectivedes incidents qui ont défrayé la chronique Englober la criminalitéhaute technologie, comme des atteintes plus «rustiques» 5

6 Contributions au panorama 2008 Sélection réalisée par un groupe de travail pluriel : assureur, chercheur, journaliste, officier de gendarmerie et police, offreur de biens et de services, RSSI AIG Europe Best Practices-SI HSC Kroll Ontrack McAfee Orange SNCF Websense Direction Centrale de la Police Judiciaire (OCLCTIC) Gendarmerie Nationale Parquet Général, Cour d Appel de Versailles Sûretédu Québec Le choix des sujets et les propos tenus n'engagent pas les entreprises et organismes ayant participé au groupe de travail 6

7 Sélection des événements médias Illustration d une émergence, d une tendance, d un volume d incidents. Cas particulier Impact ou enjeux, Cas d école. Les images sont droits réservés Les informations utilisées proviennent de sources ouvertes Les entreprises sont parfois citées par souci de précision et parce que leur nom a été communiqué dans les médias 7

8 Retour sur le panorama 2007 Mondes virtuels : l appât du gain Arrêtée pour avoir tuéson mari virtuel Divorce réel après un adultère virtuel Perturber, déstabiliser Attaques en réputation Condamnation CastleCops Le président de la F1 dans une vidéo SM Test de carding sur des œuvres caritatives Le hacking pour focaliser l attention? Déforestation brésilienne (hacking et modification des permis d abattage) Espionnage industriel Un cadre d un fabricant de pneumatiques français tente de revendre des informations àun concurrent Le cyber-espionnage devient B2B Vente de secrets industriels d un constructeur d avions français Réseaux sociaux, opportunités de malveillance/renseignement Procès Josh dans l affaire du suicide de l adolescent Confer infra 8

9 Retour sur le panorama 2007 Sophistication des attaques Kraken encore plus performant que Storm Icann réagit face aux Domain tasters Encore sites web découverts comme contaminés par iframe Enjeux malveillants sur le ecommerce Fraude aux cartes bancaires via Internet Multiples arrestations en Roumanie Escroqueries via les sites d enchères Evocation de faits marquants «Cyber-guerre» Estonie La Lituanie, le Tibet, Radio Free Europe, coupure du GSM en Afghanistan, etc. Cyber-attaques «chinoises» L inde accuse la Chine Enjeux de sécurité sur les infrastructures SCADA CIA évoque des blackouts électriques suite à des cyber-attaques Piratage du réseau téléphone de la FEMA (Federal Emergency Management Agency, E-U)) Condamnation de l informaticien ayant saboté les feux de circulation à Los Angeles (E-U) 9

10 Webographie /

11 Panorama 2008 Web 2.0 et réseaux sociaux : les menaces se précisent Sécurité hardware et confiance sur Internet Chip hacking : essor du piratage des circuits électroniques Routage d Internet : erreurs, malveillances, opportunités La criminalité organisée et le numérique Effets d annonce et failles de sécuriténon exploitées : quelle est la réalitéde la menace? Du sabotage interne aux atteintes de sécuritésur les infrastructures 11

12 Conférenciers M. François Paget Chercheur de menaces McAfee Avert Labs M. Franck Veysset Expert senior Orange Labs LCL Eric Freyssinet Chargé des projets cybercriminalité Direction Générale Gendarmerie Nationale M. Hervé Schauer Consultant en sécurité des systèmes d information HSC Herve.schauer@hsc.fr M. Pascal Lointier Conseiller sécurité de l information AIG Europe Pascal.lointier@aig.com 12

13 Panorama 2008 Web 2.0 et réseaux sociaux : les menaces se précisent Sécurité hardware et confiance sur Internet Chip hacking : essor du piratage des circuits électroniques Routage d Internet : erreurs, malveillances, opportunités La criminalité organisée et le numérique Effets d annonce et failles de sécuriténon exploitées : quelle est la réalitéde la menace? Du sabotage interne aux atteintes de sécuritésur les infrastructures 13

14 Source: search/download/skoch_rezonance_reputation_ s.pdf?version_id= Web 2.0 & Réseaux Sociaux : les menaces se précisent 14

15 Web 2.0 Une définition parmi bien d autres Le Web 2.0 pourrait être vu comme un réseau social mondial où chaque site participant est acteur du réseau et contribue à rendre acteurs les internautes L utilisateur consulte Thierry Gagnaire L utilisateur interagit 15

16 Réseaux Sociaux Caractéristiques communes Un profil utilisateur Une recherche parmi les utilisateurs Une offre de mise en communication entre utilisateurs Une incitation àdonner de l information Les réseaux sociaux possèdent tous le même fonctionnement : on crée son profil (infos personnelles, photos, centres d'intérêt) et l on invite ses «amis» à nous rejoindre. Skyrock (pour la France), puis Myspace et Facebook sont en tête des plateformes les plus visitées 16

17 Réseaux Sociaux = Partage Tout se partage Partage de vidéos Youtube, DailyMotion Partage de podcasts(fichiers audio) Podemus, Radioblog Partage de photos et de diaporamas Flickr, Fotolia, SlideShare Partage de CV, mise en relation Réseaux généralistes: Facebook, MySpace, Copainsdavant Réseaux professionnels: LinkedIn, Viadeo Réseaux de chercheurs: Scilink Partage de signets(marque-pages Internet) Del.icio.us, Blogmarks Partage d informations et de savoir Wikipédia, AgoraVox «Plus d'un quart des jeunes collaborateurs passent trois heures, quelquefois davantage, sur des sites web tels que YouTube ou MySpace pendant leur temps de travail» (source Clearswift ) 17

18 Réseaux Sociaux Des menaces qui évoluent Année 2005 : «J ai 19 ans, etc.» (j utilise l ). Année 2008 : «J ai 22 ans, etc.» (j utilise LinkedIn) Avant Maintenant Exemple: scam

19 Réseaux Sociaux Des criminels motivés et des opportunistes Malware, Vulnérabilités, Spam, Phishing Vers, virus, Trojan, Widgets «Wall Spam» Attaques XSS, Fichiers «GIFAR»(GIF + JAR) Renseignements, Espionnage Collecte Agrégation Concaténation de Données Atteinte à la Réputation des Entreprises et des Personnes Manipulation, Harcèlement (stalking), Intimidation (bullying) Danger de l indélébilité 19

20 Réseaux Sociaux Menaces ordinaires Malware W32/Koobface.A.worm(MySpace) Propagation lorsqu un usager accède à son compte MySpace Création d une série de commentaires dans les comptes d amis W32/Koobface.B.worm(Facebook) Cible les usagers de Facebook Génération de spam à destination des amis Plus de 25 variantes en

21 Réseaux Sociaux Menaces ordinaires Failles de sécurité de type «Cross Site Scripting» (XSS) Les failles de type XSS peuvent donner la possibilité à un attaquant distant de «voler» la session d un utilisateur ou de mener des attaques de type phishing. Colonne1 FIXED UNFIXED déc-08 1 déc-08 1 déc-08 1 déc-08 1 oct-08 1 sept-08 1 juil-08 1 juin-08 1 juin-08 1 mai-08 1 mai-08 1 mai-08 1 mai-08 1 avr-08 1 avr-08 1 mars-08 1 févr-08 1 févr-08 1 janv-08 1 janv-08 1 Total

22 Réseaux Sociaux Menaces ordinaires Spam Un Canadien, Adam Guerbuez, et sa compagnie Atlantis Blue Capital, sont poursuivis par Facebook Entre les mois de mars et avril 2008, il aurait envoyé plus de quatre millions de messages non sollicités à des usagers du réseau, après avoir frauduleusement obtenu l'accès à des comptes d'utilisateurs Les messages, provenant soi-disant de contacts ou d'autres membres, proposaient notamment de la marijuana médicinale ou des pilules stimulant la virilité Le 28 novembre, il est condamné à payer 873 millions de dollars à Facebook Source images: 22

23 Réseaux Sociaux Menaces ordinaires Phishing & Typo-Squatting Les faux s et les sites miroirs se multiplient. Avec le typo-squattingle fraudeur dépose un nom de domaine proche de celui du site dont il souhaite détourner une partie du trafic. Il espère qu une faute d attention (faute de frappe, lecture trop rapide) entrainera la victime vers le site miroir. 23

24 Réseaux Sociaux Menaces ordinaires Botnet & Social Engineering - Facebot Des chercheurs mettent à disposition une preuve de concept (PoC) démontrant que Facebook peut servir de support à un nouveau type de réseau de machines zombies (botnet) Sous couvert d une application proposant chaque jour une photo du National Geographic, ils utilisent la balise IMG du langage HTML, pour piloter une attaque en DDoS A chaque clic, alors qu une nouvelle photo est affichée, une série de requêtes HTTP est émise par le poste demandeur en direction de sa cible. Malgré l absence de publicité, de nombreux utilisateurs découvrent l application et l installent Ciblant MySpace, des démos semblables avaient été présentées à BlackHat/Defcon en août

25 Réseaux Sociaux Risque pour l individu Les amis d aujourd hui, ne seront pas forcément ceux de demain e-reputation Un député suisse se fait filmer par sa maîtresse, avec son téléphone portable Il rompt avec celle-ci Elle envoie le film à un «ami» qui le transmet ensuite à un journaliste Les médias s emparent de l affaire Il perd son mandat politique ainsi que d autres prérogatives 25

26 Réseaux Sociaux Risque pour l individu Mauvaises rencontres Les adolescents se dévoilent trop sur les sites communautaires Novembre 2008: une jeune fille mineure rejoint un homme qu elle a rencontré sur Internet «soustraction de mineur en état de récidive légale» «atteinte sexuelle sur mineur de 15 ans avec pour circonstance aggravante l'usage de moyens de communication électronique» 26

27 Réseaux Sociaux Risques pour l individu Fausses identités : du jeu à la manipulation On ne compte plus le nombre de faux profils liés à des personnalités politiques ou artistiques Au début 2008, un marocain est condamné à 3 ans de prison pour avoir créé un profil Facebook en usurpant le nom d un membre de la famille royale du roi Mohamed VI. Il est libéré un mois plus tard Se présentant illégitimement comme une journaliste au Monde, Rachel Bekerman, a su se créer un tissu relationnel de plus de 1200 personnes, dont de nombreux journalistes, sans jamais dévoiler son identité 27

28 Réseaux Sociaux Risques pour l individu Divulgation d informations qui peuvent, par ailleurs, s avérer sensibles Les réponses aux «questions mystères»qui permettent la réinitialisation de mots de passe peuvent parfois se retrouver dans les profils créés au titre de tel ou tel réseau social La question mystère protégeant le compte Yahoo de Sarah Palin (septembre 2008) était «Où avez-vous rencontré votre mari?» Réponse: «Wasilla High School» 28

29 Réseaux Sociaux Risques pour l individu (comme pour l entreprise) 29 Amour, doute, incertitude, trahison L employéest monogame, la manière dont il vit sa relation avec l entreprise est en partie émotionnelle. L entreprise quant à elle, est polygame, sa relation àl employéest généralement plus factuelle Mars 2008 : A Cholet, un salariéde Michelin est licenciéaprès avoir postésur Internet des messages dénigrant son employeur. Dans sa lettre de licenciement, Michelin évoque une «obligation de loyauté» envers l entreprise 29

30 Réseaux Sociaux Risques pour l entreprise Atteinte à la réputation Reprise d un reportage TV, mais changement du titre de la vidéo Sa visualisation s en trouve démultipliée Une vidéo montre comment un simple stylo permet l ouverture d un cadenas pour vélos de la société Kryptonite L affaire va prendre des proportions inquiétantes Source: search/download/skoch_rezonance_reputation_ s.pdf?version_id=

31 Réseaux Sociaux Risques pour l entreprise Atteinte à la réputation Jeff Bezos, PDG de la boutique en ligne Amazon : «Si vous rendez vos clients mécontents dans le monde réel, ils sont susceptibles d en parler chacun à 6 amis. Sur internet, vos clients mécontents peuvent en parler chacun à 6000 amis» Créer un blog => 2 minutes Indexer un billet => 5 minutes Créer une vidéo avec son téléphone => 10 minutes Mettre la vidéo sur Youtube => 15 minutes Source: 31

32 Réseaux Sociaux Risques pour la Société Entre appel à la violence et web-révolution En France, après les violences urbaines de novembre 2005, des bloggeurs furent interpellés pour «provocation à une dégradation volontaire et dangereuse pour les personnes par le biais d Internet» Même si cette situation se retrouve aujourd'hui en Grèce (décembre 2008), Internet semble plutôt être utilisé comme un outil d information cherchant à remettre en cause, via des vidéos amateurs, les annonces officielles faites par le gouvernement du pays 32

33 Réseaux Sociaux Risques pour la Société Revendications, propagande, façonnage de mythes Septembre 2008 As Sahab, l un des organes de production proche d Al-Qaeda diffuse depuis longtemps ses messages qui se retrouvent ensuite disséminés sur la toile Décembre 2008 Sur Facebook, des centaines d adhésions sont apportées à des groupes glorifiant les parrains de Cosa-Nostra Décembre 2008 YouTube et Twitter se retrouvent au cœur du conflit israélo-palestinien 33

34 Réseaux Sociaux Risques pour la Société Désinformation, activisme, aide au terrorisme Des théories fausses ou fantaisistes et de la désinformation se retrouvent dans certains articles de Wikipedia : Église de Scientologie Machines à voter Diebold Attentats du 11/09/ Des organisations terroristes ont leurs propres «réseaux sociaux» Des groupes d activistes utilisent les réseaux sociaux pour diffuser leurs idées 34

35 Réseaux Sociaux Risques pour la Société Twitter Twitter est un outil de réseau social et de microblogging, qui permet à l'utilisateur de signaler à son réseau "ce qu'il est en train de faire". Il est possible d'envoyer et de recevoir ces updates (mises à jour) par le Web, par messagerie instantanée ou par messagerie numérique On appelle ces updates des tweets (gazouillis en anglais): ils sont courts, d'une longueur maximale de 140 caractères, ce qui permet de mettre à jour son Twitter de manière brève et spontanée Nota: Tout comme pour Facebook ou Myspace, le compte Twitter d un utilisateur peut être piraté. Parmi les récentes victimes de ces attaques citons Britney Spears et Barack Obama 35

36 Réseaux Sociaux Risques pour la Société Diffusion involontaire d informations sensibles Twitter pourrait s avérer très utile à des activités terroristes Les blogs militaires (warblogs) inquiètent aussi les états majors en matière de fuite d informations. Si une image réelle qui ne devait pas être montrée pose problème, une image hors contexte ou truquée en pose un autre 36

37 Les Réseaux Sociaux Les Menaces se Précisent Conclusion Dans un avenir plus ou moins proche, les mondes virtuels et les réseaux sociaux seront amenés àse rejoindre. La frontière entre le ludique et le professionnel s en trouvera réduite. Le danger sera encore plus grand La plupart des offres de «réseautage»sont fondées sur des modèles économiques de profit. Outre les risques de détournement, les données (personnelles) stockées ne risquent-elles pas d être réutilisées à des fins mercantiles? Finlande, 11 novembre 2007, sous le pseudonyme Sturmgeist89 le meurtrier avait posté plusieurs vidéos sur YouTube Finlande, 23 septembre 2008, sous le pseudonyme Wumpscut86 le meurtrier avait posté plusieurs vidéos sur YouTube 37

38 Les Réseaux Sociaux Les Menaces se Précisent Conclusion Points de Vigilance Les menaces ordinaires s adaptent aux réseaux sociaux : les sites communautaires sont, àleur tour, la cible de virus, de spam, de phishing, de vol d identité et de failles de sécurité La «sphère privée»de chaque individus amenuise de jour en jour: On dévoile des pans entiers de sa vie privée (et professionnelle) sans toujours en avoir conscience Sans notre consentement, d autres individus s expriment ànotre sujet ou diffusent des photos Une fois diffusée, l information devient indélébile : elle ne peut plus être supprimée 38

39 Les Réseaux Sociaux Les Menaces se Précisent Conclusion Points de Vigilance L entreprise est aussi vulnérable : En multipliant la communication non institutionnelle, les employés peuvent, volontairement ou non, porter atteinte àl image de marque de leur entreprise et diffuser des informations inappropriées, sensibles ou confidentielles. Par jeu, par intérêt ou par vengeance, des rumeurs ou des campagnes de désinformation peuvent très vite engendrer des pertes financières conséquentes Nos sociétés sont aussi menacées : La propagande et la désinformation peuvent aussi les atteindre Des extrémistes isolés et des groupes de déstabilisation (voire terroristes) peuvent recruter des adeptes, s exprimer et trouver des information sensibles qu ils pourront ensuite réutiliser pour porter atteinte à l ordre public 39

40 Webographie «Qu est-ce que le Web 2.0?»: Qu'est ce que les réseaux sociaux: Fréquentation des réseaux sociaux: Le Web 2.0 favoriserait la fuite d'informations: 20-favoriserait-la-fuite-d-informations html Ever put your CV on a job site?: Facebook s Virus Reappears, But Facebook's Vaccine Works As Advertised: Antisocial Networks: Turning a Social Network into a Botnet: Un salarié de Michelin licencié pour s'être épanché sur le net: france/2008/12/13/ artfig00580-un-salarie-de-michelin-licencie-pour-s-etre-epanche-sur-le-net-.php Jail for Facebook spoof Moroccan: La justice se penche sur le cas du hacker de Sarah Palin: Israël attaque Gaza sur YouTube: Sur Facebook, les mafiosi sont sympas: AlQaida-Like Mobile Discussions & Potential Creative Uses: A DigiActive Introduction to Facebook Activism: Les comptes Twitter de Britney Spears et d Obama ont été piratés: Le FBI prévient de la venue prochaine du Cyber Armageddon : cyber_armageddon_ Les blogs militaires: 40

41 Panorama 2008 Web 2.0 et réseaux sociaux : les menaces se précisent Sécurité hardware et confiance sur Internet Chip hacking : essor du piratage des circuits électroniques Routage d Internet : erreurs, malveillances, opportunités La criminalité organisée et le numérique Effets d annonce et failles de sécuriténon exploitées : quelle est la réalitéde la menace? Du sabotage interne aux atteintes de sécuritésur les infrastructures 41

42 Plan de l intervention Quand l électronique rejoint l informatique Hacking Mifare, RFID E-passport ColdBoot Attacks Confiance sur Internet BGP, Youtube et routage sur Internet MD5 et faux certificats 42

43 Evolution du hacking? Depuis quelques années, forte évolution du hacking Logique -> physique Mouvement initié il y a plusieurs années Attaques carte à puces Canaux cachés, DPA/SPA PayTV, faux décodeurs, «puces» pirates Desimlockage(iPhone v1 puis v2 ) Consoles de jeux et «modders» Hacking de consoles ; modchips : DS, Xbox, PS2 Defcon et le Lockpicking «All yourlocksare belongto us» Orientation vers des utilisations plus «sérieuses» 43

44 Présentation «hardware» en C3, Berlin, Décembre 2008 Plus de 15 présentations sur une centaine orientées «hardware» RFID, NFC, DECT, GSM, JTAG, WII, Zigbee CanSecWest 2008 (mars) RFID, Réseau Mobitex, Cold boot attacks BlackHat Europe 2008 (mars) Reverse engineering hardware, hacking GSM, Canaux cachés, sécurité physique 44

45 RFID? Croissance forte en 2008 RFID = Radio Frequency Identification Composant généralement passif, mémoire + antenne Alimentation par le lecteur Problème : Quelle sécurité? Besoin de crypto pour assurer la confidentialité (privacy) et la non clonabilité Contrainte matériel (et coût) forte 45

46 NXP : Mifare Classic RFID Annonce faite par le CCC (Chaos Computer Club, Allemagne) le 1/1/2008 : Cassage de l algorithme de chiffrement Mifare: produit de la sociéténxp, destinénotamment àde l authentification sans contact (technologie RFID) Système de transport public (Londres, Perth, Amsterdam..) Cas du système hollandais : 2 types de tickets «Ultralightcard», usage unique : simple mémoire + système sans contact, aucune protection «Classiccard», pour abonnements : idem, mais protection cryptographique des échanges par un algorithme «secret»(crypto1) 46

47 Ultralight card Clonage possible du ticket University of Amsterdam, Pieter Siekerman and Maurits van der Schee Démonstration par un POC (ing. R. Verdult) Programmation d un émulateur RFID Réinitialisation à l état initial après chaque usage «ghostdevice»-emulation d une carte «ultralightcard» source : Proof of concept, cloning the OV-Chip card, ing. R. Verdult 47

48 Classic Card(Mifare Classic) Analyse hardware de puce NXP! Cela ne devrait pas poser de problème (Security by Obscurity???) Mifare internals - source : CCC 2007 Mifare Security Analyse d une carte Mifare Classic (Reverse Enginnering, analyse bas niveau de l électronique) 48

49 Mifare Classic: crypto Mais clef secrète de 48 bits et algorithme propriétaire (crypto-1) faible Décorticage de la puce, détection automatique des portes Mifare Crypto-1 vue logique de l algorithme secret - source : CCC 2007 Mifare Security 49

50 Mifare classic Cassage de la puce : extraction de la clef secrète Générateur d aléa faible (16 bits, LFSR-based, dérivé de l heure de lecture) Contrôle du générateur aléatoire Utilisation de FPGA pour calcul $100 de matériel pour une semaine de calcul (non optimisé) -> clonage de RFID possible 50

51 "Producing a fraudulent card remains complex and risky, and manipulating the card is of limited value," added the spokesperson. "It needs a qualified computer specialist to set up, and risks detection by our staff or police." Semiconductor company NXP, which manufactures the MifareClassicchips, claimed that publication of the details hadgone againstthe principlesof responsible disclosure "NXP Semiconductors regrets that the Radboud University Nijmegen has revealed details of the protocol and the algorithmof MifareClassic, as wellas some practical attacks on Mifare Classic infrastructures," said an NXP spokesperson. "A broad publication of detailed information to carry out attacks with limited means is, at thismoment in time, contradictoryto the scientificgoal of preventionand the responsibledisclosureof sensitive information." 51

52 MBTA et RFID Defcon16, «Anatomyof a SubwayHack» Forte médiatisation en août, car la conférence a été interdite Approche très «hacking» incluant la sécurité physique, logique et hardware Analyse du «Charlie ticket» Ticket prépayé, rechargeable Bande magnétique (montant du ticket + checksum) Analyse de la «Charlie Card» Mifare classic récupération de la clef, clonage 52

53 Sécurité par l obscurité La sécurité par l obscurité est généralement une mauvaise idée Principe de Kerckhoffs(1883 ) Principe ok (??) pour la sécuritédu matériel? Attention, cela n est peut-être plus valable en 2008 L industrie doit évoluer sur le sujet car cela est parfois valorisé Notation lors d évaluations Critère Commun 53

54 E-passport? Vous le reconnaissez? Des passants l ont aperçu à Schiphol (Aéroport d Amsterdam) fin septembre 08 54

55 E-Passport et sécurité Arrivée massive des passeports nouvelle génération Biométrique epassport Utilise une puce de type RFID contenant : Nom, date de naissance, numéro de passeport Informations biométriques (photo, empreintes ) Systèmes crypto anti-clonage (optionnels) Signature (intégrité des données) Standard défini par l ICAO (International Civil Aviation Organization) Publication de nombreuses attaques depuis 2005 Reconnaissance du pays àdistance (exemple : message d erreur sur passeport Belge, avril 2008) 55

56 Problème de clonage Cas des epassportsbritanniques : plusieurs démonstrations de lecture puis de clonage ont eu lieu en 2006, 2007 et 2008 Pour la lecture, la clef de chiffrement des données n est pas aléatoire Démonstration de Adam Laurie à divers journaux anglais (06/07) Pour la modification, démonstration en août et octobre 2008 Problème de vérification des signatures -> intégrité des données Pour le clonage, l authentification «active»n est pas/peu utilisée (cas de la majorité des pays) Solution «eclown»sur Nokia 6131 NFC / 6212 NFC 56

57 epassport: problématique Les données sont signées par un certificat numérique La CA appartient au pays générant le passeport Il convient de partager les certificats CA entre pays afin de pouvoir vérifier la validité des signatures (mise en place d une PKI) En octobre 08, seulement 10 pays sur 50 ont acceptéde partager les certificats Et seulement 5 les ont réellement partagés 57

58 Cold boot (1/3) Objectif : accéder à des données normalement secrètes, présentent en mémoire Première publication en février 2008 Pwnie award(bh2008 USA) catégorie Recherche Innovante! Menace concrète Accès à des clefs privées Accès à des clefs de chiffrements (disque par exemple) Condition : Disposer d un PC allumépour mener l attaque (ou en veille «active», voir très récemment éteins) Principe : lire la mémoire du PC après reboot sur un OS maitrisé Reboot sur CD, sur clef USB Extraction de la mémoire, et lecture sur un autre système Le refroidissement de la mémoire permet de conserver les données plus longuement (plusieurs minutes) 58

59 Cold boot (2/3) En pratique L attaque fonctionne bien Accès possible à des données mémoire (normalement protégée par l OS ) L équipe de recherche a développédes algorithmes de recherche de clefs en mémoire efficaces L attaque est très dépendante du type de mémoire La menace : PC en veille, saisie aéroport... Utilisation d une bombe d air comprimé pour geler la mémoire et augmenter ainsi la rémanence Source : 59

60 Cold boot (3/3) Protection simple Eteindre son PC (pas de mise en veille active ) Non, ce n est pas encore la faillite des solutions de chiffrement disque! Des travaux de recherches pour parer ces attaques Effacement de données si extinction / mise en veille Détection du refroidissement anormal du PC Stockage de clef dans les adresses basses de la mémoire (écrasées lors du reboot) Fragmentation des clefs en mémoire et fonction de «hash» Stockage de clef dans des registres processeur (MMX) 60

61 Internet : Confiance? Le modèle Internet est basé sur la confiance Hiérarchie de serveurs DNS Routage entre acteurs (BGP) Utilisation des adresses Dépôt de noms de domaines Système «autogéré» Notion de Réseau Autonome (AS) Gouvernance d internet «net neutrality» Contexte international 61

62 Cartographie de l Internet. Source: wikipedia.org 62

63 Routage sur Internet (comment trouver sa route?) Internet = réseau de réseaux Echange d informations de routage entre acteurs (protocole BGP, routage inter-as) Basésur la confiance : on annonce ses routes et les routes que l on connaît Tout marche bien sauf 63

64 Document officiel émanent du gouvernement du Pakistan et demandant le blocage (interne au pays) de l accès au site Youtube 64

65 BGP et Youtube Affaire de Pakistan Telecom et «nullrouting»de Youtube Le 24 fevrier 2008 : Coupure mondiale de l accès àyoutubesuite à une erreur «nullrouting»d une route plus spécifique et propagation sur Internet PCCW a coupél accès de Pakistan Telecom après détection de l erreur Il s agissait d un accident, mais risque de malveillance sur ce modèle 65

66 BGP et re-routing Affaire Defcon/ Pilosov& Kapela Démonstration lors de la conférence Defcon, aout 2008 Annonce BGP plus spécifique du réseau Defcon Puis re-routage statique transparent Et masquage «MITM»trafic entrant! Ce n est pas une «faille»mais le fonctionnement «normal» de BGP 66

67 BGP et MITM Le réseau 100 déroute le trafic à destination du réseau 200 en annonçant une route BGP plus spécifique. Le réseau 100 reroute alors le trafic de façon statique vers le réseau 200 rendant l attaque très furtive 67

68 PKI, certificat et MD5 Présentation lors du 25C3 (Berlin, décembre 08) «MD5 considered harmful today» Creating a rogue CA certificate Comment? Fabrication d une CSR aux bonnes propriétés Possibilitéde récupérer la signature afin de générer un faux certificat, avec des bonnes propriétés... 68

69 CA impactées Quelques conditions sont nécessaires Repose sur des collisions MD5 CA utilisant SHA-1 à priori ok (pour l instant) Nécessite de prédire la CSR N de série du certificat Date de validité Présentation au CCC : choix de la CA rapidssl Utilisation d une grosse puissance de calcul pour fabriquer la collision MD5 Cluster de 200 PS3 pendant quelques jours 69

70 SSL et Conséquences L attaque permet de faire du «MitM»très avancé Certificat valide! Donc attaque transparente SSL et le modèle des certificats Web commerciaux n a pas pour rôle d offrir une «authentification forte» La majoritédes attaques a lieu sur le poste client L internet ne s effondrera pas encore cette fois-ci 70

71 Conséquences MD5 encore un peu plus affaibli SHA-1 doit immédiatement supplanter MD5 Concours du NIST pour le prochain algorithme de hashage: SHA-3 Processus de sélection des 51 candidats en cours (et déjà quelques éliminations) Objectif : annonce de SHA-3 pour

72 Webographie(1/2) Mifare Security Failures in Secure Devices, Christopher Tarnovsky Side Channel Analysis and Embedded Systems Impact and Countermesures, Job de Haas Mifare Little security, Despite obscurity Smart Cards in Public Transportation: the Mifare Classic Case Principe de Kerckhoffs MBTA Anatomyof a SuwayHack, Defcon16 Cold Boot Attacks Let we remember: Cold Boot Attacks on Encryption Keys Wikipedia : Cold Boot Attack Braving the Cold: New Methods for Preventing Cold Boot Attacks on Encryption Keys 72

73 Webographie(2/2) E-passport THC Clones Biometric epassport- Elvis Presley Passport epassports reloaded EPassport emulator eclown(clonage de epassport sur téléphone Nokia NFC) MD5 MD5 considered harmful 25C3 «Creating a rogue CA Certificate The SHA-3 zoo BGP et YouYube/ reroutagebgp Pakistan hijacks YouTube Stealing The Internet - A Routed, Wide-area, Man in the Middle Attack 73

74 Panorama 2008 Web 2.0 et réseaux sociaux : les menaces se précisent Sécurité hardware et confiance sur Internet Chip hacking : essor du piratage des circuits électroniques Routage d Internet : erreurs, malveillances, opportunités La criminalité organisée et le numérique Effets d annonce et failles de sécuriténon exploitées : quelle est la réalitéde la menace? Du sabotage interne aux atteintes de sécuritésur les infrastructures 74

75 Plan de l intervention Contrefaçon sous toutes ses formes Hébergeurs louches, composante importante des phénomènes criminels sur Internet Les fausses loteries très présentes parmi les escroqueries par pourriel en 2008 Inventivitédes groupes criminels pour faire de l argent : de nouvelles formes de virus SMS, vendre son botnet Recel àl insu de son plein gré 75

76 Contrefaçon Médicaments Cigarettes Musique et vidéo Baskets, hifi De faux anti-virus Des faux matériels Exemple d affaire de contrefaçon médicamenteuse en

77 Contrefaçon d antivirus Encadrés de vert (en haut à gauche), antivirus légitimes, les autres sont «bidons» 77

78 Contrefaçon d antivirus 30 signatures enregistrées en 09/2007, 2100 un an plus tard Pour se diffuser, toutes les techniques sont bonnes, y compris un référencement adapté dans Google Des milliers de victimes pour 40 et dont les cartes sont en fait débitées à de multiples reprises Microsoft dépose plainte contre les «vendeurs»de certains de ces logiciels On ne clique pas Ecran falsifiant une erreur légitime de Windows 78

79 Contrefaçon d antivirus - Mécanisme Alimenter et tromper les moteurs de recherches Inciter les visiteurs àcliquer par des messages alarmistes ou ennuyeux (et c est gratuit!) L utilisateur installe, mais le logiciel détecte tout de suite que quelque chose va mal et qu il faut la version payante pour l éliminer Jusqu àmodifier l affichage dans Google «Google tips» inclus dans la page d accueil de Google, incitant à payer pour le faux antivirus 79

80 Contrefaçon d antivirus - Mécanisme L utilisateur paie 40 euros et ses ennuis ne sont pas terminés Le logiciel continue de l ennuyer Et son compte bancaire est débité plusieurs fois On retrouve encore des liens avec les hébergeurs malhonnêtes que nous évoquerons plus loin 80

81 Contrefaçon de matériels d infrastructure Exemple de contrefaçon de matériel Cisco Fabrication chinoise, en grande quantité de matériel CISCO Ecoulée par des revendeurs connus des acheteurs Y compris auprès de grands comptes américains, pourquoi pas européens? Fév2008 :«Cisco Raider»: $M76 matériels saisis dans +400 saisies Quelques inquiétudes s expriment sur non seulement la qualité, mais aussi la probité des matériels 81

82 Les hébergeurs malhonnêtes Autrefois, prétendument pour préserver la liberté d expression Pour héberger des activités illicites Pour émettre du SPAM, contrôler des botnets Après la mise en sommeil de RussianBussinessNetwork en 2007, 2008 a encore étél année des hébergeurs malhonnêtes Une nouvelle façon de s attaquer àeux est né: la mobilisation de certains acteurs du net 82

83 Atrivo Connu depuis de nombreuses années comme hébergeant des activités malhonnêtes en grand nombre Liens avec de nombreuses autres entités qui assurent la résilience du système (Jart Armin) «Fermé» sous la pression en septembre 2008, mais son activité persiste encore sur Internet 83

84 McColo Etrange adresse postale pour un hébergeur! Articles autour de l affaire McColo 84

85 McColo Une partie de la solution seulement En haut à gauche : statistiques Spamcop le jour de la fermeture En bas à gauche : article sur les effets de la fermeturede McColo sur les transactions CB frauduleuses observées Ci-dessous : statistiques Spamcop aujourd hui 85

86 McColo Était-ce la solution? Une enquête judiciaire était-elle en cours? Aurait-elle dûavoir lieu? Pour collecter des preuves sur place, oui certainement encore que cet hébergeur semble fantomatique L impact est de courte durée, il faudrait une charge systématique et massive des professionnels de l Internet contre cela, c est contraire àla neutralitédu Net alors? Une action coordonnée policière, judiciaire et professionnelle semble nécessaire 86

87 Les fausses loteries (clin d œil à 2007) Continuent d être un problème : Exemples de spam de fausses loteries 87

88 Les fausses loteries Evidemment, il faut payer pour recevoir vos gains La mobilisation des industriels se développe Et pour toutes escroqueries (et autres faits): 88

89 «Ransomware»: vers chinois pour GSM Imaginez vous retrouver votre GSM qui àl allumage vous affiche : prépare 10 euros en crédits de jeu ou je ne marche plus. C est ce qu ont vécu des usagers chinois. Le ver (Kiazha- A), se propage par MMS ou BlueToothet se sert d un réseau de jeux qui utilise les SMS pour communiquer. Le profit encore le profit Copie d écran du ver Kiazha-A 89

90 Vente de services criminels en ligne Un groupe qui vendait le service de son botnet (Loads.cc) fait l objet d une guerre par attaques en DNS de la part de ses concurrents. Page d accueil de loads.cc en janvier

91 Ventes de services criminels en ligne Bannières de publicité pour location d attaques DDoS "Will eliminate competition: high-quality, reliable, anonymous." "Flooding of stationary and mobile phones." "Pleasant prices: 24-hours start at $80. Regular clients receive significant discounts." "Complete paralysis of your competitor/foe." 91

92 Recel àl insu de son plein gré Nul n est à l abri (notamment via botnets) et le «warez» est encore le type de contenu le plus «sympathique» 92