Panorama de la cybercriminalité année 2008

Panorama de la cybercriminalité année 2008 version b

Le CLUSIF : agir pour la sécurits curité de l informationl Association sans but lucratif(création au début des années 80) > 600 membres (pour 50% fournisseurs et prestataires de produitset/ou services, pour 50% RSSI, DSI, FSSI, managers ) Partage de l information Echanges homologues-experts, savoir-faire collectif, fonds documentaire Valoriser son positionnement Retours d expérience, visibilité créée, Annuaire des Membres Offreurs Anticiper les tendances Le «réseau», faire connaître ses attentes auprès des offreurs Promouvoir la sécurité Adhérer 2

La dynamique des groupes de travail Documents en libre accès Traductions (allemand, anglais ) Prises de position publiques ou réponses à consultation Espaces d échanges permanents : MEHARI, Menaces, RSSI 3

Des actions en région, une collaboration à l international 4

Objectifs du panorama: Apprécier l émergencede nouveaux risques et les tendances de risques déjà connus Relativiser ou mettre en perspectivedes incidents qui ont défrayé la chronique Englober la criminalitéhaute technologie, comme des atteintes plus «rustiques» 5

Contributions au panorama 2008 Sélection réalisée par un groupe de travail pluriel : assureur, chercheur, journaliste, officier de gendarmerie et police, offreur de biens et de services, RSSI AIG Europe Best Practices-SI HSC Kroll Ontrack McAfee Orange SNCF Websense Direction Centrale de la Police Judiciaire (OCLCTIC) Gendarmerie Nationale Parquet Général, Cour d Appel de Versailles Sûretédu Québec Le choix des sujets et les propos tenus n'engagent pas les entreprises et organismes ayant participé au groupe de travail 6

Sélection des événements médias Illustration d une émergence, d une tendance, d un volume d incidents. Cas particulier Impact ou enjeux, Cas d école. Les images sont droits réservés Les informations utilisées proviennent de sources ouvertes Les entreprises sont parfois citées par souci de précision et parce que leur nom a été communiqué dans les médias 7

Retour sur le panorama 2007 Mondes virtuels : l appât du gain Arrêtée pour avoir tuéson mari virtuel Divorce réel après un adultère virtuel Perturber, déstabiliser Attaques en réputation Condamnation CastleCops Le président de la F1 dans une vidéo SM Test de carding sur des œuvres caritatives Le hacking pour focaliser l attention? Déforestation brésilienne (hacking et modification des permis d abattage) Espionnage industriel Un cadre d un fabricant de pneumatiques français tente de revendre des informations àun concurrent Le cyber-espionnage devient B2B Vente de secrets industriels d un constructeur d avions français Réseaux sociaux, opportunités de malveillance/renseignement Procès Josh dans l affaire du suicide de l adolescent Confer infra 8

Retour sur le panorama 2007 Sophistication des attaques Kraken encore plus performant que Storm Icann réagit face aux Domain tasters Encore 6 000 sites web découverts comme contaminés par iframe Enjeux malveillants sur le ecommerce Fraude aux cartes bancaires via Internet Multiples arrestations en Roumanie Escroqueries via les sites d enchères Evocation de faits marquants «Cyber-guerre» Estonie La Lituanie, le Tibet, Radio Free Europe, coupure du GSM en Afghanistan, etc. Cyber-attaques «chinoises» L inde accuse la Chine Enjeux de sécurité sur les infrastructures SCADA CIA évoque des blackouts électriques suite à des cyber-attaques Piratage du réseau téléphone de la FEMA (Federal Emergency Management Agency, E-U)) Condamnation de l informaticien ayant saboté les feux de circulation à Los Angeles (E-U) 9

Webographie http://www.independent.co.uk/life-style/gadgets-and-tech/news/woman-jailed-after-killing-virtual-husband-972457.html http://technology.timesonline.co.uk/tol/news/tech_and_web/article5002721.ece http://uk.reuters.com/article/lifestylemolt/iduktre4ad39g20081114 http://www.networkworld.com/news/2008/061008-hacker-pleads-guilty-to-attacking.html http://www.theregister.co.uk/2008/10/13/castlecops_attacker_sentenced/ http://www.theregister.co.uk/2008/04/18/mosley_sues_again/ http://blogs.iss.net/archive/rainforesthackers.html http://www.lefigaro.fr/societes-francaises/2008/01/16/04010-20080116artfig00338-un-espion-presume-chezmichelin.php http://www.infoworld.com/article/08/01/15/cyber-espionage-moves-into-b2b_1.html http://fr.reuters.com/article/technologynews/idfrman56193920080125 http://news.zdnet.co.uk/security/0,1000000189,39292445,00.htm http://www.usatoday.com/news/nation/2008-11-14-327594069_x.htm http://www.theregister.co.uk/2008/04/07/kraken_botnet_menace/ http://www.theregister.co.uk/2008/01/30/icann_to_stamp_out_domain_tasting/ http://www.theregister.co.uk/2008/01/23/booby_trapped_web_botnet_menace/ http://www.zataz.com/news/17130/demantelement--reseau-international--hameconnage--phishing.html http://www.7sur7.be/7s7/fr/1503/multimedia/article/detail/332300/2008/06/30/la-lituanie-se-plaint-d-avoir-subi-descyberattaques.dhtml http://www.upi.com/emerging_threats/2008/05/02/us-belarus_row_escalates_after_cyberattack_expulsions/upi- 24681209747593/ http://uk.reuters.com/article/latestcrisis/idukisl8417720080315 http://www.infowar-monitor.net/modules.php?op=modload&name=news&file=article&sid=1670 http://www.informationweek.com/news/internet/showarticle.jhtml?articleid=205901631 http://www.theregister.co.uk/2008/08/21/dhs_phonesystem_hacked/ http://www.theregister.co.uk/2008/11/06/traffic_control_system_sabotage/ 10

Panorama 2008 Web 2.0 et réseaux sociaux : les menaces se précisent Sécurité hardware et confiance sur Internet Chip hacking : essor du piratage des circuits électroniques Routage d Internet : erreurs, malveillances, opportunités La criminalité organisée et le numérique Effets d annonce et failles de sécuriténon exploitées : quelle est la réalitéde la menace? Du sabotage interne aux atteintes de sécuritésur les infrastructures 11

Conférenciers M. François Paget Chercheur de menaces McAfee Avert Labs Francois_Paget@avertlabs.com M. Franck Veysset Expert senior Orange Labs franck.veysset@orange-ftgroup.com LCL Eric Freyssinet Chargé des projets cybercriminalité Direction Générale Gendarmerie Nationale eric.freyssinet@gendarmerie.defense.gouv.fr M. Hervé Schauer Consultant en sécurité des systèmes d information HSC Herve.schauer@hsc.fr M. Pascal Lointier Conseiller sécurité de l information AIG Europe Pascal.lointier@aig.com 12

Panorama 2008 Web 2.0 et réseaux sociaux : les menaces se précisent Sécurité hardware et confiance sur Internet Chip hacking : essor du piratage des circuits électroniques Routage d Internet : erreurs, malveillances, opportunités La criminalité organisée et le numérique Effets d annonce et failles de sécuriténon exploitées : quelle est la réalitéde la menace? Du sabotage interne aux atteintes de sécuritésur les infrastructures 13

Source: http://www.rezonance.ch/fs- search/download/skoch_rezonance_reputation_160108-2s.pdf?version_id=1971752 Web 2.0 & Réseaux Sociaux : les menaces se précisent 14

Web 2.0 Une définition parmi bien d autres Le Web 2.0 pourrait être vu comme un réseau social mondial où chaque site participant est acteur du réseau et contribue à rendre acteurs les internautes L utilisateur consulte Thierry Gagnaire http://www.neteco.com/128670-web-tribunethierry-gagnaire.html L utilisateur interagit 15

Réseaux Sociaux Caractéristiques communes Un profil utilisateur Une recherche parmi les utilisateurs Une offre de mise en communication entre utilisateurs Une incitation àdonner de l information Les réseaux sociaux possèdent tous le même fonctionnement : on crée son profil (infos personnelles, photos, centres d'intérêt) et l on invite ses «amis» à nous rejoindre. Skyrock (pour la France), puis Myspace et Facebook sont en tête des plateformes les plus visitées 16

Réseaux Sociaux = Partage Tout se partage Partage de vidéos Youtube, DailyMotion Partage de podcasts(fichiers audio) Podemus, Radioblog Partage de photos et de diaporamas Flickr, Fotolia, SlideShare Partage de CV, mise en relation Réseaux généralistes: Facebook, MySpace, Copainsdavant Réseaux professionnels: LinkedIn, Viadeo Réseaux de chercheurs: Scilink Partage de signets(marque-pages Internet) Del.icio.us, Blogmarks Partage d informations et de savoir Wikipédia, AgoraVox «Plus d'un quart des jeunes collaborateurs passent trois heures, quelquefois davantage, sur des sites web tels que YouTube ou MySpace pendant leur temps de travail» (source Clearswift - 2007) 17

Réseaux Sociaux Des menaces qui évoluent Année 2005 : «J ai 19 ans, etc.» (j utilise l e-mail). Année 2008 : «J ai 22 ans, etc.» (j utilise LinkedIn) Avant Maintenant Exemple: scam 419 18

Réseaux Sociaux Des criminels motivés et des opportunistes Malware, Vulnérabilités, Spam, Phishing Vers, virus, Trojan, Widgets «Wall Spam» Attaques XSS, Fichiers «GIFAR»(GIF + JAR) Renseignements, Espionnage Collecte Agrégation Concaténation de Données Atteinte à la Réputation des Entreprises et des Personnes Manipulation, Harcèlement (stalking), Intimidation (bullying) Danger de l indélébilité 19

Réseaux Sociaux Menaces ordinaires Malware W32/Koobface.A.worm(MySpace) Propagation lorsqu un usager accède à son compte MySpace Création d une série de commentaires dans les comptes d amis W32/Koobface.B.worm(Facebook) Cible les usagers de Facebook Génération de spam à destination des amis Plus de 25 variantes en 2008 20

Réseaux Sociaux Menaces ordinaires Failles de sécurité de type «Cross Site Scripting» (XSS) Les failles de type XSS peuvent donner la possibilité à un attaquant distant de «voler» la session d un utilisateur ou de mener des attaques de type phishing. Colonne1 FIXED UNFIXED déc-08 1 déc-08 1 déc-08 1 déc-08 1 oct-08 1 sept-08 1 juil-08 1 juin-08 1 juin-08 1 mai-08 1 mai-08 1 mai-08 1 mai-08 1 avr-08 1 avr-08 1 mars-08 1 févr-08 1 févr-08 1 janv-08 1 janv-08 1 Total 2 18 21

Réseaux Sociaux Menaces ordinaires Spam Un Canadien, Adam Guerbuez, et sa compagnie Atlantis Blue Capital, sont poursuivis par Facebook Entre les mois de mars et avril 2008, il aurait envoyé plus de quatre millions de messages non sollicités à des usagers du réseau, après avoir frauduleusement obtenu l'accès à des comptes d'utilisateurs Les messages, provenant soi-disant de contacts ou d'autres membres, proposaient notamment de la marijuana médicinale ou des pilules stimulant la virilité Le 28 novembre, il est condamné à payer 873 millions de dollars à Facebook Source images: http://www.alleyinsider.com/2008/8/facebook-s-virusreappears-but-facebook-s-vaccine-works-as-advertised 22

Réseaux Sociaux Menaces ordinaires Phishing & Typo-Squatting Les faux e-mails et les sites miroirs se multiplient. Avec le typo-squattingle fraudeur dépose un nom de domaine proche de celui du site dont il souhaite détourner une partie du trafic. Il espère qu une faute d attention (faute de frappe, lecture trop rapide) entrainera la victime vers le site miroir. 23

Réseaux Sociaux Menaces ordinaires Botnet & Social Engineering - Facebot Des chercheurs mettent à disposition une preuve de concept (PoC) démontrant que Facebook peut servir de support à un nouveau type de réseau de machines zombies (botnet) Sous couvert d une application proposant chaque jour une photo du National Geographic, ils utilisent la balise IMG du langage HTML, pour piloter une attaque en DDoS A chaque clic, alors qu une nouvelle photo est affichée, une série de requêtes HTTP est émise par le poste demandeur en direction de sa cible. Malgré l absence de publicité, de nombreux utilisateurs découvrent l application et l installent Ciblant MySpace, des démos semblables avaient été présentées à BlackHat/Defcon en août 2008. 24

Réseaux Sociaux Risque pour l individu Les amis d aujourd hui, ne seront pas forcément ceux de demain e-reputation Un député suisse se fait filmer par sa maîtresse, avec son téléphone portable Il rompt avec celle-ci Elle envoie le film à un «ami» qui le transmet ensuite à un journaliste Les médias s emparent de l affaire Il perd son mandat politique ainsi que d autres prérogatives 25

Réseaux Sociaux Risque pour l individu Mauvaises rencontres Les adolescents se dévoilent trop sur les sites communautaires Novembre 2008: une jeune fille mineure rejoint un homme qu elle a rencontré sur Internet «soustraction de mineur en état de récidive légale» «atteinte sexuelle sur mineur de 15 ans avec pour circonstance aggravante l'usage de moyens de communication électronique» 26

Réseaux Sociaux Risques pour l individu Fausses identités : du jeu à la manipulation On ne compte plus le nombre de faux profils liés à des personnalités politiques ou artistiques Au début 2008, un marocain est condamné à 3 ans de prison pour avoir créé un profil Facebook en usurpant le nom d un membre de la famille royale du roi Mohamed VI. Il est libéré un mois plus tard Se présentant illégitimement comme une journaliste au Monde, Rachel Bekerman, a su se créer un tissu relationnel de plus de 1200 personnes, dont de nombreux journalistes, sans jamais dévoiler son identité 27

Réseaux Sociaux Risques pour l individu Divulgation d informations qui peuvent, par ailleurs, s avérer sensibles Les réponses aux «questions mystères»qui permettent la réinitialisation de mots de passe peuvent parfois se retrouver dans les profils créés au titre de tel ou tel réseau social La question mystère protégeant le compte Yahoo de Sarah Palin (septembre 2008) était «Où avez-vous rencontré votre mari?» Réponse: «Wasilla High School» 28

Réseaux Sociaux Risques pour l individu (comme pour l entreprise) 29 Amour, doute, incertitude, trahison L employéest monogame, la manière dont il vit sa relation avec l entreprise est en partie émotionnelle. L entreprise quant à elle, est polygame, sa relation àl employéest généralement plus factuelle Mars 2008 : A Cholet, un salariéde Michelin est licenciéaprès avoir postésur Internet des messages dénigrant son employeur. Dans sa lettre de licenciement, Michelin évoque une «obligation de loyauté» envers l entreprise 29

Réseaux Sociaux Risques pour l entreprise Atteinte à la réputation Reprise d un reportage TV, mais changement du titre de la vidéo Sa visualisation s en trouve démultipliée http://www.dailymotion.com/video/x3awn1_pfizer-contaminedes-enfants-africa Une vidéo montre comment un simple stylo permet l ouverture d un cadenas pour vélos de la société Kryptonite L affaire va prendre des proportions inquiétantes Source: http://www.rezonance.ch/fs- search/download/skoch_rezonance_reputation_160108-2s.pdf?version_id=1971752 30

Réseaux Sociaux Risques pour l entreprise Atteinte à la réputation Jeff Bezos, PDG de la boutique en ligne Amazon : «Si vous rendez vos clients mécontents dans le monde réel, ils sont susceptibles d en parler chacun à 6 amis. Sur internet, vos clients mécontents peuvent en parler chacun à 6000 amis» Créer un blog => 2 minutes Indexer un billet => 5 minutes Créer une vidéo avec son téléphone => 10 minutes Mettre la vidéo sur Youtube => 15 minutes Source: http://www.rezonance.ch/fs-search/download/skoch_rezonance_reputation_160108-2s.pdf?version_id=1971752 31

Réseaux Sociaux Risques pour la Société Entre appel à la violence et web-révolution En France, après les violences urbaines de novembre 2005, des bloggeurs furent interpellés pour «provocation à une dégradation volontaire et dangereuse pour les personnes par le biais d Internet» Même si cette situation se retrouve aujourd'hui en Grèce (décembre 2008), Internet semble plutôt être utilisé comme un outil d information cherchant à remettre en cause, via des vidéos amateurs, les annonces officielles faites par le gouvernement du pays 32

Réseaux Sociaux Risques pour la Société Revendications, propagande, façonnage de mythes Septembre 2008 As Sahab, l un des organes de production proche d Al-Qaeda diffuse depuis longtemps ses messages qui se retrouvent ensuite disséminés sur la toile Décembre 2008 Sur Facebook, des centaines d adhésions sont apportées à des groupes glorifiant les parrains de Cosa-Nostra Décembre 2008 YouTube et Twitter se retrouvent au cœur du conflit israélo-palestinien 33

Réseaux Sociaux Risques pour la Société Désinformation, activisme, aide au terrorisme Des théories fausses ou fantaisistes et de la désinformation se retrouvent dans certains articles de Wikipedia : Église de Scientologie Machines à voter Diebold Attentats du 11/09/2001 http://www.fas.org/irp/eprint/mobile.pdf Des organisations terroristes ont leurs propres «réseaux sociaux» Des groupes d activistes utilisent les réseaux sociaux pour diffuser leurs idées 34

Réseaux Sociaux Risques pour la Société Twitter Twitter est un outil de réseau social et de microblogging, qui permet à l'utilisateur de signaler à son réseau "ce qu'il est en train de faire". Il est possible d'envoyer et de recevoir ces updates (mises à jour) par le Web, par messagerie instantanée ou par messagerie numérique On appelle ces updates des tweets (gazouillis en anglais): ils sont courts, d'une longueur maximale de 140 caractères, ce qui permet de mettre à jour son Twitter de manière brève et spontanée http://labs.aljazeera.net/warongaza/ Nota: Tout comme pour Facebook ou Myspace, le compte Twitter d un utilisateur peut être piraté. Parmi les récentes victimes de ces attaques citons Britney Spears et Barack Obama 35

Réseaux Sociaux Risques pour la Société Diffusion involontaire d informations sensibles Twitter pourrait s avérer très utile à des activités terroristes Les blogs militaires (warblogs) inquiètent aussi les états majors en matière de fuite d informations. Si une image réelle qui ne devait pas être montrée pose problème, une image hors contexte ou truquée en pose un autre 36

Les Réseaux Sociaux Les Menaces se Précisent Conclusion Dans un avenir plus ou moins proche, les mondes virtuels et les réseaux sociaux seront amenés àse rejoindre. La frontière entre le ludique et le professionnel s en trouvera réduite. Le danger sera encore plus grand La plupart des offres de «réseautage»sont fondées sur des modèles économiques de profit. Outre les risques de détournement, les données (personnelles) stockées ne risquent-elles pas d être réutilisées à des fins mercantiles? Finlande, 11 novembre 2007, sous le pseudonyme Sturmgeist89 le meurtrier avait posté plusieurs vidéos sur YouTube Finlande, 23 septembre 2008, sous le pseudonyme Wumpscut86 le meurtrier avait posté plusieurs vidéos sur YouTube 37

Les Réseaux Sociaux Les Menaces se Précisent Conclusion Points de Vigilance Les menaces ordinaires s adaptent aux réseaux sociaux : les sites communautaires sont, àleur tour, la cible de virus, de spam, de phishing, de vol d identité et de failles de sécurité La «sphère privée»de chaque individus amenuise de jour en jour: On dévoile des pans entiers de sa vie privée (et professionnelle) sans toujours en avoir conscience Sans notre consentement, d autres individus s expriment ànotre sujet ou diffusent des photos Une fois diffusée, l information devient indélébile : elle ne peut plus être supprimée 38

Les Réseaux Sociaux Les Menaces se Précisent Conclusion Points de Vigilance L entreprise est aussi vulnérable : En multipliant la communication non institutionnelle, les employés peuvent, volontairement ou non, porter atteinte àl image de marque de leur entreprise et diffuser des informations inappropriées, sensibles ou confidentielles. Par jeu, par intérêt ou par vengeance, des rumeurs ou des campagnes de désinformation peuvent très vite engendrer des pertes financières conséquentes Nos sociétés sont aussi menacées : La propagande et la désinformation peuvent aussi les atteindre Des extrémistes isolés et des groupes de déstabilisation (voire terroristes) peuvent recruter des adeptes, s exprimer et trouver des information sensibles qu ils pourront ensuite réutiliser pour porter atteinte à l ordre public 39

Webographie «Qu est-ce que le Web 2.0?»: http://www.neteco.com/128670-web-tribune-thierry-gagnaire.html Qu'est ce que les réseaux sociaux: http://www.ed-productions.com/leszed/index.php?qu-est-ce-que-les-reseauxsociaux Fréquentation des réseaux sociaux: http://web-2-geek.blogspot.com/2008/07/frequentation-des-reseauxsociaux.html Le Web 2.0 favoriserait la fuite d'informations: http://www.lemondeinformatique.fr/actualites/imprimer-le-web- 20-favoriserait-la-fuite-d-informations-22459.html Ever put your CV on a job site?: http://www.avertlabs.com/research/blog/index.php/2008/07/14/ever-put-your-cvon-a-job-site/ Facebook s Virus Reappears, But Facebook's Vaccine Works As Advertised: http://www.alleyinsider.com/2008/8/facebook-s-virus-reappears-but-facebook-s-vaccine-works-as-advertised Antisocial Networks: Turning a Social Network into a Botnet: http://www.ics.forth.gr/~elathan/publications/facebot.isc08.pdf Un salarié de Michelin licencié pour s'être épanché sur le net: http://www.lefigaro.fr/actualite- france/2008/12/13/01016-20081213artfig00580-un-salarie-de-michelin-licencie-pour-s-etre-epanche-sur-le-net-.php Jail for Facebook spoof Moroccan: http://news.bbc.co.uk/2/hi/africa/7258950.stm La justice se penche sur le cas du hacker de Sarah Palin: http://www.silicon.fr/fr/news/2008/10/09/la_justice_se_penche_sur_le_cas_du_hacker_de_sarah_palin Israël attaque Gaza sur YouTube: http://www.infos-du-net.com/actualite/15032-israel-gaza-youtube.html Sur Facebook, les mafiosi sont sympas: http://www.lemonde.fr/europe/article/2009/01/07/sur-facebook-lesmafiosi-sont-sympas_1138748_3214.html AlQaida-Like Mobile Discussions & Potential Creative Uses: http://www.fas.org/irp/eprint/mobile.pdf A DigiActive Introduction to Facebook Activism: http://www.digiactive.org/wpcontent/uploads/digiactive_facebook_activism.pdf Les comptes Twitter de Britney Spears et d Obama ont été piratés: http://www.neteco.com/249664-comptes-twitterbritney-spears-obama-pirates.html Le FBI prévient de la venue prochaine du Cyber Armageddon : http://www.silicon.fr/fr/news/2009/01/07/le_fbi_previent_de_la_venue_prochaine_du cyber_armageddon_ Les blogs militaires: http://www.c2sd.sga.defense.gouv.fr/img/pdf/thematique9charte.pdf 40

Panorama 2008 Web 2.0 et réseaux sociaux : les menaces se précisent Sécurité hardware et confiance sur Internet Chip hacking : essor du piratage des circuits électroniques Routage d Internet : erreurs, malveillances, opportunités La criminalité organisée et le numérique Effets d annonce et failles de sécuriténon exploitées : quelle est la réalitéde la menace? Du sabotage interne aux atteintes de sécuritésur les infrastructures 41

Plan de l intervention Quand l électronique rejoint l informatique Hacking Mifare, RFID E-passport ColdBoot Attacks Confiance sur Internet BGP, Youtube et routage sur Internet MD5 et faux certificats 42

Evolution du hacking? Depuis quelques années, forte évolution du hacking Logique -> physique Mouvement initié il y a plusieurs années Attaques carte à puces Canaux cachés, DPA/SPA PayTV, faux décodeurs, «puces» pirates Desimlockage(iPhone v1 puis v2 ) Consoles de jeux et «modders» Hacking de consoles ; modchips : DS, Xbox, PS2 Defcon et le Lockpicking «All yourlocksare belongto us» Orientation vers des utilisations plus «sérieuses» 43

Présentation «hardware» en 2008 25C3, Berlin, Décembre 2008 Plus de 15 présentations sur une centaine orientées «hardware» RFID, NFC, DECT, GSM, JTAG, WII, Zigbee CanSecWest 2008 (mars) RFID, Réseau Mobitex, Cold boot attacks BlackHat Europe 2008 (mars) Reverse engineering hardware, hacking GSM, Canaux cachés, sécurité physique 44

RFID? Croissance forte en 2008 RFID = Radio Frequency Identification Composant généralement passif, mémoire + antenne Alimentation par le lecteur Problème : Quelle sécurité? Besoin de crypto pour assurer la confidentialité (privacy) et la non clonabilité Contrainte matériel (et coût) forte 45

NXP : Mifare Classic RFID Annonce faite par le CCC (Chaos Computer Club, Allemagne) le 1/1/2008 : Cassage de l algorithme de chiffrement Mifare: produit de la sociéténxp, destinénotamment àde l authentification sans contact (technologie RFID) Système de transport public (Londres, Perth, Amsterdam..) Cas du système hollandais : 2 types de tickets «Ultralightcard», usage unique : simple mémoire + système sans contact, aucune protection «Classiccard», pour abonnements : idem, mais protection cryptographique des échanges par un algorithme «secret»(crypto1) 46

Ultralight card Clonage possible du ticket University of Amsterdam, Pieter Siekerman and Maurits van der Schee Démonstration par un POC (ing. R. Verdult) Programmation d un émulateur RFID Réinitialisation à l état initial après chaque usage «ghostdevice»-emulation d une carte «ultralightcard» source : Proof of concept, cloning the OV-Chip card, ing. R. Verdult 47

Classic Card(Mifare Classic) Analyse hardware de puce NXP! Cela ne devrait pas poser de problème (Security by Obscurity???) Mifare internals - source : CCC 2007 Mifare Security Analyse d une carte Mifare Classic (Reverse Enginnering, analyse bas niveau de l électronique) 48

Mifare Classic: crypto Mais clef secrète de 48 bits et algorithme propriétaire (crypto-1) faible Décorticage de la puce, détection automatique des portes Mifare Crypto-1 vue logique de l algorithme secret - source : CCC 2007 Mifare Security 49

Mifare classic Cassage de la puce : extraction de la clef secrète Générateur d aléa faible (16 bits, LFSR-based, dérivé de l heure de lecture) Contrôle du générateur aléatoire Utilisation de FPGA pour calcul $100 de matériel pour une semaine de calcul (non optimisé) -> clonage de RFID possible 50

"Producing a fraudulent card remains complex and risky, and manipulating the card is of limited value," added the spokesperson. "It needs a qualified computer specialist to set up, and risks detection by our staff or police." Semiconductor company NXP, which manufactures the MifareClassicchips, claimed that publication of the details hadgone againstthe principlesof responsible disclosure "NXP Semiconductors regrets that the Radboud University Nijmegen has revealed details of the protocol and the algorithmof MifareClassic, as wellas some practical attacks on Mifare Classic infrastructures," said an NXP spokesperson. "A broad publication of detailed information to carry out attacks with limited means is, at thismoment in time, contradictoryto the scientificgoal of preventionand the responsibledisclosureof sensitive information." 51

MBTA et RFID Defcon16, «Anatomyof a SubwayHack» Forte médiatisation en août, car la conférence a été interdite Approche très «hacking» incluant la sécurité physique, logique et hardware Analyse du «Charlie ticket» Ticket prépayé, rechargeable Bande magnétique (montant du ticket + checksum) Analyse de la «Charlie Card» Mifare classic récupération de la clef, clonage 52

Sécurité par l obscurité La sécurité par l obscurité est généralement une mauvaise idée Principe de Kerckhoffs(1883 ) Principe ok (??) pour la sécuritédu matériel? Attention, cela n est peut-être plus valable en 2008 L industrie doit évoluer sur le sujet car cela est parfois valorisé Notation lors d évaluations Critère Commun 53

E-passport? Vous le reconnaissez? Des passants l ont aperçu à Schiphol (Aéroport d Amsterdam) fin septembre 08 54

E-Passport et sécurité Arrivée massive des passeports nouvelle génération Biométrique epassport Utilise une puce de type RFID contenant : Nom, date de naissance, numéro de passeport Informations biométriques (photo, empreintes ) Systèmes crypto anti-clonage (optionnels) Signature (intégrité des données) Standard défini par l ICAO (International Civil Aviation Organization) Publication de nombreuses attaques depuis 2005 Reconnaissance du pays àdistance (exemple : message d erreur sur passeport Belge, avril 2008) 55

Problème de clonage Cas des epassportsbritanniques : plusieurs démonstrations de lecture puis de clonage ont eu lieu en 2006, 2007 et 2008 Pour la lecture, la clef de chiffrement des données n est pas aléatoire Démonstration de Adam Laurie à divers journaux anglais (06/07) Pour la modification, démonstration en août et octobre 2008 Problème de vérification des signatures -> intégrité des données Pour le clonage, l authentification «active»n est pas/peu utilisée (cas de la majorité des pays) Solution «eclown»sur Nokia 6131 NFC / 6212 NFC 56

epassport: problématique Les données sont signées par un certificat numérique La CA appartient au pays générant le passeport Il convient de partager les certificats CA entre pays afin de pouvoir vérifier la validité des signatures (mise en place d une PKI) En octobre 08, seulement 10 pays sur 50 ont acceptéde partager les certificats Et seulement 5 les ont réellement partagés 57

Cold boot (1/3) Objectif : accéder à des données normalement secrètes, présentent en mémoire Première publication en février 2008 Pwnie award(bh2008 USA) catégorie Recherche Innovante! Menace concrète Accès à des clefs privées Accès à des clefs de chiffrements (disque par exemple) Condition : Disposer d un PC allumépour mener l attaque (ou en veille «active», voir très récemment éteins) Principe : lire la mémoire du PC après reboot sur un OS maitrisé Reboot sur CD, sur clef USB Extraction de la mémoire, et lecture sur un autre système Le refroidissement de la mémoire permet de conserver les données plus longuement (plusieurs minutes) 58

Cold boot (2/3) En pratique L attaque fonctionne bien Accès possible à des données mémoire (normalement protégée par l OS ) L équipe de recherche a développédes algorithmes de recherche de clefs en mémoire efficaces L attaque est très dépendante du type de mémoire La menace : PC en veille, saisie aéroport... Utilisation d une bombe d air comprimé pour geler la mémoire et augmenter ainsi la rémanence Source : http://citp.princeton.edu/memory/media/ 59

Cold boot (3/3) Protection simple Eteindre son PC (pas de mise en veille active ) Non, ce n est pas encore la faillite des solutions de chiffrement disque! Des travaux de recherches pour parer ces attaques Effacement de données si extinction / mise en veille Détection du refroidissement anormal du PC Stockage de clef dans les adresses basses de la mémoire (écrasées lors du reboot) Fragmentation des clefs en mémoire et fonction de «hash» Stockage de clef dans des registres processeur (MMX) 60

Internet : Confiance? Le modèle Internet est basé sur la confiance Hiérarchie de serveurs DNS Routage entre acteurs (BGP) Utilisation des adresses Dépôt de noms de domaines Système «autogéré» Notion de Réseau Autonome (AS) Gouvernance d internet «net neutrality» Contexte international 61

Cartographie de l Internet. Source: wikipedia.org 62

Routage sur Internet (comment trouver sa route?) Internet = réseau de réseaux Echange d informations de routage entre acteurs (protocole BGP, routage inter-as) Basésur la confiance : on annonce ses routes et les routes que l on connaît Tout marche bien sauf 63

Document officiel émanent du gouvernement du Pakistan et demandant le blocage (interne au pays) de l accès au site Youtube 64

BGP et Youtube Affaire de Pakistan Telecom et «nullrouting»de Youtube Le 24 fevrier 2008 : Coupure mondiale de l accès àyoutubesuite à une erreur «nullrouting»d une route plus spécifique et propagation sur Internet PCCW a coupél accès de Pakistan Telecom après détection de l erreur Il s agissait d un accident, mais risque de malveillance sur ce modèle 65

BGP et re-routing Affaire Defcon/ Pilosov& Kapela Démonstration lors de la conférence Defcon, aout 2008 Annonce BGP plus spécifique du réseau Defcon Puis re-routage statique transparent Et masquage «MITM»trafic entrant! Ce n est pas une «faille»mais le fonctionnement «normal» de BGP 66

BGP et MITM Le réseau 100 déroute le trafic à destination du réseau 200 en annonçant une route BGP plus spécifique. Le réseau 100 reroute alors le trafic de façon statique vers le réseau 200 rendant l attaque très furtive 67

PKI, certificat et MD5 Présentation lors du 25C3 (Berlin, décembre 08) «MD5 considered harmful today» Creating a rogue CA certificate Comment? Fabrication d une CSR aux bonnes propriétés Possibilitéde récupérer la signature afin de générer un faux certificat, avec des bonnes propriétés... 68

CA impactées Quelques conditions sont nécessaires Repose sur des collisions MD5 CA utilisant SHA-1 à priori ok (pour l instant) Nécessite de prédire la CSR N de série du certificat Date de validité Présentation au CCC : choix de la CA rapidssl Utilisation d une grosse puissance de calcul pour fabriquer la collision MD5 Cluster de 200 PS3 pendant quelques jours 69

SSL et Conséquences L attaque permet de faire du «MitM»très avancé Certificat valide! Donc attaque transparente SSL et le modèle des certificats Web commerciaux n a pas pour rôle d offrir une «authentification forte» La majoritédes attaques a lieu sur le poste client L internet ne s effondrera pas encore cette fois-ci 70

Conséquences MD5 encore un peu plus affaibli SHA-1 doit immédiatement supplanter MD5 Concours du NIST pour le prochain algorithme de hashage: SHA-3 Processus de sélection des 51 candidats en cours (et déjà quelques éliminations) Objectif : annonce de SHA-3 pour 2012 71

Webographie(1/2) Mifare Security Failures in Secure Devices, Christopher Tarnovsky http://www.blackhat.com/presentations/bh-dc-08/tarnovsky/presentation/bh-dc-08-tarnovsky.pdf Side Channel Analysis and Embedded Systems Impact and Countermesures, Job de Haas http://www.blackhat.com/presentations/bh-dc-08/dehaas/presentation/bh-dc-08-dehaas.pdf Mifare Little security, Despite obscurity http://events.ccc.de/congress/2007/fahrplan/events/2378.en.html Smart Cards in Public Transportation: the Mifare Classic Case http://www.laquso.com/vvss2008/presentations/0-jacobs.pdf Principe de Kerckhoffs http://fr.wikipedia.org/wiki/principe_de_kerckhoffs MBTA Anatomyof a SuwayHack, Defcon16 http://www.defcon.org/html/defcon-16/dc-16-speakers.html#anderson Cold Boot Attacks Let we remember: Cold Boot Attacks on Encryption Keys http://citp.princeton.edu/memory/ Wikipedia : Cold Boot Attack http://en.wikipedia.org/wiki/cold_boot_attack Braving the Cold: New Methods for Preventing Cold Boot Attacks on Encryption Keys http://www.blackhat.com/presentations/bh-usa-08/mcgregor/bh_us_08_mcgregor_cold_boot_attacks.pdf 72

Webographie(2/2) E-passport THC Clones Biometric epassport- Elvis Presley Passport http://www.darknet.org.uk/2008/10/thc-epassports-thc-clones-biometric-epassport-elvis-presley-passport/ epassports reloaded https://www.blackhat.com/presentations/bh-usa-08/van_beek/bh_us_08_van_beek_epassports_reloaded_slides.pdf EPassport emulator http://freeworld.thc.org/thc-epassport/ eclown(clonage de epassport sur téléphone Nokia NFC) http://www.dexlab.nl/ MD5 MD5 considered harmful http://www.win.tue.nl/hashclash/rogue-ca/ 25C3 «Creating a rogue CA Certificate http://events.ccc.de/congress/2008/fahrplan/events/3023.en.html The SHA-3 zoo http://ehash.iaik.tugraz.at/wiki/the_sha-3_zoo BGP et YouYube/ reroutagebgp Pakistan hijacks YouTube http://www.renesys.com/blog/2008/02/pakistan-hijacks-youtube-1.shtml Stealing The Internet - A Routed, Wide-area, Man in the Middle Attack https://www.defcon.org/images/defcon-16/dc16-presentations/defcon-16-pilosov-kapela.pdf 73

Panorama 2008 Web 2.0 et réseaux sociaux : les menaces se précisent Sécurité hardware et confiance sur Internet Chip hacking : essor du piratage des circuits électroniques Routage d Internet : erreurs, malveillances, opportunités La criminalité organisée et le numérique Effets d annonce et failles de sécuriténon exploitées : quelle est la réalitéde la menace? Du sabotage interne aux atteintes de sécuritésur les infrastructures 74

Plan de l intervention Contrefaçon sous toutes ses formes Hébergeurs louches, composante importante des phénomènes criminels sur Internet Les fausses loteries très présentes parmi les escroqueries par pourriel en 2008 Inventivitédes groupes criminels pour faire de l argent : de nouvelles formes de virus SMS, vendre son botnet Recel àl insu de son plein gré 75

Contrefaçon Médicaments Cigarettes Musique et vidéo Baskets, hifi De faux anti-virus Des faux matériels Exemple d affaire de contrefaçon médicamenteuse en 2008 76

Contrefaçon d antivirus Encadrés de vert (en haut à gauche), antivirus légitimes, les autres sont «bidons» 77

Contrefaçon d antivirus 30 signatures enregistrées en 09/2007, 2100 un an plus tard Pour se diffuser, toutes les techniques sont bonnes, y compris un référencement adapté dans Google Des milliers de victimes pour 40 et dont les cartes sont en fait débitées à de multiples reprises Microsoft dépose plainte contre les «vendeurs»de certains de ces logiciels On ne clique pas Ecran falsifiant une erreur légitime de Windows 78

Contrefaçon d antivirus - Mécanisme Alimenter et tromper les moteurs de recherches Inciter les visiteurs àcliquer par des messages alarmistes ou ennuyeux (et c est gratuit!) L utilisateur installe, mais le logiciel détecte tout de suite que quelque chose va mal et qu il faut la version payante pour l éliminer Jusqu àmodifier l affichage dans Google «Google tips» inclus dans la page d accueil de Google, incitant à payer pour le faux antivirus 79

Contrefaçon d antivirus - Mécanisme L utilisateur paie 40 euros et ses ennuis ne sont pas terminés Le logiciel continue de l ennuyer Et son compte bancaire est débité plusieurs fois On retrouve encore des liens avec les hébergeurs malhonnêtes que nous évoquerons plus loin 80

Contrefaçon de matériels d infrastructure Exemple de contrefaçon de matériel Cisco Fabrication chinoise, en grande quantité de matériel CISCO Ecoulée par des revendeurs connus des acheteurs Y compris auprès de grands comptes américains, pourquoi pas européens? Fév2008 :«Cisco Raider»: $M76 matériels saisis dans +400 saisies Quelques inquiétudes s expriment sur non seulement la qualité, mais aussi la probité des matériels 81

Les hébergeurs malhonnêtes Autrefois, prétendument pour préserver la liberté d expression Pour héberger des activités illicites Pour émettre du SPAM, contrôler des botnets Après la mise en sommeil de RussianBussinessNetwork en 2007, 2008 a encore étél année des hébergeurs malhonnêtes Une nouvelle façon de s attaquer àeux est né: la mobilisation de certains acteurs du net 82

Atrivo Connu depuis de nombreuses années comme hébergeant des activités malhonnêtes en grand nombre Liens avec de nombreuses autres entités qui assurent la résilience du système (Jart Armin) «Fermé» sous la pression en septembre 2008, mais son activité persiste encore sur Internet 83

McColo Etrange adresse postale pour un hébergeur! Articles autour de l affaire McColo 84

McColo Une partie de la solution seulement En haut à gauche : statistiques Spamcop le jour de la fermeture En bas à gauche : article sur les effets de la fermeturede McColo sur les transactions CB frauduleuses observées Ci-dessous : statistiques Spamcop aujourd hui 85

McColo Était-ce la solution? Une enquête judiciaire était-elle en cours? Aurait-elle dûavoir lieu? Pour collecter des preuves sur place, oui certainement encore que cet hébergeur semble fantomatique L impact est de courte durée, il faudrait une charge systématique et massive des professionnels de l Internet contre cela, c est contraire àla neutralitédu Net alors? Une action coordonnée policière, judiciaire et professionnelle semble nécessaire 86

Les fausses loteries (clin d œil à 2007) Continuent d être un problème : http://www.consumerfraudreporting.org/lotteryscamnames.php Exemples de spam de fausses loteries 87

Les fausses loteries Evidemment, il faut payer pour recevoir vos gains La mobilisation des industriels se développe Et pour toutes escroqueries (et autres faits): https://www.internet-signalement.gouv.fr/ 88

«Ransomware»: vers chinois pour GSM Imaginez vous retrouver votre GSM qui àl allumage vous affiche : prépare 10 euros en crédits de jeu ou je ne marche plus. C est ce qu ont vécu des usagers chinois. Le ver (Kiazha- A), se propage par MMS ou BlueToothet se sert d un réseau de jeux qui utilise les SMS pour communiquer. Le profit encore le profit Copie d écran du ver Kiazha-A 89

Vente de services criminels en ligne Un groupe qui vendait le service de son botnet (Loads.cc) fait l objet d une guerre par attaques en DNS de la part de ses concurrents. Page d accueil de loads.cc en janvier 2008 90

Ventes de services criminels en ligne Bannières de publicité pour location d attaques DDoS "Will eliminate competition: high-quality, reliable, anonymous." "Flooding of stationary and mobile phones." "Pleasant prices: 24-hours start at $80. Regular clients receive significant discounts." "Complete paralysis of your competitor/foe." 91

Recel àl insu de son plein gré Nul n est à l abri (notamment via botnets) et le «warez» est encore le type de contenu le plus «sympathique» 92

Recel àl insu de son plein gré Différentes approches : Les «stros»qui semble un terme amusant dans la bouche de certains jeunes sont tout de mêmes des «ressources»appartenant àquelqu un d autre et qui sont utilisée pour stocker des contenus illicites Par rebonds dans le cadre d un botnet, sa machine ne faisant que relayer l information (phishing, spam, pédophilie, ) Suite àune erreur technique dans son hébergement (DNS mal redirigé) 93

Difficultés liées à ce «recel» malheureux Ressources encombrées, pertes de données, pertes de temps, sécurité des autres données Visite des gendarmes pour les «stros» Problèmes d images Malheureusement, il y a certainement encore des dizaines de victimes à ce jour. 94

Webographie(1/2) CISCO http://www.abovetopsecret.com/forum/thread350381/pg1 http://www.informationweek.com/news/personal_tech/showarticle.jhtml?articleid= 206901053 Faux antivirus http://www.heise-online.co.uk/security/rogue-anti-virus-products--/features/112231 http://garwarner.blogspot.com/2008/12/more-than-1-million-ways-to-infectyour.html http://www.heise-online.co.uk/news/washington-and-microsoft-sue-fake-antispyware-vendors--/111644 ATRIVO http://hostexploit.com/downloads/atrivo%20white%20paper%20090308ad.pdf 95

Webographie(2/2) McColo http://hostexploit.com/downloads/hostexploit%20cyber%20crime%20usa%20v %202.0%201108.pdf Fausses loteries http://www.microsoft.com/france/securite/lottery/default.mspx https://www.internet-signalement.gouv.fr/ Virus GSM Recel de contrefaçon (les stros) http://www.avertlabs.com/research/blog/index.php/2008/03/04/crimewaregoes-mobile/ http://www.01net.com/editorial/396899/nouveau-coup-de-filet-des-gendarmesdans-le-milieu-warez-/ http://www.01net.com/editorial/382842/arrestation-de-trois-gros-pourvoyeursde-films-pirates/ 96

Panorama 2008 Web 2.0 et réseaux sociaux : les menaces se précisent Sécurité hardware et confiance sur Internet Chip hacking : essor du piratage des circuits électroniques Routage d Internet : erreurs, malveillances, opportunités La criminalité organisée et le numérique Effets d annonce et failles de sécuriténon exploitées : quelle est la réalitéde la menace? Du sabotage interne aux atteintes de sécuritésur les infrastructures 97

Plan de l intervention Surmédiatisation Sécurité informatique et médias Faille DNS Faille TCP Buzz divers pourtant, il y a eu de vraies failles en 2008! 98

Surmédiatisation Définition Terme péjoratif visant àsignaler la couverture et la concentration disproportionnées des médias sur un sujet On parle aussi de "cirque médiatique" = un évènement qui est considérécomme sur-médiatisépar rapport àson importance véritable Utilisé pour dénoncer une manœuvre médiatique visant à détourner l'attention du public d'autres faits à satisfaire des fins mercantiles Internet = amplificateur 99

Sécurité informatique et médias Un rapprochement heureux Période d'ignorance (ou pire de désinformation) Depuis environ 7 ans : Vraie demande d'information de la part du public Intérêt croissant des médias pour la SSI Des journalistes de mieux en mieux informés, spécialisés et critiques Du contenu et contenant journalistique de qualité 100

Sécurité informatique et médias Un rapprochement heureux Pourquoi? La malveillance informatique n'est plus un épiphénomène : mafia... Attaques massives spectaculaires avec de vrais impacts économiques dans le passé Développement d'attaques complexes impactant le grand public 101

Sécurité informatique et médias Un rapprochement heureux Lutte contre l'obscurantisme et les clichés Outil formidable de prévention et de sensibilisation du grand public Aussi outil formidable de prévention et de sensibilisation pour les utilisateurs dans l'entreprise Des bonnes pratiques, du pragmatisme, permettant de faire comprendre aux entreprises que la sécuritéce n'est pas seulement des boitiers et des anti-virus Principal outil pour contrer les attaques exploitant la crédulité des utilisateurs 102

Sécurité informatique et médias Dérapages, sensationalisme, surmédiatisation? Faille DNS Faille TCP Buzz divers 103

Faille DNS DNS : résolution des noms de domaines en adresses IP Faille réelle, problème dans la conception du DNS Attaquant répond avant le véritable serveur DNS Affecte la navigation web, l'envoi de courriels àl'extérieur, les connexions VPN, etc Attaque imposant beaucoup de conditions pour être exploitée Annoncée en juin sans explications, détails publiés par erreur en juillet, conférence à BlackHat en août Application du correctif importante pour les gestionnaires de DNS 104

Faille DNS Jeu entre les découvreurs de vulnérabilités et les organisateurs de conférences Auto promotion pour Dan Kaminsky Promotion de la conférence Blackhat Articles sensationnels pendant des mois 105

Faille TCP Déni de service "SockStress" sur toutes les piles TCP/IP dont Windows Annonce en septembre : Internet est mort Explication prévue àla conférence T2 àhelsinki, mais finalement pas d'explication Tellement gros que cela s'amplifie partout On ne sait toujours rien mais on n'arrête pas d'en parler Publicitépour une conférence du monde de la lutte contre les logiciels malveillants peu connue 106

Faille TCP Profiteurs Fausse faille SNMP Connu depuis toujours Hello Folks, We have become aware of a distributed refraction denial of service vulnerability in SNMP. A discription of the issue is below and a proof of concept code is at the bottom of this message. We would appreciate your help in determining the validity and effectiveness of this issue. Any feedback you may have would be very helpful. According the party that has reported this issue: "79 byte request gets a 56680 byte return. Thats an amplification of 717 times based on my computer. Other computers may give slightly more or less. The core problem with UDP is its simple to spoof depending on network configuration. This is true with most ISP's. Another factor is that UDP rfc limits replys by 1514 bytes. Which means that it must fragment the reply. Adding to the effectiveness since the ethernet and udp headers must be repeated each time." This information is not yet public, please do not publicly disclose this information. We are tracking this matter as VU#453707, please include this unique tracking number in the subject line of any further email messages we exchange on this topic. Please let us know if you have any questions, comments, feedback, etc. Thanks. Chris Taschner ------------------------------- CERT Vulnerability Analyst +1 412-268-7090 http://www.cert.org 107

Buzz divers Lundi noir des virus Annoncé par moult éditeurs d'anti-virus Dates différentes Il ne s'est absolument rien passé MD5 cassésur des PSP Blackhat Europe Rien de nouveau, chiffres faux, mais utile àla fausse CA Elcomsoft Annonces régulières de cassage par force brute de divers algorithmes : "WPA cassé" Réédition avec les cartes graphiques pour MD5 alors que leur logiciel est 2 à3 fois plus lent que d'autres 108

Vraies failles Pourtant il y a eu de de vraies failles en 2008 Qui n'ont pas été toujours bien comprises Pas relayées par la presse àleur juste niveau Exemples Mifare classic pour la sécurité physique PKI, certificats et MD5 : quelle confiance? Certains avis Microsoft Avis concernant les postes clients 109

Vraies failles Exemple Microsoft : MS08-067 Exploitation distante tous les systèmes jusqu'àwindows 2003 Service Pack 2 Exploitation anonyme et efficace Relayée sur les sites spécialisés Pas relayée sur les sites généralistes comme les précédents Traitée comme les autres failles Microsoft par la presse Pas d'explication de l'impact sur l'ensemble des systèmes Plusieurs vers sont sortis dans la nature par la suite exploitant cette vulnérabilité 110

Vraies failles Failles coté client Flash, Internet Explorer, etc Permettent d'infecter très facilement les postes clients par simple visite d'un site web Rarement relayées par la presse Impact de l'infection d'un poste client potentiellement dévastateur Ne pas s'arrêter à"il faut télécharger et doublecliquer sur un.exe pour être infecté" 111

Webographie Faille DNS / Kaminsky http://www.wired.com/techbiz/people/magazine/16-12/ff_kaminsky?currentpage=1 http://www.hsc-news.com/archives/2008/000346.html Faille TCP / Conférence T2 http://www.ossir.org/windows/supports/2008/2008-11-04/ossir-20081104-v0.1.pdf http://www.t2.fi/conference/ Buzz divers Casser du MD5 : http://sid.rstack.org/blog/index.php/282-casser-du-md5-avec-classeou-pas Benchmark MD5 : http://3.14.by/en/read/md5_benchmark Lundi noir : http://seclists.org/isn/2008/nov/0063.html 112

Panorama 2008 Web 2.0 et réseaux sociaux : les menaces se précisent Sécurité hardware et confiance sur Internet Chip hacking : essor du piratage des circuits électroniques Routage d Internet : erreurs, malveillances, opportunités La criminalité organisée et le numérique Effets d annonce et failles de sécuriténon exploitées : quelle est la réalitéde la menace? Du sabotage interne aux atteintes de sécuritésur les infrastructures 113

Cas d école : sabotages par administrateur réseau San Francisco, juillet : l administrateur réseau de la municipalitéest remerciépour insubordination. Avant son départ effectif, il verrouille le nouveau réseau qui gère près de 60 % des données de la ville et installe un mot de passe administrateur pour son accès exclusif. Il est ensuite arrêté, livre tout d abord un mot de passe erronépuis refuse de livrer le vrai code! La mairie prend contact avec des experts de la Silicon Valley et de Cisco. L indisponibilité se chiffre en semaines 114

Cas d école : sabotages par administrateur réseau New Jersey, novembre : un fonds de pension décide de licencier une dizaine de personnes dont l administrateur réseau. Après avoir effectivement quittéla compagnie, l ex-administrateur envoie plusieurs emails tout d abord pour signifier qu il n était pas satisfait des termes de la négociation puis, pour avertir qu il avait installéplusieurs backdoorset qu il préviendrait aussi les médias après son attaque. En complément de l action de police, la compagnie a dûréviser les accès en interne et àdistance, mettre en place une analyse des logs, durcir la sécuritédes droits et des privilèges, déployer une cellule de réaction sur incident. 115

Cas d école : compromission des terminaux de paiement New England, mars : la chaîne de supermarché Hannaford découvre une fraude aux cartes bancaires. Environ 4,2 millions de références ont étépiratés (numéro de la carte, date d expiration mais pas le nom du porteur). Les informations collectées étaient envoyées «overseas». La fraude a débutéen décembre. 300 serveurs ont été compromis pour des magasin situés en Floride (106), en Nouvelle Angleterre (165) et des indépendants (24) 116

Cas d école : compromission des terminaux de paiement Conséquences : Courant mars, 1 800 cas avérés de fraude Frais de réémission pour environ 100 000 cartes Une action en recours collectif (class action) de 5 millions de dollars par un cabinet d avocats Des millions de dollars d investissement en sécurité: chiffrement des données en transit, un système de monitoring en 24/7 Hannafordétait conforme àla norme PCI qui a été modifiée dans l urgence pour prendre en compte le mode opératoire! 117

Cas d école : divulgation de données et demande de rançon Illustration de la très forte croissance et volumétrie des pertes de données à caractère personnel En sus de l événement accidentel (la perte), on constate soit une exploitation malveillante des données accidentellement perdues (chantage) soit une intrusion avec menace de divulgation (cf. Hamburg, vente de 21 millions de références bancaires pour 12 millions d euros) Saint-Louis, novembre : la compagnie Express Scripts est victime d une chantage par e-mail. Elle gère des informations de prescriptions médicales. Le message menace de divulguer les dossiers de 75 personnes. La base clients concerne plusieurs millions de personnes (# 50) Le montant de la demande de rançon n est pas rendu public 118

Cas d école : divulgation de données et demande de rançon Conséquences : Web de crise pour informer et gérer les plaintes de clients Mise en place d une cellule de traitement des informations qui seraient divulguées et engagement de prise en charge des frais Appel à une société spécialisée en investigation Une récompense d un million de dollars pour l aide àla capture des rançonneurs! 119

Infrastructure : coupure de câbles sous-marin Mer méditerranée, côtes égyptiennes, février : deux câbles sous-marins assurant notamment les liaisons Internet sont accidentellementsectionnés. L inde est impactée, le trafic des données doit être reroutéviaun câble en région Asie-Pacifique. Deux navires sont arraisonnés Dans les semaines qui suivent, les incidents se multiplient ou plutôt sont médiatisés : coupure sur le moyen orient, les émirats arabes unis, sans cause identifiée. 22 décembre : 3 câbles rompus entre la Sicile et la Tunisie, cause indéterminée. Etat du trafic voix : Maldives : 100% HS, Inde : 82% HS, Qatar : 73% HS, Djibouti : 71% HS, Emirats Arabes Unis : 68% HS, -Zambie : 62% HS, Arabie Saoudite : 55% HS, etc. 120

Infrastructure : coupure de câbles sous-marin Le rapprochement des incidents fait naître une «théoriedu complot»... Pour d autres sources, ces incidents sont statistiquement normaux. On peut seulement constater la dégradation, parfois importante mais de faible durée des moyens de télécommunication. En conséquence, constater également l exposition à un sabotage et la faisabilité d un tel acte. 121

Infrastructure : malwares en milieu hospitalier Londres, novembre : 3 hôpitaux londoniens ont arrêtéleur réseau informatique pendant au moins deux jours suite àune contamination virale accidentelle. Le ver Mytob(dont la souche initiale date de 2005) se serait introduit par le NHS mail qui gère un million de personnels (National HealthService). Le ver comporte un spyware et installe des backdoors Plus de 5000 PC sont exposés Conséquences : Reroutage des ambulances en arrivée Officiellement, pas de préjudice corporel pour les patients 122

Infrastructure : malwares en milieu hospitalier Saint-Cloud (E-U), mars : condamnation d un développeur informatique ayant introduit une bombe logique dans un programme de formation médicale. Aucun préjudice sauf la remise en état du dit logiciel. Walter Reed (E-U), juin : un logiciel de Peer-to-peer(P2P) permet la divulgation d un fichier contenant l état civil (mais pas les données médicales) de 1 000 patients. C est une entreprise de data mining, effectuant une recherche pour le compte d un client, qui découvre le fichier. 123

Infrastructure : déraillement de tramway Lodz (Pologne), janvier : un adolescent de 14 ans provoque le déraillement de 4 wagons d un tramway après avoir pris le contrôle du système de signalisation et d aiguillage. Il a, dans les faits, provoqués plusieurs incidents (déraillements, arrêts d urgence) en s amusant àmodifier l aiguillage des trams au dernier moment. 12 personnes ont été légèrement blessé dans un autre «accident». Le mode opératoire a nécessitéune étude de longue durée pour comprendre le fonctionnement puis la modification d une télécommande infrarouge de téléviseur 124

Infrastructure : déraillement de tramway Le matériel «de fortune» utilisé(source : telegraph.co.uk) 125

Webographie http://www.theregister.co.uk/2008/07/16/sf_sysadmin/ http://www.computerworld.com/action/article.do?command=printarticlebasic&taxonomyname =Security&articleId=9119792&taxonomyId=17 http://www.itworld.com/legal/57799/sysadmin-under-house-arrest-blackmailing-financecompany http://www.theregister.co.uk/2008/03/18/hannaford_data_breach/ http://www.prnewswire.com/cgi-bin/stories.pl?acct=109&story=/www/story/03-19- 2008/0004777355&EDATE= http://www.foxnews.com/printer_friendly_wires/2008apr22/0,4675,hannafordsecuritybreach,0 0.html http://www.theregister.co.uk/2008/11/13/express_scripts_extortion/ http://www.arabianbusiness.com/510132-internet-problems-continue-with-fourth-cablebreak?ln=en http://www.arabianbusiness.com/510232-flag-plays-down-net-blackout-conspiracytheories?ln=en http://www.pcinpact.com/actu/news/48031-rupture-cable-ralentit-web-asiatique.htm http://www.networkworld.com/news/2008/111908-british-hospitals-hit-withmalware.html?fsrc=rss-security http://www.startribune.com/local/16839951.html http://www.darkreading.com/security/perimeter/showarticle.jhtml?articleid=211201106 http://www.theregister.co.uk/2008/01/11/tram_hack/ 126

En conclusion, nous aurions aussi aimé évoquer Géorgie : hacktivisme ou lutte informatique offensive? Warblogs, blogs d émeutes : manipulations, désinformations Ecoterrorismeet Internet 127