Panorama de la cybercriminalité année Paris, 13 janvier 2010

Transcription

1 Panorama de la cybercriminalité année 2009 Paris,

2 Le CLUSIF : agir pour la sécurits curité de l informationl Association sans but lucratif(création au début des années 80) > 600 membres (pour 50% fournisseurs et prestataires de produitset/ou services, pour 50% RSSI, DSI, FSSI, managers ) Partage de l information Echanges homologues-experts, savoir-faire collectif, fonds documentaire Valoriser son positionnement Retours d expérience, visibilité créée, Annuaire des Membres Offreurs Anticiper les tendances Le «réseau», faire connaître ses attentes auprès des offreurs Promouvoir la sécurité Adhérer 2

3 La dynamique des groupes de travail Documents en libre accès Traductions (allemand, anglais ) Prises de position publiques ou réponses à consultation Espaces d échanges permanents : MEHARI, Menaces, RSSI 3

4 Une collaboration à l international, des actions en région 4

5 Objectifs du panorama: Apprécier l émergencede nouveaux risques et les tendances de risques déjà connus Relativiser ou mettre en perspectivedes incidents qui ont défrayéla chronique Englober la criminalitéhaute technologie, comme des atteintes plus «rustiques» Nouveauté 2009, élargissement au risque numérique Evénements accidentels accidentel Faits de sociétéet comportements pouvant induire / aggraver des actions cybercriminelles société 5

6 Sélection des événements médias Illustration d une émergence, d une tendance, d un volume d incidents. Cas particulier Impact ou enjeux, Cas d école. Les images sont droits réservés Les informations utilisées proviennent de sources ouvertes Les entreprises sont parfois citées par souci de précision et parce que leur nom a été communiqué dans les médias 6

7 Contributions au panorama 2009 Sélection réalisée par un groupe de travail pluriel : assureur, chercheur, journaliste, officier de gendarmerie et police, offreur de biens et de services, RSSI Best Practices-SI Chartis HSC McAfee RATP SNCF Telindus Agence Nationale pour la Sécuritédes Systèmes d Information (ANSSI) Ambassade de Roumanieen France - Bureau de l Attachéde SécuritéIntérieure Direction Centrale de la Police Judiciaire (OCLCTIC) Gendarmerie Nationale Sûreté du Québec Le choix des sujets et les propos tenus n'engagent pas les entreprises et organismes ayant participé au groupe de travail 7

8 Panorama 2009 (1/3) [évocation] La sécurité du GSM compromise? M. Alain Thivillon Directeur technique HSC Services Généraux sur IP, nouvelle exposition M. Alain Thivillon Directeur technique HSC [évocation] Câbles et ruptures de services M. Pascal Lointier Conseiller sécurité des systèmes d information Chartis pascal.lointier@chartisinsurance.com 8

9 Panorama 2009 (2/3) Cloud computing, virtualisation : haute indisponibilité parfois! M. Pascal Lointier Conseiller sécurité des systèmes d information Chartis pascal.lointier@chartisinsurance.com ANSSI, Retour d expérience sur un déni de service M. Franck Veysset Chef du CERTA ANSSI\COSSI franck.veysset@ssi.gouv.fr Réseaux sociaux : menaces, opportunités et convergences M. Yann Le Bel Conseiller auprès du Secrétaire Général SNCF yann.lebel@sncf.fr 9

10 Panorama 2009 (3/3) Cartes bancaires : vos numéros voyagent M. Fabien David Consultant Sécurité des SI TELINDUS France Fabien.David@telindus.fr Web 2.0 : le 5 ème pouvoir? Mme Isabelle Ouellet Analyste en cybercriminalité - Sûreté du Québec isabelle.ouellet@surete.qc.ca Une entreprise criminelle au microscope M. François Paget Chercheur de menaces McAfee Labs Francois_Paget@avertlabs.com 10

11 Panorama 2009 [évocation] La sécurité du GSM compromise? Services Généraux sur IP, nouvelle exposition [évocation] Câbles et ruptures de services Cloud computing, virtualisation : haute indisponibilité parfois! ANSSI, retour d expérience sur un déni de service Réseaux sociaux : menaces, opportunités et convergences Cartes bancaires : vos numéros voyagent Web 2.0 : le 5 ème pouvoir? Une entreprise criminelle au microscope 11

12 Trois évènements de ce début /12/2009 : au Chaos Computer Congress(Berlin), annonce d avancées majeures dans le cassage du chiffrement GSM, par pré-calcul distribué sur des cartes graphiques, code source public 31/12/2009 : Record battu pour le calcul des décimales de PI (2700 Milliards), par un effort individuel(131 jours de calcul sur un seul PC, 7To de stockage) 8/01/2010 : Annonce par l INRIA (et d autres) de la factorisation d une clérsa 768 Bits : 30 mois de calcul par 1500 CPU La loi de Moore (et l intelligence des algorithmicienset cryptologues) àl œuvre : les puissances de CPU et de stockage permettent des calculs cryptographiques jugés hier réservés à des gouvernements. 12

13 Chaos Computer Congress(CCC) Congrès de «hackers» en Allemagne (Berlin) 26 e édition cette année (26C3) Ne concerne pas seulement la sécuritéinformatique : vie privée, «building things», «Net Activism», Evènement non commercial Beaucoup moins d auto-censure qu à BlackHat Entrée ~ 100 euros Déjà connu pour des annonces sur la sécurité Cassage RFID Cassage Xbox 13

14 La sécurité GSM (2G) Authentification et confidentialitéreposent sur les secrets contenus dans la SIM de l abonnéet dans le réseau opérateur, desquels sont dérivés une cléde chiffrement symétrique utilisée dans un algorithme nommé A5/1 (chiffrement radio). BTS Rand HLR Sres Sres Kc Kc A5/1 (Kc) 14

15 A5/1 Algorithme conçu en 1987 Pas public, reverse-engineeréen 1997 Attaques théoriques publiées depuis cette date, mais peu d impact pratique public En 2008, THC a commencéàpublier du code puis a fait disparaitre le projet (pressions?) A5/2 est un autre algorithme dégradé«export» Cassable en quelques millisecondes Le réseau choisit le chiffrement Manque d authentification mutuelle Le téléphone ne peut pas authentifier le réseau 15

16 Attaque «active» Utilisation d une fausse BTS Projet «OpenBTS» OpenSource + USRP (Décodeur/Encodeur radio) Connecté au réseau téléphonique par Asterisk(GSM SIP) Permet de tester aussi la soliditédu téléphone GSM, dénis de service, Passage en A5/2 et craquage immédiat (utilisépar les solutions commerciales) MCC 208/MNC 01 BTS MCC 208/MNC 01 IMSI USRP + OpenBTS + Asterisk 16

17 Attaque «passive» Le temps de calcul d un dictionnaire complet A5/1: ans d un CPU classique 128 Péta-Octets de stockage Karsten Nohl(DE), cryptologue Déjà connu pour le reverse-engineering et le cassage de RFID Mifare Reprise du travail de THC Utilisation de techniques nouvelles Amélioration des algorithmes et portage sur GPU (Cartes graphiques Nvidia et ATI) Utilisation de «RainbowTables»permettant de restreindre l espace de stockage tout en gardant un temps de calcul raisonnable 17

18 Attaque «passive»-2 Résultats Utilisation de 40 GPU en calcul distribué pendant 3 mois RainbowTables totales de 2 To représentant 99 % de l espace de clés Conséquences Récupération de la cléde chiffrement d une conversation assez longue et décryptage en quelques minutes Possibilitéde déchiffrer avec 50 % de probabilitéla signalisation (SMS ) même sans conversation La partie la plus dure est de «sniffer»le mobile Gestion des sauts de fréquence Utilisation de USRP2 (~2500$) Encore du travail pour faire un produit «tous terrains» 18

19 Réaction GSM Association A hacker would need a radio receiver system and the signal processing software necessary to process the raw radio data. The complex knowledge required to develop such software is subject to intellectual property rights, making it difficult to turn into a commercial product. Moreover, intercepting a mobile call is likely to constitute a criminal offence in most jurisdictions. Puisque la sécuritéest mauvaise, changeons de cible de sécurité 19

20 Et après? Réseaux 3G SIM USIM Utilisation d autres algorithmes (KASUMI) Authentification mutuelle! Réseaux 2G Passage encouragé depuis longtemps à A5/3 (Dérivé des algorithmes 3G) Contraintes opérateurs fortes (fiabilité, charge des réseaux, compatibilité ) Ca n empêche pas l attaque MITM et la dégradation d algorithme Kasumi cassé? Faiblesses connues Nouveau papier hier! (signé par SHAMIR/RSA) Résistance dans 5 ou 10 ans? 20

21 Webographie Conférence CCC (slides + Video) Karsten Nohl GSM Association INRIA/RSA Milliards de décimales de PI, Fabrice Bellard Attaque «Sandwich» sur Kasumi 21

22 Panorama 2009 [évocation] La sécurité du GSM compromise? Services Généraux sur IP, nouvelle exposition [évocation] câbles et ruptures de services Cloud computing, virtualisation : haute indisponibilité parfois! ANSSI, retour d expérience sur un déni de service Réseaux sociaux : menaces, opportunités et convergences Cartes bancaires : vos numéros voyagent Web 2.0 : le 5 ème pouvoir? Une entreprise criminelle au microscope 22

23 Migration IP Après la téléphonie, le reste des infrastructures générales migre sur les réseaux IP : Migration complète (y compris le transport ou les équipements terminaux) ou partielle (supervision, commande, reporting ) Surveillance et accès (portes, badgeuses, caméras, détecteurs présence, détecteurs incendie, humidité ) Climatisation, chauffage, éléments de confort (volets) Energie (onduleurs, électrogènes ) Systèmes SCADA (pilotage, processus industriel ) 23

24 Nouvelles offres/technologies Surveillance du domicile depuis Internet Détection de fumée Orange : SFR HomeScope: Tous nouveaux services M2M : «Internet des objets» ZIGBEE IPv6, s il arrive un jour... permettra d adresser plus facilement les objets du bâtiment/domicile Auto-configuration, intelligence du réseau, mobilité 24

25 Quels risques? Changement radical de l exposition : Technologie plus facile àacquérir par les attaquants Changements d échelle des accès aux éléments sensibles Exemple une centrale d alarme connectée en IP accessible depuis une filiale étrangère Complexitéet intégration des systèmes Le risque informatique peut devenir un risque physique Intrusion par le système d accès Déni de service sur les alarmes, l incendie Vie privée, Chantage 25

26 Vulnérabilités liées à IP Equipements très souvent légers (mémoire, CPU ), système d exploitation moins évolués (RT) et peu éprouvés Risque élevéde déni service sur la couche IP (par flood, déni de service ) Protocoles de communication «portés»et peu résistants Déni de service, boucles, redémarrage Spoofing, interceptions, rejeu Exemples : DefCon17 : Déni de service sur la vraie caméra, puis Injection de flux vidéo («Ocean selevenattack») HSC 2009 : plantage capteur àdistance àtravers la Box, puis génération de fausses alarmes 26

27 Vulnérabilités physiques/infra Comment résister à: Coupure ou perturbations du réseau Ethernet Brouillage Wifi Coupure du Power On Ethernet ou alimentation Perte de l infrastructure IP (DHCP, DNS, Routage ) Attaques par épuisement de ressources (batteries ) Rebonds IP Exemple équipement connectéau GPRS pour la supervision externe _et_ au réseau de l entreprise 27

28 Vulnérabilité des serveurs Très souvent, les serveurs sont livrés par un intégrateur et échappent aux équipes IT : «Vous touchez àrien sinon ça ne marche plus!» La sécuritéest «abandonnée»: Suivi des correctifs Windows (risque sur les vers ) Mots de passe (système, bases de données) Vulnérabilité des interfaces d administration Backups! Accès distants intégrateur Exemples récents HSC : Gestion des Pointeuses avec SQL Server sans mot de passe Serveur de gestion des écoutes d un centre d appel 28

29 Caméras sur Internet 29

30 RTU sur Internet 30

31 Que faire? Reprendre la main Se faire expliquer et comprendre les technologies utilisées, les flux de données, les interfaces Préférer ce qui est norméet ouvert Envisager une segmentation réseau Audits, Tests intrusifs Amener la PSSI à ces équipements Mots de passe, Correctifs, Domaine, bonnes pratiques Intégration, Supervision, Masters, Sauvegardes, PCA Contrats Règles d accès par des Tiers 31

32 Webographie Shodan(Computer Search Engine) Hacking Hospital Defcon 17 - Video Hacking ostrom-sambamoorthy-video_application_attacks.pdf RISKS Digest 32

33 Panorama 2009 [évocation] La sécurité du GSM compromise? Services Généraux sur IP, nouvelle exposition [évocation] câbles et ruptures de services Cloud computing, virtualisation : haute indisponibilité parfois! ANSSI, retour d expérience sur un déni de service Réseaux sociaux : menaces, opportunités et convergences Cartes bancaires : vos numéros voyagent Web 2.0 : le 5 ème pouvoir? Une entreprise criminelle au microscope 33

34 accidentel [évocation] câbles et ruptures de services Année 2008, théorie du complot, entre autres, pour expliquer les «nombreuses» ruptures de câbles sous-marins voixdonnées Août, Malaisie : rupture du câble sous-marin APCN2 (Asia-Pacific Cable Network 2). Le typhon Morakot est présumé coupable. Septembre, câble Colt GB-continent Janvier, Phoenix (USA): sectionnement accidenteldes câbles en fibre optique àproximitéd un centre informatique d une compagnie aérienne. Perturbation du système de gestion et retards pour une centaine de vols 34

35 [évocation] câbles et ruptures de services Avril, Californie (USA) : sectionnement malveillantdes fibres, optiques sur deux sites de la SiliconValley. Forte dégradation des appels aux services d urgence, téléphonie commutée, distributeurs de billets et connexions Internet. Des dizaines de milliers d utilisateurs impactés et, entre autres Sprint, Verizonet AT&T qui offre une récompense de Dollars AT&T informe via Octobre, IdF: perturbation du trafic ferroviaire suite au vol de 200 m de câble électrique. Janvier 2010, Bouches du Rhône : vol de câbles et «paralysie quasitotale» du système de signalisation. 35

36 [évocation] câbles et ruptures de services Novembre, Californie : coupure malveillante des câbles des caméras de surveillance. Décembre, (Etat de N-Y) : coupure de fibre optique affectant toute la région et notamment les services de billetteries et le traitement des transactions bancaires Avril, Massachussetts : le FBI utilise un spyware (CIPAV, Computer and Internet Protocol Address Verifier)pour confondre une tentative de rançons contre Verizon et Comcast après coupures de 18 câbles (2005) Une solution à privilégier : la double adduction physique 36

37 Webographie Ruptures de câbles tdo.html Bay-Area-Telecom-Vandals /

38 Panorama 2009 [évocation] La sécurité du GSM compromise? Services Généraux sur IP, nouvelle exposition [évocation] câbles et ruptures de services Cloud computing, virtualisation : haute indisponibilité parfois! ANSSI, retour d expérience sur un déni de service Réseaux sociaux : menaces, opportunités et convergences Allez en Europe de l'est, votre carte bancaire y est (peut-être) déjà Web 2.0 : le 5 ème pouvoir? Une entreprise criminelle au microscope 38

39 accidentel Cloud computing, virtualisation : haute indisponibilité parfois! Buzz et tendances Virtualisation la virtualisationcomme un ensemble de techniques matérielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systèmes d'exploitationet/ou plusieurs applications, séparément les uns des autres, comme s'ils fonctionnaient sur des machines physiques distinctes (Wikipedia) Cloud computing L'«informatique dans les nuages»permet aux entreprises de réduire leurs coûts en délocalisant leurs contenus et en utilisant des applications àdistance. Mais «c'est un cauchemar pour la sécuritéet elle ne peut pas être traitée par les méthodes traditionnelles», a estiméjohnchambers, PDG de Cisco (01net, 27/04/2009) 39

40 accidentel Cloud computing, virtualisation : haute indisponibilité parfois! Haute disponibilité La haute disponibilitéest un terme souvent utiliséen informatique, àpropos d'architecture de système ou d'un service pour désigner le fait que cette architecture ou ce service a un taux de disponibilité convenable (wikipedia) Pour mesurer la disponibilité, on utilise souvent un pourcentage essentiellement composéde '9': 99% désigne le fait que le service est indisponiblemoins de 3,65 jours par an 99,9%, moins de 8,75 heures par an 99,99%, moins de 52 minutes par an 99,999%, moins de 5,2 minutes par an 99,9999%, moins de 54,8 secondes par an 99,99999%, moins de 3,1 secondes par an Etc. Et pourtant 40

41 accidentel Cloud computing, virtualisation : haute indisponibilité parfois! Quelque part dans le monde (cloud ) pendant l année 2009 mais pour des entreprises prestigieuses : Air New Zealand, Amazon (dont EC2), Barclay s, ebay (Paypal), Google (Gmailentre autres), Microsoft, Over-blog, Rackspace, RIM, Twitter Panne électrique (UPS) et crash disques au redémarrage Feu électrique, destruction du générateur de secours et de l UPS, commutateurs électriques, etc. Mise à jour corrective qui bogue Mauvaise configuration du routage entre 2 Data Center Attaque en DDoS ciblant des ressources DNS dans un Data Center spécifique 41

42 accidentel Cloud computing, virtualisation : haute indisponibilité parfois! L année 2009 n est peut-être pas spécifiquement exceptionnelle mais les incidents sont de plus en plus visibles : alerte viablogs, réseaux sociaux, Twitter Des effets secondaires Temps de redémarrage des serveurs Crash des disques Destruction par incendie, le reste par inondation pour extinction Pénalités (Rackspacecontraint de payer entre 2,5 et 3,5 millions de dollars à ses Clients) Saisie des serveurs (FBI chez Core IP Networks, Texas) Perte de contrats (prestataire mais aussi pour l entreprise commerciale vis-à-vis de ses propres clients) Twitter«interdit»de mise àjour par une Administration le dimanche de juin d une élection 42

43 accidentel Cloud computing, virtualisation : haute indisponibilité parfois! 43

44 accidentel Cloud computing, virtualisation : haute indisponibilité parfois! Problématiques multiples Valider la politique de SSI du prestataire Maîtrise la confidentialitédes informations (au regard du droit et de la contre-intelligence Economique) Identifier la chaîne de responsabilité(légale) lors d un dysfonctionnement 44

45 accidentel Cloud computing, virtualisation : haute indisponibilité parfois! Points de vigilance Clauses du contrat d infogérance, àlire par le Département juridique, l informatique (et la SSI) mais également par les Responsables métiers pour valider les délais de reprise sur incident Contrôler les procédures de sécurité effectives Identifier les sous-traitances et relocalisations possibles et parfois non signifiées au client Apprécier la capacitéde reprise sur incident avec des systèmes mutualisés 45

46 accidentel Cloud computing, virtualisation : haute indisponibilité parfois! La redondance physique des ressources (serveurs, électricité, réseaux) exposée à des défaillances logicielles. Le MTBF (MeanTime BetweenFailure)concerne des pannes physiques pas le déploiement simultanésur toutes les ressources redondantes mais à l identique d une mauvaise configuration (cf. incident HLR), d un correctif bloquant (cf. vous avez le choix ), d une intrusion externe par la télémaintenance (cf. DHS pour CNN, conférence SCADA du CLUSIF) 46

47 Webographie Centres informatiques et Cloud computing l_offre_de_cloud_d_amaz on 47

48 Panorama 2009 [évocation] La sécurité du GSM compromise? Services Généraux sur IP, nouvelle exposition [évocation] câbles et ruptures de services Cloud computing, virtualisation : haute indisponibilité parfois! ANSSI, retour d expérience sur un déni de service Réseaux sociaux : menaces, opportunités et convergences Cartes bancaires : vos numéros voyagent Web 2.0 : le 5 ème pouvoir? Une entreprise criminelle au microscope 48

49 L Agence Nationale de la SécuritS curitédes Systèmes d Informationd Retour d expd expérience sur un Déni D de service Franck Veysset ANSSI/COSSI/CERTA 49

50 Nouvelle stratégie française en matière de défense et de sécurité nationale Livre blanc sur la défense et la sécurité nationale *** Volet Cyberdéfense 50

51 La stratégie de défense et de sécurité nationale Menaces Attentats terroristes Attaques informatiques Menace balistique Pandémie Catastrophes naturelles Criminalité organisée Dom-Com 51

52 Objectifs prioritaires une cyber défense active - Une capacité de détection précoce des attaques systèmes et produits sécurisés -Promouvoir le développement et l utilisation des produits de sécurité Infrastructures vitales Résilience et internet 52

53 L agence nationale de la sécuritédes systèmes d information 7/7/2009 Décret n

54 L ANSSI Agence nationale de la SSI Centre de formation (CFSSI) Communication Stratégie et Réglementation (SR) Systèmes d information sécurisés (SIS) Centre opérationnel (COSSI) Assistance, conseil et expertise (ACE) Relations internationales Réglementation Relations industrielles Centre de certification Stratégie ISIS, RIMBAUD Autres projets Veille CERTA Coordination Plans & exercices Détection Inspections Crypto appliquée Assistance & conseil Architecture mat. & log. Réseaux, proto. et preuves Crypto & composants Sans fil 54

55 Le COSSI Centre Opérationnel de la SSI Coordination Centre de détection (Equipe projet) Bureau plans et exercices Bureau cryptologie appliquée Centre de veille (7/7 24/24) CERTA Bureau inspections en SSI Ministères Opérateurs 55

56 Le CERTA 56

57 L assistance opérationnelle : Le CERTA Rôle préventif Rôle curatif Veille Fourniture de documents Analyse et intervention A priori A posteriori Aide à la décision pour le RSSI La réponse technique à l incident 57

58 2009 et Botnet 2009, année dans la «continuité» Nombreux codes malveillants Conficker Zeus Torpig Spam, vol de données (keylogger, bancaire ), ddos 58

59 Un cas concret Fin mars, une administration française a subit une attaque massive de type DDoS Les services de Web, de messagerie, l accès Internet ont été fortement impactés CERTA, Le CERT gouvernemental Français, est intervenu sur ce dossier La Police française a aussi été impliquée, ce dossier ayant été judiciarisé 59

60 CERTA & Police : actions Le CERTA a étécontactétôt sur ce dossier Gestion de crise Signalement auprès de la Police Le trafic d attaque provient du monde entier Au moins 7000 bots impliqués Identification de systèmes infectés sur le territoire français 60

61 En résumé T0: Démarrage du déni de service distribué(ddos) T0+6h: L opérateur internet met en place un filtrage IP Pas efficace, le DDoS paralyse toujours le site T+12h: Black holing du trafic Web Efficace, mais le DDoS atteint alors son objectif! La messagerie et les autres services sont restaurés T0+20h: Black holing sur les flux internationaux L accès «France» redevient opérationnel T0+24h: fin du DDoS 61

62 DDoS(4/4) Hacker Master system zombies Victim 62

63 Outil de DDoS La Police a identifiédes PC français impliqués dans le DDoS Dans les jours suivant, quelques PC ont étésaisis en «flagrant délit» Le CERTA a étémissionnépour réaliser l analyse «forensic» PC fortement multi-infectés VIRUT, un malware multifonction a étédétectésur plusieurs systèmes 63

64 Virut Comportement de type Virus (win 32) Infection massive des fichiers.exe sur le système Lancement au démarrage Client IRC basique Activité DDoS Téléchargement d un outil de DDOS dédié Adresse IP du serveur cible codée «en dur» 64

65 Fonctionnement d un Botnet(IRC) BotMaster IRC C&C Command Botnet Connexion Exploit Vulnerable User Bot download 65

66 66

67 Retour Ce dossier est encore en cours d analyse Points positifs Dossier «flagrant délit» Le CERTA est intervenu (contacté) très rapidement Points difficiles Virut est très bruyant, analyse complexe Les attaques de type DDoS sont toujours complexes 67

68 Webographie L ANSSI - Le CERTA Portail sécurité grand public Botnet& Ddos Taking over the Torpig botnet The Zeus toolkit 68

69 Panorama 2009 [évocation] La sécurité du GSM compromise? Services Généraux sur IP, nouvelle exposition [évocation] câbles et ruptures de services Cloud computing, virtualisation : haute indisponibilité parfois! ANSSI, retour d expérience sur un déni de service Réseaux sociaux : menaces, opportunités et convergences Cartes bancaires : vos numéros voyagent Web 2.0 : le 5 ème pouvoir? Une entreprise criminelle au microscope 69

70 société Réseaux sociaux Menaces, opportunités et convergences Le choix des sujets et les propos tenus n'engagent pas les entreprises et organismes ayant participé au groupe de travail 70

71 société Réseaux sociaux Menaces, opportunités et convergences WEB 1.0 One to Many Autorité des marques et des organisations Consommateurs soumis WEB 2.0 Many to Many Empower consumer Citoyen acteur (notion de contre-pouvoir et du marketing collaboratif) WEB 3.0 Tendance vers une plus grande interactivité (disparition progressive des difficultés techniques) EVOLUTION Forums / Blogs / Wiki / 71

72 société Réseaux sociaux Menaces, opportunités et convergences 72

73 société Réseaux sociaux Menaces, opportunités et convergences Le panorama de la cybercriminalitéen 2008 avait mis en exergue les points suivants : Le succès des réseaux sociaux attirent les pirates et les opportunistes L atteinte àla «sphère»privée et professionnelle de chaque personne L accroissement du risque pour les entreprises d être victimes de vols d informations, de campagnes de désinformation et de déstabilisation 73

74 société Réseaux sociaux Menaces, opportunités et convergences Les réseaux sociaux attirent encore et toujours les pirates Février 2009 : TweetTornadoet pourriels sur Twitter Mai 2009 : Campagne d hameçonnage sur Facebook 74

75 société Réseaux sociaux Menaces, opportunités et convergences Les réseaux sociaux et protection de la vie privée un concept dépassé? Mai 2009 : Le futur chef des espions anglais en caleçon sur Facebook 75

76 société Réseaux sociaux Menaces, opportunités et convergences Les réseaux sociaux et protection de la vie privée un concept dépassé? Août 2009 : 45% des recruteurs consultent des réseaux sociaux Selon une étude publiée par le site américain de recherche d'emploi Careerbuilder.com, neuf employeurs sur vingt, soit 45 % des sondés, consultent les réseaux sociaux avant d'envisager le recrutement d'un candidat. 29 % d'entres eux se ruent sur Facebook, 26 % sur LinkedIn, 21% sur Myspace, 11 % sur les blogs et 7 % sur Twitter. Ils sont 35 % àavoir renoncéàembaucheraprès avoir visitéles pages Facebook, Twitter ou encore Myspace des candidats potentiels. 76

77 société Réseaux sociaux Menaces, opportunités et convergences Les réseaux sociaux et protection de la vie privée un concept dépassé? Décembre 2009 : Épinglés sur Twitter pour alcool au volant Aux États-unis, les autorités du comtéde Montgomery (Texas) ont décidéd'utiliser Twitter. Pendant les fêtes de fin d'année, les automobilistes arrêtés en état d'ébriétévoient leur identitépubliée sur le compte Twitter de Brett Ligon, procureur de la région. Naturellement, la médiatisation de leur nom ne les exempte pas de poursuites judiciaires habituelles. 77

78 société Réseaux sociaux Menaces, opportunités et convergences Les réseaux sociaux et protection de la vie privée un concept dépassé? 2009 : Prise de conscience et maturitédes internautes A Practical Security Handbook for Activists and Campaigns 8. Computer Security & Internet Privacy : We will not go into much detail on computers here other than to cover the basics. There are a number of sites on the internet which go into computer security and protecting your privacy online in more dept. However, as a bare minimum you should be doing the following 78

79 société Réseaux sociaux Menaces, opportunités et convergences Les réseaux sociaux et protection de la vie privée un concept dépassé? 2009 : Prise de conscience et maturitédes internautes 79

80 société Réseaux sociaux Menaces, opportunités et convergences Les réseaux sociaux et protection de la vie privée un concept dépassé? Janvier 2010 : Facebook et Twitter mettent fin aux suicides virtuels de la Web 2.0 Machine Les réseaux sociaux bloquent l accès au site Web 2.0 Suicide Machine qui permettait à ses utilisateurs de supprimer profils et données personnelles de ses pages. 80

81 société Réseaux sociaux Menaces, opportunités et convergences Les réseaux sociaux et protection de la vie privée un concept dépassé? Janvier 2010 : Pour le fondateur de Facebook, la protection de la vie privée est périmée Après le PDG de Google, Eric Schmidt, c'est au tour de celui de Facebook, Mark Zuckerberg, de s'en prendre àla protection de la vie privée. Si pour Eric Schmidt, le souci de préserver sa vie privée n'était une réalitéque pour les criminels, selon Mark Zuckerbergce n'est tout simplement plus la norme au sein des internautes. «Les gens sont àl'aise, non seulement avec le fait de partager plus d'informations différentes, mais ils sont également plus ouverts, et àplus de personnes. La norme sociale a évolué ces dernières années» a ainsi déclaré Mark Zuckerberg. 81

82 société Réseaux sociaux Menaces, opportunités et convergences Les réseaux sociaux comme support de l activisme Janvier 2009 : 150 jeunes se donnent rendez-vous sur Facebook et déferlent sur le Monoprix de la ville «La préfecture de l'aveyron n'avait jamais vu ça... Il était 16h 30, hier, quand en plein centre-ville de Rodez, une vague déferlante de 150 ados a envahi le Monoprix, boulevard Gambetta. A l'intérieur du magasin des vols sont commis. Puis les jeunes se retrouvent dans les rues de la ville, pénètrent dans d'autres magasins, et en passant, dégradent du mobilier urbain.» 82

83 société Réseaux sociaux Menaces, opportunités et convergences Les réseaux sociaux comme support de l activisme 83

84 société Réseaux sociaux Menaces, opportunités et convergences Les réseaux sociaux comme support de l activisme Mai 2009 : Domino Pizza nous délivre ses secrets sur Dailymotion Chacun ayant le pouvoir potentiel de créer un buzzplanétaire, certains se sentent pousser des ailes: dernière attaque 2.0 en date contre une entreprise, une vidéo postée sur Dailymotionpar deux cuisiniers de la chaîne de restauration Domino's Pizza dans laquelle ils se filment en train de concocter un sandwich répugnant. Une expérience culinaire qui a fait le tour du web,compromettant sérieusement les restaurants de la chaîne. 84

85 société Réseaux sociaux Menaces, opportunités et convergences Conclusion 2010, année de la convergence des «mass media»? 85

86 Conclusion société Réseaux sociaux Menaces, opportunités et convergences 2010: Année de la convergence des «mass media»? Les menaces et les risques présentés en 2008 restent d actualité. Les réseaux sociaux vont devenir un «mass media»àpart entière avec une convergence vers la télévision. Microsoft offre l accès à Facebook, Twitter et aussi LastFM via la console Xbox 360. De nouveaux téléviseurs permettant d accéder directement, via le menu à Facebook, Youtube ou MySpace sans passer par un ordinateur. Les medias participatifs sur Internet, et les réseaux sociaux en particulier sont bien àconsidérer comme un 5 ème pouvoir. 86

87 87

88 Webographie

89 Panorama 2009 [évocation] La sécurité du GSM compromise? Services Généraux sur IP, nouvelle exposition [évocation] câbles et ruptures de services Cloud computing, virtualisation : haute indisponibilité parfois! ANSSI, retour d expérience sur un déni de service Réseaux sociaux : menaces, opportunités et convergences Cartes bancaires : vos numéros voyagent Web 2.0 : le 5 ème pouvoir? Une entreprise criminelle au microscope 89

90 Sommaire 1. Vols massifs de numéros de Carte Bancaire (CB) 2. Nouvelles menaces liées aux DAB (Distributeurs Automatiques de Billets) 90

91 1- Vols massifs de numéros de Carte Bancaire (CB) 91

92 Vols massifs de numéros de Carte Bancaire: Fraude RBS Wordpay RBS Wordpay: Filiale américaine de la «Royal Bank of Scotland» 9 millions de dollars de retraits frauduleux (fin 2008) : Avec des cartes clonées Dans un délai très court Dans 2100 distributeurs de billets Dans 280 villes, 8 pays (E-U, Russie, Ukraine, Estonie, Italie, Hong-Kong, Japon, Canada) Un réseau de mules très organisé 92

93 Vols massifs de numéros de Carte Bancaire: Fraude RBS Wordpay L enquête a identifié: 4 hommes de 25 à28 ans, originaires d Estonie, Russie et Moldavie (mi- 2009) Quelques mules (rémunérées de 30 % à50 % des sommes retirées) Une intrusion sur le réseau, avec le vol de 1,5 millions de numéros de cartes bancaires avec leur code PIN (entre autres) Une méthode de contournement pour déchiffrer les codes PIN, pourtant stockés chiffrés Ces informations ont suffit pour créer des clones de carte àpiste magnétique Le changement des plafonds de retrait de ces cartes Une supervision de l opération depuis le réseau corrompu, puis l effacement de leurs traces 93

94 Vols massifs de numéros de Carte Bancaire: Fraude en Espagne Vol de centaines de milliers de CB en Espagne en octobre 2009 : Nombreux retraits et paiements frauduleux Pays touchés : Allemagne (principalement) mais aussi la Suède, la Finlande et l Autriche En Novembre : VISA a alertéses clients d un vol important de numéros de CB en Espagne dans une compagnie espagnole Recommandations de réémettre les cartes sans puce EMV Très peu évoqué dans la presse française Peu d information disponible, investigation en cours Serait dûàun vol de données informatiques auprès d un prestataire de service ou d un opérateur de télécommunication 94

95 Vols massifs de numéros de Carte Bancaire: Fraude Heartland aux US Intrusion dans les systèmes informatiques de l opérateur «Heartland Payment Systems»et la chaîne de supermarché«hannafordbrothers» Les données bancaires étaient revendues sur Internet (de $10 à $100 par CB) Installation d un malware très performant et discret, permettant d intercepter les transactions sur CB en temps réel avant leur encodage D octobre2006 àmai2008, les hackers ont pu siphonner les numéros de 130millions de cartes, leurs dates d expiration et parfois l identitédes porteurs de carte Les données volées étaient transférées sur des serveurs à l'étranger Effacement des traces du passage 95

96 Vols massifs de numéros de Carte Bancaire: Fraude Heartland aux US L enquête a identifiéles auteurs mi-2008, dont un certain «Albert Gonzales»: Il est arrêtéune 1 ère fois ànew York en 2003 pour piratage Il échappe à la prison en devenant informateur Il permet au FBI d'identifier 28 hackers (mais peu d arrestations) En mai 2008, il est identifiéet mis en détention préventive àbrooklyn pour son implication dans l affaire TJX (fraude record en 2006 de 40 millions de CB piratés) Mi-2009, la police découvre son implication dans ce vol de 130 millions de CB entre octobre 2006 et avril 2008 Deuxième série d'inculpations : il risque 35 ans de prison 96

97 2- Nouvelles menaces liées aux DAB 97

98 Nouvelles menaces liées aux DAB : Rapport de l ENISA : ENISA = Agence européenne chargée de la sécurité des réseaux et de l'information Publication d un rapport sur l augmentation inquiétante des délits liés aux guichets automatiques bancaires : Perte collective de 485 millions d'euros en 2008 en Europe ( attaques déclarées) 75 % des fraudes hors des pays oùla carte a étédélivrée, car 90 % des banques en Europe utilisent des puces EMV Les fraudes sont réalisées dans les pays oùles distributeurs utilisent encore la piste magnétique 98

99 Nouvelles menaces liées aux DAB : Rapport de l ENISA : L'attaque la plus commune s'appelle «skimming»: Ajout d un dispositif sur le DAB pour enregistrer la bande magnétique ou bloquer la carte bancaire Souvent couplée àun dispositif discret permettant la capture du code confidentiel (faux claviers, caméras pointant sur le clavier..) Cependant, le rapport ENISA rappelle que les distributeurs utilisent souvent des systèmes d'exploitation du commerce, du matériel standard et s appuient de plus en plus sur des réseaux TCP/IP => Conséquence, ils peuvent être infectés par des malwares et des virus Comme tout système informatique, les correctifs de sécuritédoivent être testés, puis déployés 99

100 Nouvelles menaces liées aux DAB : Compromission de DAB en Europe de l Est En mars 2009, Sophosidentifie le 1 er Malware spécifique pour les distributeurs de billets En mai 2009, les experts sécuritéde Trustwaveconfirment la découverte Ce Malware était spécifique pour une marque et des modèles précis de DAB Des inspections ont eu lieu pour repérer les DAB infectés : L Europe de l Est (Russie, Ukraine) principalement touchée Un correctif a été créé par l industrie 100

101 Nouvelles menaces liées aux DAB : Compromission de DAB en Europe de l Est Caractéristiques du malware Une fois activé, il injecte un code dans les processus en mémoire, pour récupérer les informations des transactions passées Il récupère les données nécessaires (dont code PIN saisi), et stocke le tout dans un fichier Il filtre les seules transactions valides, et uniquement en devises russes, ukrainiennes et américaines Il s appuie sur des instructions non documentées par le constructeur, ce qui laisse présager des complicités internes Plusieurs évolutions du malware ont été identifiées 101

102 Nouvelles menaces liées aux DAB : Compromission de DAB en Europe de l Est Mode opératoire: Pas de propagation par les réseaux : installation au coup par coup Leur installation physique dans le DAB n est pas clair : soit par complicité d un dabiste ou d un agent de maintenance soit l utilisation directe d une carte de maintenance clonée Plusieurs mois après, on envoie une mule récupérer les informations collectées : Ils activent un menu à l aide d une carte spécifique Ils lancent une impression sur l imprimante embarquée Une autre option permettait de vider le coffre du distributeur Certaines informations sont chiffrées en DES, avant impression Une évolution non opérationnel devait permettre de récupérer les informations directement sur une carte de stockage 102

103 Nouvelles menaces liées aux DAB : Les distributeurs de billets d occasion Possibilitéd acheter des DAB d occasion sur des sites d enchères, ou de petites annonces : Pour développer un virus ou un malware Pour récupérer des informations sur le disque dur Pour le transformer en DAB factice Ex: Conférence du Defcon

104 Nouvelles menaces liées aux DAB : D autres menaces à découvrir Conférence annulée àblackhat2009, sous la pression d industriels et d établissements financiers Les menaces sur les distributeurs ne sont pas toutes malveillantes : Bug du passage àl an 2010 en Allemagne Retrait à l étranger sans plafond d une banque anglaise Erreur de chargement ou de maintenance à Lorient Indisponibilité du réseau informatique des DAB chez Barclays Expérimentation houleuse en Afrique du Sud 104

105 Webographie Fraude RBS WordPay Vol de CB en Espagne HeratLand& Albert Gonzales Rapport ENISA Malware pour DAB Autres Menaces / Dysfonctionnements DAB Factice 105

106 Panorama 2009 [évocation] La sécurité du GSM compromise? Services Généraux sur IP, nouvelle exposition [évocation] câbles et ruptures de services Cloud computing, virtualisation : haute indisponibilité parfois! ANSSI, retour d expérience sur un déni de service Réseaux sociaux : menaces, opportunités et convergences Cartes bancaires : vos numéros voyagent Web 2.0 : le 5 ème pouvoir? Une entreprise criminelle au microscope 106

107 Web 2.0, le 5 ème pouvoir? Isabelle Ouellet Analyste en cybercriminalité Bureau de coordination des enquêtes sur les délits informatiques (BCEDI) Sûreté du Québec 107

108 société Web 2.0, le 5ème pouvoir? DIFFUSION D INFORMATION En temps réel Par de simples citoyens Facile et offrant une grande visibilité RÉSULTAT Institutions perdent leur autorité exclusive 1. Médias => gouvernements 2. Forces policières 3. Autres 108

109 société Exemples d information en temps réel Lecture en transit (streaming) Musique (Deezer, Lala) Films (streamov,saficity) Même les torrents 109

110 société Exemples d information en temps réel Informatique dans les nuages (cloud computing) Moteurs de recherche en temps réel Collecta Twitter Google 110