Panorama de la cybercriminalité. Année 2006

Transcription

1 Panorama de la cybercriminalité Année 2006

2 Le Clusif : agir pour la sécurité de l information Association sans but lucratif (création début des années 80) > 600 membres (50% fournisseurs et prestataires de produits et/ou services, 50% RSSI, DSI, FSSI, managers ) Partage de l information Echanges homologues-experts, savoir-faire collectif, fonds documentaire Valoriser son positionnement Retours d expérience, visibilité créée, Annuaire des Membres Offreurs Anticiper les tendances Le «réseau», faire connaître ses attentes auprès des offreurs Promouvoir la sécurité Adhérer 2

3 La dynamique des groupes de travail Des livrables en libre accès (> téléchargements) Des traductions en anglais Des prises de position publiques ou des réponses à consultation Des espaces d échanges permanents : MEHARI, menaces, réseau, RSSI 3

4 Objectifs du panorama: Apprécier l émergence de nouveaux risques et les tendances de risques déjà connus Relativiser ou mettre en perspective des incidents qui ont défrayé la chronique Englober la criminalité haute technologie, comme des atteintes plus «rustiques» Sélection réalisée par un groupe de travail pluriel (assureur, avocat, journaliste, officier de gendarmerie et police, offreurs de biens et de services, RSSI). 4

5 Sélection des événements médias Illustration d une émergence, d une tendance, d un volume d incidents. Cas particulier Impact ou enjeux, Cas d école. Les images sont droits réservés Les informations utilisées proviennent de sources ouvertes, Les entreprises sont parfois citées par souci de précision et parce que leur nom a été communiqué dans les médias 5

6 Retour sur le panorama 2005 Economie souterraine : robots, keyloggers, rootkits Condamnation Jeanson James Ancheta Plusieurs condamnations dans des affaires de botnets Espionnage économique: la convoitise Condamnation des époux Haephrati (2 et 4 ans) 6

7 Retour sur le panorama 2005 Vol et pertes de données : les risques d usurpation d état civil Nombreuses affaires de vol de données personnelles via intrusion, exploitation de faille de sécurité, vol d équipement (portable) Record sur un site de jeux en ligne avec plus d un million d identités 7

8 Retour sur le panorama 2005 Du harcèlement jusqu aux violences physiques Condamnation pour l appel à viol en réunion sur un forum de discussion Condamnation pour appel au viol sur le web : «flash mob rape» Nombreuses affaires de «happy slappping» en France Violence ou viol en réunion Réflexion politique et réaction juridique Contrat (exécuté) de tueur à gages (Tokyo) Meurtre pour un baladeur mp3 (Bruxelles) 8

9 Quelques références Pertes de données : ZxIak/Zr2CLvhDs+mLqjtg Attaques : urtre_de_joe.html Violences physiques : Eure: une agression filmée et diffusée sur Internet permet l'arrestation de cinq jeunes (AP, 24/01/2006) Deux adolescents mis en examen pour viols sur une jeune fille de 13 ans (AFP, 12/04/2006) Une adolescente frappée de 3 coups de couteau pour le vol de son portable (AFP, 27/04/2006) Quatre jeunes mis en examen pour avoir agressé un mineur et filmé la scène (28/04/2006) Sévices sexuels sur un Allemand de 14 ans diffusés sur l'internet (AFP, 06/06/2006) Agression filmée: cinq collégiens niçois convoqués devant un juge (AFP, 07/06/2006) Japanese man gets life for murdered ordered on Internet (AFP, 14/06/2006 Un an de prison ferme pour un appel au viol sur internet (AFP, 18/10/2006) Hong Kong man gets community service over flash mob rape Internet post (AFP, 04/10/2006) Projet de loi sur la délinquance: le Sénat veut réprimer le «happy-slapping» (AFP, 02/01/2007) 9

10 Panorama 2006 Les «Mules» : recrutement de particuliers Vol d identité: décorticage d une affaire SPIT : nouvelles opportunités de spamming Manipulation de cours de bourse Vulnérabilités et attaques «0-Day» Ecoutes et enquêtes à haut risque 10

11 Les «Mules» : recrutement de particuliers La problématique : Comment récupérer en cash des fonds illégalement acquis par phishing, troyen keylogger, scam? Solution : Employer un individu (internaute) crédule qui servira d intermédiaire local pour transférer les fonds. Bénéfices attendus : Pour la mule : Entre 5 et 10% des sommes transférées Pour le pirate : Brouiller les pistes. Risques : Pour la mule : Complicité des faits (Escroquerie : 5 ans de prison) Pour le commanditaire : Perte de marge, perte des fonds, heureusement il existe un système de notation sur les forum de carding! 11

12 Les «Mules» : recrutement de particuliers Le profil type Catégorie socio-professionnelle : Très variée Majeur Parlant Anglais Consulte sa messagerie plusieurs fois par jour Possède un compte dans un établissement financier du pays Optionnel : Bonne moralité, téléphone portable Quelle perception Pour la banque : La mule est d abord un client puis un fraudeur Pour la police : La mule est d abord un suspect, Pour la justice : La mule est une victime? Naïve? Crédule? 12

13 Les «Mules» : recrutement de particuliers Campagne de recrutement Mail (Spam) Site Web 13

14 Les «Mules» : recrutement de particuliers Recrutement : Sélection des profils 14

15 Les «Mules» : recrutement de particuliers Signature du contrat de travail et qualification de l employé 15

16 Les «Mules» : recrutement de particuliers La transaction : Etape 1, un «manager» prend contact Etape 2 : Transfert des fonds (transfert d argent en ligne ou via une agence ) 16

17 Les «Mules» : recrutement de particuliers Quelques tendances Les mules sont : de plus en plus nombreuses (une douzaine pour une seule banque française en 2006) impliquées dans 1 voire 2 opérations, rarement plus parfois «multicartes» c.à.d. plusieurs «contrats» de mule rarement internationales systématiquement renvoyées de leur banque impliquées dans des opérations litigieuses aux montants relativement faibles (limités par les plafonds, dépendants de la banque et du contrat de la victime) 17

18 Panorama 2006 Les «Mules» : recrutement de particuliers Vol d identité : décorticage d une affaire SPIT : nouvelles opportunités de spamming Manipulation de cours de bourse Vulnérabilités et attaques «0-Day» Ecoutes et enquêtes à haut risque 18

19 Vol d identité: état des lieux Une réorientation vers le poste client et son propriétaire (Octobre) Importance des PWS Importance du phishing (APWG) PWS : Password stealer pour dérober les mots de de passe Usurpation d identité Francois Paget 19

20 Vol d identité: décorticage d une affaire Chevaux de Troie, rootkits et robots, même combat 11 octobre 2006 Le FBI et le MET (GB) annoncent la découverte d un trafic lié au vol d identité ordinateurs compromis en Grande-Bretagne. Afin d aider la police dans son travail d enquête et d alerte auprès des victimes, un DVD est transmis aux autorités. Il contient plus de fichiers (4,5 Go de textes et des captures d écran) 20

21 Vol d identité: décorticage d une affaire Précision et organisation (du travail de professionnel) 16 octobre 2006 Je me connecte sur le site collecteur Il ne contient «que 643 fichiers relatifs à 4 victimes potentielles françaises» avec : Des coordonnées bancaires Des identifiants pour des sites commerciaux (comptes Amazon, Orange, etc.) Des s émis Etc. 21

22 Vol d identité: décorticage d une affaire Du texte et de l image 17 octobre 2006 Les informations sont (entre autres) transmises à la Police qui a fait le jour même le nécessaire pour prévenir les victimes. 22

23 Vol d identité: décorticage d une affaire Morceaux choisis Des captures variées : banque, achat en ligne, assurance, FAI, site pour adulte, etc. 23

24 Vol d identité: décorticage d une affaire Morceaux choisis Des captures précises comme des relevés bancaires 24

25 Vol d identité: décorticage d une affaire Morceaux choisis Des captures précises comme la gestion d accès à des ressources financières 25

26 Vol d identité: décorticage d une affaire Les limites de cette attaque Le keylogger utilisé ne savait pas gérer les claviers virtuels. 26

27 Vol d identité: décorticage d une affaire Le poste de commande Au travers du flux HTTP (abandon progressif des canaux IRC), 27

28 Vol d identité: décorticage d une affaire Le nom du coupable : Trojan.Anserin alias Torpig ou Sinowal 28

29 Atteinte aux données personnelles Conclusion Aujourd hui, certains claviers virtuels sont déjà vulnérables Les nouvelles versions d Anserin savent gérer 562 sites bancaires prédéfinis 29

30 Panorama 2006 Les «Mules» : recrutement de particuliers Vol d identité : décorticage d une affaire SPIT : nouvelles opportunités de spamming Manipulation de cours de bourse Vulnérabilités et attaques «0-Day» Ecoutes et enquêtes à haut risque 30

31 SPIT : nouvelles opportunités de spamming Déjà un nom : SPIT (SPam over Ip Telephony) Déjà des articles dans la presse spécialisée Déjà une page dans Wikipedia! Déjà des travaux à l IETF Déjà des outils de protection (au moins des prototypes) Quelques cas limités vaguement rapportés pour le moment 31

32 SPIT : nouvelles opportunités de spamming Menaces Comme le spam SMTP, peut traiter une grosse volumétrie appels de 30 secondes envoyés en 5 secondes (démonstrateur) dans un temps limité et à un coût très faible Conséquences spécifiques à prévoir sur les tailles des boîtes de messageries vocales sur les performances des gateways VoIP sur le temps des personnes ciblées, Bientôt du DoS VoIP? 32

33 SPIT : nouvelles opportunités de spamming Protections Protection plus difficile que contre les pourriels Appel VoIP synchrone par nature : il faut décrocher pour se rendre compte qu il s agit de spam analyse de contenu beaucoup plus difficile car il s agit de voix, donc de contenu analogique : technologie de reconnaissance vocale nécessaire De nombreuses solutions envisagées fingerprint des postes émetteurs (de l attaque), tests de Turing (présence d un être humain), systèmes de réputation, assertions SAML, liste noire, biométrie, computational puzzle (par ex., demander le résultat d une opération arithmétique élémentaire) 33

34 SPIT : nouvelles opportunités de spamming En attendant SPIT Appel en absence Appel en masse sur des numéros GSM Communication interrompue dès la première sonnerie Donc pas de facturation pour l attaquant La victime voit que quelqu un a tenté de la joindre, et, parfois, rappelle le numéro Le numéro est surtaxé PS: ce numéro a été désactivé depuis quelques semaines 34

35 Panorama 2006 Les «Mules» : recrutement de particuliers Vol d identité: décorticage d une affaire SPIP : nouvelles opportunités de spamming Manipulation de cours de bourse Vulnérabilités et attaques «0-Day» Ecoutes et enquêtes à haut risque 35

36 Manipulation de cours de bourse par pourriel «Pump and Dump» : L attaquant parvient à convaincre des nombreuses personnes à acheter des actions But : manipuler le cours de bourse, acheter bas et revendre haut Par le passé, des cas de diffusion de fausses nouvelles via des média de type «pull» Défacement de site web, DNS spoofing, envoi de fausses nouvelles dans des forums Aujourd hui, «pump and dump» via des messages de spam 36

37 Manipulation de cours de bourse par pourriel Manipulation de cours financiers appelés Stock Spam Courriels allant de la diffusion de fausses nouvelles à des appels enthousiastes à acheter une action Selon un éditeur antivirus, représente 15 % du spam en 2006, contre 1 % en 2005 Utilisation de botnets pour générer le pourriel Avantages meilleur anonymat pas de problème de mules pour récupérer les sommes comme pour le phishing 37

38 Manipulation de cours de bourse par pourriel Date: Wed, 20 Dec :42: From: Patsy Hunter Subject: were AlgoDyne Ethanol Energy is right in the thick of the high- growth alternative energy sector and they are doing incredible things. Perhaps just as importantly they have begun a massive publicity campaign which is going to have everyone s ear. This one is set to take off! AlgoDyne Ethanol Energy Sym: ADYN Currrent Prrice: $1.35 Shorrt Terrm Tarrget: $3.50 Long Terrm Projjected: $10 AlgoDyne is where it s at. AlgoDyne has developed a turnkey solution in their proprietary micro-algae based process which can produce direct electricity, eco-friendly fuels, and valuable bi-products. The company has just hit its sweet spot in the development phase and is set to release some astounding results. These revelations are being backed up by a far-reaching PR campaign. It is essential to get in early in order to enjoy the biggest gains. Already having built volume and support, come Wednesday, December 20th this one will be appreciating rapidly. Do not delay! Win with ADYN! 38

39 Manipulation de cours de bourse en ligne Déjà, en 2003, un américain de 19 ans se retrouve avec $ d options «PUT» qui ne valent plus rien Il repère des victimes sur des forums et leur envoie une version beta d un outil de gestion d actions L outil contient un keylogger L attaquant récupère le mot de passe du compte de bourse en ligne de la victime, se connecte sur le site, et «s achète» ses «PUT» Perte pour la victime : $ 39

40 Manipulation de cours de bourse en ligne 40

41 Manipulation de cours de bourse en ligne 41

42 Manipulation de cours de bourse en ligne the Commission charged Grand Logistic, S.A., a Belize corporation located in Tallinn, Estonia, and its owner, Evgeny Gashichev, a citizen of Russia, with conducting a fraudulent scheme involving the manipulation of the prices of numerous stocks by the unauthorized use of other people's online brokerage accounts ("account intrusions"). The Commission alleges that, between August 28 and October 13, 2006, Grand Logistic and Gashichev made $353,609 in unlawful profits by conducting at least 25 separate manipulations, involving the securities of at least 21 companies dollars de gain par le piratage de 25 comptes de bourse en ligne 42

43 Manipulation de cours de bourse The Commission's complaint alleges that, to effect his "pump and dump" manipulations, Gashichev purchased shares of small, thinly-traded companies, with low share prices, through an online trading account he opened in the name of Grand Logistic at an Estonian financial services firm that has an omnibus account at a U.S. broker-dealer through which the defendants traded. Often within minutes of the purchase, Gashichev used electronically stolen usernames and passwords to gain unauthorized Internet access to one or more online brokerage accounts (the "intruded accounts") for the sole purpose of pumping up the price of the stock he had just purchased at lower prices Au préalable, achat d actions : petites capitalisations, cours bas 43

44 Manipulation de cours de bourse He also used electronic means to hide his identity, and mask the means by which he intruded into accounts. The complaint further alleges that, without the knowledge or consent of the victimized accountholders, and using the victim's own funds, Gashichev placed orders through these intruded accounts to purchase large blocks of the same stock at artificially inflated prices - often many times the volume of his initial purchases. These purchases created buying pressure and the false appearance of legitimate trading activity, which caused the price of the stock to greatly increase. Gashichev then sold, at a profit, the shares he had earlier purchased in the Grand Logistic account. The share prices of the manipulated stocks invariably fell sharply, and the victims suffered losses in their accounts Utilisation des comptes piratés pour acheter des actions et faire monter les cours puis revente au plus haut cours 44

45 Manipulation de cours de bourse Cas avéré avec 25 comptes de bourse en ligne usurpés avec un profit de $ Conséquence d une telle attaque avec des milliers de comptes compromis via virus, cheval de Troie, keylogger, achat de botnet, etc. 45

46 Panorama 2006 Les «Mules» : recrutement de particuliers Vol d identité: décorticage d une affaire SPIT : nouvelles opportunités de spamming Manipulation de cours de bourse Vulnérabilités et attaques «0-Day» Ecoutes et enquêtes à haut risque 46

47 Vulnérabilités & Attaques «0-day» Plus on en cherche, plus on en trouve

48 Vulnérabilités & Attaques «0-day» Définitions Vulnérabilité : Caractéristique d'un système informatique qui permet à une personne d'entraver son fonctionnement normal, ou qui permet à un utilisateur non autorisé de prendre le contrôle de ce système. Exploit : Programme ou technique utilisant une vulnérabilité découverte au sein d un logiciel informatique. La preuve par l exemple (Proof of Concept POC) n est pas créée, ni publiée, pour nuire mais simplement pour démontrer la faisabilité d un exploit. Une attaque «0-DAY» est plus qu un POC, ou un simple exploit. On parle d attaque «0-DAY» lorsque qu une vulnérabilité non encore couverte a été rencontrée dans la nature (in-the-wild) et donc généralement utilisée à des fins clairement malveillantes. 48

49 Vulnérabilités & Attaques «0-day» Du côté de Microsoft Critiques Importantes Modérées Faibles Année 0-day confirmés 0-day confirmés + non confirmés 2004 N > N > N > Graphique réalisé d après les informations recueillies dans les Synthèses des Bulletins de sécurité Microsoft :: 49

50 Vulnérabilités & Attaques «0-day» Du côté d Apple Critiques Importantes Modérées Faibles Année 0-day confirmés 0-day confirmés + non confirmés Décompte réalisé d après les informations recueillies sur le le site Secunia :: N > N >

51 Vulnérabilités & Attaques «0-day» Du côté des UNIX : beaucoup de vulnérabilités, peu d exploits et pas de bruit Recherche par mots clé pour retrouver le nombre total d avis dans la base Secunia : Apple : 489 Microsoft : 607 Microsoft Office : 66 Microsoft Windows : 380 Internet Explorer : 251 Linux : 5702 SunOS : 5 BSD : 299 Apache : 365 UNIX : 266 Mozilla : 286 Firefox : Total Secunia :: avis environ Cette recherche sans prétention nous laisse supposer que l on annonce 3 à 4 fois plus de vulnérabilités sur les systèmes d exploitation compatibles UNIX que sur les systèmes Windows. Macintosh suit Microsoft de près. 51

52 Vulnérabilités & Attaques «0-day» Du côté des UNIX : volume ne veut pas dire dangerosité S il nous faut admettre que les systèmes d exploitation compatibles UNIX ont fait l objet de nombreux avis, il il n'en est pas de même si l'on analyse la "dangerosité" des attaques potentielles ou rencontrées sur le terrain. Les Avis Suivis, DanGers Potentiels et ALertes émis par le CERT-IST démontrent bien que la menace est principalement du côté de Microsoft. Bien que la situation de vulnérabilité se soit rééquilibrée entre Firefox/Internet Explorer et (UNIX + LINUX)/Windows, en 2006 : les 6 ALertes concernaient le le monde Windows, 8 des 10 DanGers Potentiels concernaient le le monde Windows (les 2 autres MAC OSX), La vingtaine d Avis Suivis concernaient 92 références CVE : 54 références pour l environnement APPLE 36 références pour l environnement MICROSOFT 1 pour UNIX 1 pour Solaris environ Risque Faible Risque Elevé TOTAL MICROSOFT Risque Moyen Risque Très élevé TOTAL LINUX TOTAL UNIX TOTAL APPLE Estimation de gravité pour les vulnérabilités remarquées par le le CERT-IST

53 Vulnérabilités & Attaques «0-day» Le TOP-2x6 du CERT-IST Alertes / DanGers Potentiels CERT-IST CVE CIBLE Messages exploitant la faille "WMF" (CVE ) CERT-IST/AL CVE WINDOWS LIBRARIES Vulnérabilité Internet Explorer "createtextrange()" (CVE ) CERT-IST/AL CVE INTERNET EXPLORER "0-Day exploit" sous Microsoft Word CERT-IST/AL VIRUS (WINDOWS) Exploitation de la faille du service "Serveur" de MS Windows (MS06-040) CERT-IST/AL CVE WINDOWS SERVICES Attaques via la faille "VML" de Microsoft Windows CERT-IST/AL CVE INTERNET EXPLORER Exploitation de la faille "WebViewFolderIcon" dans Microsoft Windows (CVE ) CERT-IST/AL CVE WINDOWS LIBRARIES Vulnérabilités MacOS X impactant Safari et Apple Mail CERT-IST/DG CVE MAX OS X Vulnérabilités MacOS X impactant Safari et Apple Mail CERT-IST/DG CVE MAX OS X "0-Day exploit" sous Microsoft EXCEL CERT-IST/DG CVE MICROSOFT OFFICE "0-Day exploit" sous Microsoft "Powerpoint" CERT-IST/DG CVE MICROSOFT OFFICE Exploitation de la nouvelle faille Microsoft Word 2000 CERT-IST/DG CVE MICROSOFT OFFICE Programme d'exploitation concernant la vulnérabilité "Workstation" sous Windows 2000 (MS06-070) CERT-IST/DG CVE WINDOWS SERVICES MICROSOFT : 10 APPLE : 2 53

54 Vulnérabilités & Attaques «0-day» Les précisions de Secunia "system access" as impact published advisories Le principal impact est un possible accès au système Une année difficile pour Microsoft (ils annoncent 10 attaques 0-day) L exploitation malveillante de certaines vulnérabilités non couvertes pourraient expliquer : la diffusion de DVD de haute qualité pour des films dont l avant première n avait pas encore été réalisée, la recrudescence des fraudes sur Amazon, la divulgation de secrets militaires US retrouvés à la vente sur le marché noir en Afghanistan. 54

55 Vulnérabilités & Attaques «0-day» L année difficile de Microsoft Vulnérabilité CVE 0-day Patch Delta T Microsoft Word Unspecified Code Execution CVE DEC 2006 Microsoft Word Memory Corruption CVE DEC 2006 Microsoft XMLHTTP ActiveX Control Code Execution CVE NOV NOV 2006 MS jours Microsoft Visual Studio WMI Object Broker ActiveX Control Code Execution CVE NOV DEC 2006 MS jours Microsoft Vector Graphics Rendering Library Buffer Overflow Microsoft Word Code Execution Microsoft Visual Basic for Applications Buffer Overflow CVE CVE CVE SEP SEP AUG SEP 2006 MS OCT 2006 MS AUG 2006 MS jours 39 jours 1 jour Temps moyen sans protection : 22 jours Microsoft PowerPoint Code Execution CVE JUL AUG 2006 MS jours Microsoft Excel Multiple Code Execution CVE JUN JUL 2006 MS jours Microsoft Word Malformed Object Pointer CVE MAY JUN 2006 MS jours 55

56 Vulnérabilités & Attaques «0-day» Un marché émergeant avec ses acheteurs et ses vendeurs Aujourd hui, idefense s engage à verser de à dollars à qui lui présentera un code malicieux permettant d'exploiter une vulnérabilité sous Vista Internet Explorer. 56

57 Vulnérabilités & Attaques «0-day» Sous le manteau Prix moyen en 2005 : $ Prix moyen fin 2006 : entre $ et $ En 2007, une vulnérabilité Vista pourrait se monnayer jusqu à : $

58 Vulnérabilités & Attaques «0-day» MoBB & MoKB : est-ce bien raisonnable? Juillet : le mois des failles sur les navigateurs web MSIE: 25 Opera: Apple Safari: 2 1 Konqueror: Mozilla: 2 1 Novembre : le mois des bugs dans le kernel Linux : 10 FreeBSD : 2 Broadcom : 1 MAC OS : 8 SunOS : 1 Netgear : 3 Windows : 1 D-Link :

59 Vulnérabilités & Attaques «0-day» Vous avez dit «fuzzer»? Le fuzzing étend le le concept des essais manuels en y introduisant de l automatisation. En développant des clients spécifiques pouvant générer de larges éventails de requêtes invalides, on pousse le le composant cible dans ses retranchements - bien au delà des possibilités offertes par le le client originel. 0-Days - Recherche et et Exploitation de Vulnérabilités en Environnement Win32 - Kostya Kortchinsky 59

60 Vulnérabilités : des attaques de plus en plus ciblées Conclusion Il n y a plus d attaque de masse ni d attaque bruyante (pas de virus ou ver ayant entraîné une alerte notoire) Dans au moins 3 cas, l exploit utilisé ne l a été qu une seule fois, et à l encontre d une seule entité ou d un seul groupe d individus ciblés Il faut s attendre à des attaques de plus en plus pernicieuses, discrètes et sans doute parfois difficilement décelable (voire non détectées à temps). 60

61 Programmes malveillants Références (1/2) Computer Emergency Response Team - Industrie Services et Tertiaire 61

62 Programmes malveillants Références (2/2) Usurpation d identité Francois Paget UK targeted in computer data theft National Vulnerability Database - Statistics Microsoft : Bulletins de sécurité Sans Intitute : SANS Top-20 Internet Security Attack Targets (2006 Annual Update) Secunia Yearend : Report for Zero Day Ininiative : How does it work? idefense Labs : Vulnerability Contributor Program Windows Vista exploits go to sale Month of Kernel Bugs (MoKB) archive Browser Fun : Month of Browser Bugs (MoBB) archive S amuser en Fuzzant (adaptation française) Wapiti : Logiciel d audit de vulnérabilité web MessageLabs uncovers new Microsoft Word Vulnerability 62

63 Panorama 2006 Les «Mules» : recrutement de particuliers Vol d identité: décorticage d une affaire SPIP : nouvelles opportunités de spamming Manipulation de cours de bourse Vulnérabilités et attaques «0-Day» Ecoutes et enquêtes à haut risque 63

64 Ecoutes et enquêtes à haut risque L année 2006 a été riche en affaires d écoutes sauvages et enquêtes aux méthodes litigieuses. Un volume d incidents qui place ce sujet parmi les faits marquants de l année Le matériel de surveillance et d enregistrement moderne offre des possibilités nombreuses et discrètes. Les données informatisées et de communications recèlent des mines d informations pour qui serait tenté de se les procurer. La vigilance est appelée sur des pratiques risquées qui peuvent exposer l entreprise à des poursuites en Justice. 64

65 Ecoutes et enquêtes à haut risque Les cas présentés ici comportent des affaires en cours. Lorsqu ils n ont pas fait l objet de décisions de Justice définitives, nous vous rappelons que les personnes mises en cause bénéficient de la présomption d innocence. 65

66 Ecoutes et enquêtes à haut risque En 2006, le cas le plus marquant est celui de Hewlett Packard (affaire en cours ): L affaire a été déclenchée aux Etats-Unis après une fuite d informations dans la presse en janvier 2005 : Des medias ont publié des données issues de délibérations du Conseil d administration du groupe informatique américain Hewlett Packard, notamment l intention d évincer la PDG de l époque, Carly Fiorina. 66

67 Ecoutes et enquêtes à haut risque La présidente du Conseil d Administration de l époque, Patricia Dunn commande une enquête pour remonter à l origine de cette fuite. Une liste de numéros de téléphone privés, professionnels et portables de membres du CA aurait été communiquée aux détectives. 67

68 Ecoutes et enquêtes à haut risque Problème : Les détectives auraient eu recours à de fausses identités pour se procurer des relevés téléphoniques personnels de membres du conseil de HP, de cadres de l entreprise, de journalistes. Méthode en cause : le «pretexting» Se faire passer pour une personne pour obtenir les informations souhaitées sur elle. Imposture qui aurait servi aussi à obtenir des informations sur la famille de membres du conseil d administration de HP et de journalistes. 68

69 Ecoutes et enquêtes à haut risque Pour accéder aux informations désirées, par exemple : Accès aux relevés téléphoniques : Par le site web de l opérateur téléphonique à l aide du numéro de téléphone et les 4 derniers chiffres du numéro de sécurité sociale de la personne pour laquelle l enquêteur se faisait passer. Cf. la lettre AT&T en réponse à l un des administrateurs de HP indigné des pratiques dont il a fait l objet, qui a voulu savoir ce qui s était passé, et a démissionné. 69

70 Ecoutes et enquêtes à haut risque Aurait également été utilisé le procédé d s piégés à des fins d espionnage : Envoi d un ciblé avec pièce jointe contenant un cheval de Troie La personne destinataire, si elle exécute la pièce jointe, donne ainsi le contrôle de son ordinateur à celui qui veut l espionner. 70