Panorama de la cybercriminalité. Année 2006

Panorama de la cybercriminalité Année 2006

Le Clusif : agir pour la sécurité de l information Association sans but lucratif (création début des années 80) > 600 membres (50% fournisseurs et prestataires de produits et/ou services, 50% RSSI, DSI, FSSI, managers ) Partage de l information Echanges homologues-experts, savoir-faire collectif, fonds documentaire Valoriser son positionnement Retours d expérience, visibilité créée, Annuaire des Membres Offreurs Anticiper les tendances Le «réseau», faire connaître ses attentes auprès des offreurs Promouvoir la sécurité Adhérer 2

La dynamique des groupes de travail Des livrables en libre accès (> 120 000 téléchargements) Des traductions en anglais Des prises de position publiques ou des réponses à consultation Des espaces d échanges permanents : MEHARI, menaces, réseau, RSSI 3

Objectifs du panorama: Apprécier l émergence de nouveaux risques et les tendances de risques déjà connus Relativiser ou mettre en perspective des incidents qui ont défrayé la chronique Englober la criminalité haute technologie, comme des atteintes plus «rustiques» Sélection réalisée par un groupe de travail pluriel (assureur, avocat, journaliste, officier de gendarmerie et police, offreurs de biens et de services, RSSI). 4

Sélection des événements médias Illustration d une émergence, d une tendance, d un volume d incidents. Cas particulier Impact ou enjeux, Cas d école. Les images sont droits réservés Les informations utilisées proviennent de sources ouvertes, Les entreprises sont parfois citées par souci de précision et parce que leur nom a été communiqué dans les médias 5

Retour sur le panorama 2005 Economie souterraine : robots, keyloggers, rootkits Condamnation Jeanson James Ancheta Plusieurs condamnations dans des affaires de botnets Espionnage économique: la convoitise Condamnation des époux Haephrati (2 et 4 ans) 6

Retour sur le panorama 2005 Vol et pertes de données : les risques d usurpation d état civil Nombreuses affaires de vol de données personnelles via intrusion, exploitation de faille de sécurité, vol d équipement (portable) Record sur un site de jeux en ligne avec plus d un million d identités 7

Retour sur le panorama 2005 Du harcèlement jusqu aux violences physiques Condamnation pour l appel à viol en réunion sur un forum de discussion Condamnation pour appel au viol sur le web : «flash mob rape» Nombreuses affaires de «happy slappping» en France Violence ou viol en réunion Réflexion politique et réaction juridique Contrat (exécuté) de tueur à gages (Tokyo) Meurtre pour un baladeur mp3 (Bruxelles) 8

Quelques références Pertes de données : http://www.nytimes.com/2006/12/18/technology/18link.html?_r=1&adxnnl=1&oref=slogin&adxnnlx=116 6453778-ZxIak/Zr2CLvhDs+mLqjtg http://www.iht.com/articles/2006/12/17/business/link.php http://www.nytimes.com/2006/01/26/business/26data.html?_r=1 http://www.it-observer.com/news/5895/police_data_4400_uploaded_via_winny/ http://www.mercurynews.com/mld/mercurynews/business/14162732.htm http://www.vnunet.com/vnunet/news/2152080/game-id-thefts-surpass-million Attaques : http://www.theregister.co.uk/2006/03/27/israeli_spyware_duo_jailed/ http://www.lefigaro.fr/international/20060425.www000000314_un_polonais_arrete_dans_laffaire_du_me urtre_de_joe.html http://www.cybercrime.gov/maxwellplea.htm http://www.cybercrime.gov/anchetasent.htm Violences physiques : Eure: une agression filmée et diffusée sur Internet permet l'arrestation de cinq jeunes (AP, 24/01/2006) Deux adolescents mis en examen pour viols sur une jeune fille de 13 ans (AFP, 12/04/2006) Une adolescente frappée de 3 coups de couteau pour le vol de son portable (AFP, 27/04/2006) Quatre jeunes mis en examen pour avoir agressé un mineur et filmé la scène (28/04/2006) Sévices sexuels sur un Allemand de 14 ans diffusés sur l'internet (AFP, 06/06/2006) Agression filmée: cinq collégiens niçois convoqués devant un juge (AFP, 07/06/2006) Japanese man gets life for murdered ordered on Internet (AFP, 14/06/2006 Un an de prison ferme pour un appel au viol sur internet (AFP, 18/10/2006) Hong Kong man gets community service over flash mob rape Internet post (AFP, 04/10/2006) Projet de loi sur la délinquance: le Sénat veut réprimer le «happy-slapping» (AFP, 02/01/2007) 9

Panorama 2006 Les «Mules» : recrutement de particuliers Vol d identité: décorticage d une affaire SPIT : nouvelles opportunités de spamming Manipulation de cours de bourse Vulnérabilités et attaques «0-Day» Ecoutes et enquêtes à haut risque 10

Les «Mules» : recrutement de particuliers La problématique : Comment récupérer en cash des fonds illégalement acquis par phishing, troyen keylogger, scam? Solution : Employer un individu (internaute) crédule qui servira d intermédiaire local pour transférer les fonds. Bénéfices attendus : Pour la mule : Entre 5 et 10% des sommes transférées Pour le pirate : Brouiller les pistes. Risques : Pour la mule : Complicité des faits (Escroquerie : 5 ans de prison) Pour le commanditaire : Perte de marge, perte des fonds, heureusement il existe un système de notation sur les forum de carding! 11

Les «Mules» : recrutement de particuliers Le profil type Catégorie socio-professionnelle : Très variée Majeur Parlant Anglais Consulte sa messagerie plusieurs fois par jour Possède un compte dans un établissement financier du pays Optionnel : Bonne moralité, téléphone portable Quelle perception Pour la banque : La mule est d abord un client puis un fraudeur Pour la police : La mule est d abord un suspect, Pour la justice : La mule est une victime? Naïve? Crédule? 12

Les «Mules» : recrutement de particuliers Campagne de recrutement Mail (Spam) Site Web 13

Les «Mules» : recrutement de particuliers Recrutement : Sélection des profils 14

Les «Mules» : recrutement de particuliers Signature du contrat de travail et qualification de l employé 15

Les «Mules» : recrutement de particuliers La transaction : Etape 1, un «manager» prend contact Etape 2 : Transfert des fonds (transfert d argent en ligne ou via une agence ) 16

Les «Mules» : recrutement de particuliers Quelques tendances Les mules sont : de plus en plus nombreuses (une douzaine pour une seule banque française en 2006) impliquées dans 1 voire 2 opérations, rarement plus parfois «multicartes» c.à.d. plusieurs «contrats» de mule rarement internationales systématiquement renvoyées de leur banque impliquées dans des opérations litigieuses aux montants relativement faibles (limités par les plafonds, dépendants de la banque et du contrat de la victime) 17

Panorama 2006 Les «Mules» : recrutement de particuliers Vol d identité : décorticage d une affaire SPIT : nouvelles opportunités de spamming Manipulation de cours de bourse Vulnérabilités et attaques «0-Day» Ecoutes et enquêtes à haut risque 18

Vol d identité: état des lieux Une réorientation vers le poste client et son propriétaire 12000 10000 (Octobre) 8000 6000 4000 2000 0 2000 2001 2002 2003 2004 2005 2006 Importance des PWS Importance du phishing (APWG) PWS : Password stealer pour dérober les mots de de passe Usurpation d identité Francois Paget http://www.mcafee.com/us/local_content/white_papers/wp_id_theft_fr.pdf 19

Vol d identité: décorticage d une affaire Chevaux de Troie, rootkits et robots, même combat 11 octobre 2006 Le FBI et le MET (GB) annoncent la découverte d un trafic lié au vol d identité. 2 300 ordinateurs compromis en Grande-Bretagne. Afin d aider la police dans son travail d enquête et d alerte auprès des victimes, un DVD est transmis aux autorités. Il contient plus de 850 000 fichiers (4,5 Go de textes et des captures d écran) http://cms.met.police.uk/news/appeals/computer_crime/uk_targeted_in_computer_data_theft 20

Vol d identité: décorticage d une affaire Précision et organisation (du travail de professionnel) 16 octobre 2006 Je me connecte sur le site collecteur Il ne contient «que 643 fichiers relatifs à 4 victimes potentielles françaises» avec : Des coordonnées bancaires Des identifiants pour des sites commerciaux (comptes Amazon, Orange, etc.) Des e-mails émis Etc. 21

Vol d identité: décorticage d une affaire Du texte et de l image 17 octobre 2006 Les informations sont (entre autres) transmises à la Police qui a fait le jour même le nécessaire pour prévenir les victimes. 22

Vol d identité: décorticage d une affaire Morceaux choisis Des captures variées : banque, achat en ligne, assurance, FAI, site pour adulte, etc. 23

Vol d identité: décorticage d une affaire Morceaux choisis Des captures précises comme des relevés bancaires 24

Vol d identité: décorticage d une affaire Morceaux choisis Des captures précises comme la gestion d accès à des ressources financières 25

Vol d identité: décorticage d une affaire Les limites de cette attaque Le keylogger utilisé ne savait pas gérer les claviers virtuels. 26

Vol d identité: décorticage d une affaire Le poste de commande Au travers du flux HTTP (abandon progressif des canaux IRC), 27

Vol d identité: décorticage d une affaire Le nom du coupable : Trojan.Anserin alias Torpig ou Sinowal 28

Atteinte aux données personnelles Conclusion Aujourd hui, certains claviers virtuels sont déjà vulnérables Les nouvelles versions d Anserin savent gérer 562 sites bancaires prédéfinis http://www.hispasec.com/laboratorio/new_technique_against_virtual_keyboards.pdf 29

Panorama 2006 Les «Mules» : recrutement de particuliers Vol d identité : décorticage d une affaire SPIT : nouvelles opportunités de spamming Manipulation de cours de bourse Vulnérabilités et attaques «0-Day» Ecoutes et enquêtes à haut risque 30

SPIT : nouvelles opportunités de spamming Déjà un nom : SPIT (SPam over Ip Telephony) Déjà des articles dans la presse spécialisée Déjà une page dans Wikipedia! Déjà des travaux à l IETF Déjà des outils de protection (au moins des prototypes) Quelques cas limités vaguement rapportés pour le moment 31

SPIT : nouvelles opportunités de spamming Menaces Comme le spam SMTP, peut traiter une grosse volumétrie 1 000 appels de 30 secondes envoyés en 5 secondes (démonstrateur) dans un temps limité et à un coût très faible Conséquences spécifiques à prévoir sur les tailles des boîtes de messageries vocales sur les performances des gateways VoIP sur le temps des personnes ciblées, Bientôt du DoS VoIP? 32

SPIT : nouvelles opportunités de spamming Protections Protection plus difficile que contre les pourriels Appel VoIP synchrone par nature : il faut décrocher pour se rendre compte qu il s agit de spam analyse de contenu beaucoup plus difficile car il s agit de voix, donc de contenu analogique : technologie de reconnaissance vocale nécessaire De nombreuses solutions envisagées fingerprint des postes émetteurs (de l attaque), tests de Turing (présence d un être humain), systèmes de réputation, assertions SAML, liste noire, biométrie, computational puzzle (par ex., demander le résultat d une opération arithmétique élémentaire) 33

SPIT : nouvelles opportunités de spamming En attendant SPIT Appel en absence 08 97 12 00 32 Appel en masse sur des numéros GSM Communication interrompue dès la première sonnerie Donc pas de facturation pour l attaquant La victime voit que quelqu un a tenté de la joindre, et, parfois, rappelle le numéro Le numéro est surtaxé PS: ce numéro a été désactivé depuis quelques semaines 34

Panorama 2006 Les «Mules» : recrutement de particuliers Vol d identité: décorticage d une affaire SPIP : nouvelles opportunités de spamming Manipulation de cours de bourse Vulnérabilités et attaques «0-Day» Ecoutes et enquêtes à haut risque 35

Manipulation de cours de bourse par pourriel «Pump and Dump» : L attaquant parvient à convaincre des nombreuses personnes à acheter des actions But : manipuler le cours de bourse, acheter bas et revendre haut Par le passé, des cas de diffusion de fausses nouvelles via des média de type «pull» Défacement de site web, DNS spoofing, envoi de fausses nouvelles dans des forums Aujourd hui, «pump and dump» via des messages de spam 36

Manipulation de cours de bourse par pourriel Manipulation de cours financiers appelés Stock Spam Courriels allant de la diffusion de fausses nouvelles à des appels enthousiastes à acheter une action Selon un éditeur antivirus, représente 15 % du spam en 2006, contre 1 % en 2005 Utilisation de botnets pour générer le pourriel Avantages meilleur anonymat pas de problème de mules pour récupérer les sommes comme pour le phishing 37

Manipulation de cours de bourse par pourriel Date: Wed, 20 Dec 2006 00:42:37-0800 From: Patsy Hunter Subject: were AlgoDyne Ethanol Energy is right in the thick of the high- growth alternative energy sector and they are doing incredible things. Perhaps just as importantly they have begun a massive publicity campaign which is going to have everyone s ear. This one is set to take off! AlgoDyne Ethanol Energy Sym: ADYN Currrent Prrice: $1.35 Shorrt Terrm Tarrget: $3.50 Long Terrm Projjected: $10 AlgoDyne is where it s at. AlgoDyne has developed a turnkey solution in their proprietary micro-algae based process which can produce direct electricity, eco-friendly fuels, and valuable bi-products. The company has just hit its sweet spot in the development phase and is set to release some astounding results. These revelations are being backed up by a far-reaching PR campaign. It is essential to get in early in order to enjoy the biggest gains. Already having built volume and support, come Wednesday, December 20th this one will be appreciating rapidly. Do not delay! Win with ADYN! 38

Manipulation de cours de bourse en ligne Déjà, en 2003, un américain de 19 ans se retrouve avec 90 000 $ d options «PUT» qui ne valent plus rien Il repère des victimes sur des forums et leur envoie une version beta d un outil de gestion d actions L outil contient un keylogger L attaquant récupère le mot de passe du compte de bourse en ligne de la victime, se connecte sur le site, et «s achète» ses «PUT» Perte pour la victime : 47 000 $ 39

Manipulation de cours de bourse en ligne 40

Manipulation de cours de bourse en ligne 41

Manipulation de cours de bourse en ligne the Commission charged Grand Logistic, S.A., a Belize corporation located in Tallinn, Estonia, and its owner, Evgeny Gashichev, a citizen of Russia, with conducting a fraudulent scheme involving the manipulation of the prices of numerous stocks by the unauthorized use of other people's online brokerage accounts ("account intrusions"). The Commission alleges that, between August 28 and October 13, 2006, Grand Logistic and Gashichev made $353,609 in unlawful profits by conducting at least 25 separate manipulations, involving the securities of at least 21 companies 350 000 dollars de gain par le piratage de 25 comptes de bourse en ligne 42

Manipulation de cours de bourse The Commission's complaint alleges that, to effect his "pump and dump" manipulations, Gashichev purchased shares of small, thinly-traded companies, with low share prices, through an online trading account he opened in the name of Grand Logistic at an Estonian financial services firm that has an omnibus account at a U.S. broker-dealer through which the defendants traded. Often within minutes of the purchase, Gashichev used electronically stolen usernames and passwords to gain unauthorized Internet access to one or more online brokerage accounts (the "intruded accounts") for the sole purpose of pumping up the price of the stock he had just purchased at lower prices Au préalable, achat d actions : petites capitalisations, cours bas 43

Manipulation de cours de bourse He also used electronic means to hide his identity, and mask the means by which he intruded into accounts. The complaint further alleges that, without the knowledge or consent of the victimized accountholders, and using the victim's own funds, Gashichev placed orders through these intruded accounts to purchase large blocks of the same stock at artificially inflated prices - often many times the volume of his initial purchases. These purchases created buying pressure and the false appearance of legitimate trading activity, which caused the price of the stock to greatly increase. Gashichev then sold, at a profit, the shares he had earlier purchased in the Grand Logistic account. The share prices of the manipulated stocks invariably fell sharply, and the victims suffered losses in their accounts Utilisation des comptes piratés pour acheter des actions et faire monter les cours puis revente au plus haut cours 44

Manipulation de cours de bourse Cas avéré avec 25 comptes de bourse en ligne usurpés avec un profit de 353 609$ Conséquence d une telle attaque avec des milliers de comptes compromis via virus, cheval de Troie, keylogger, achat de botnet, etc. 45

Panorama 2006 Les «Mules» : recrutement de particuliers Vol d identité: décorticage d une affaire SPIT : nouvelles opportunités de spamming Manipulation de cours de bourse Vulnérabilités et attaques «0-Day» Ecoutes et enquêtes à haut risque 46

Vulnérabilités & Attaques «0-day» Plus on en cherche, plus on en trouve 546 7000 6000 5000 4000 3000 2000 1000 0 1998 2000 2002 2004 2006 http://nvd.nist.gov/statistics.cfm http://www.cert-ist.com/fra/ressources/statistiquescertist/menuavisparmois/ 47

Vulnérabilités & Attaques «0-day» Définitions Vulnérabilité : Caractéristique d'un système informatique qui permet à une personne d'entraver son fonctionnement normal, ou qui permet à un utilisateur non autorisé de prendre le contrôle de ce système. Exploit : Programme ou technique utilisant une vulnérabilité découverte au sein d un logiciel informatique. La preuve par l exemple (Proof of Concept POC) n est pas créée, ni publiée, pour nuire mais simplement pour démontrer la faisabilité d un exploit. Une attaque «0-DAY» est plus qu un POC, ou un simple exploit. On parle d attaque «0-DAY» lorsque qu une vulnérabilité non encore couverte a été rencontrée dans la nature (in-the-wild) et donc généralement utilisée à des fins clairement malveillantes. 48

Vulnérabilités & Attaques «0-day» 140 120 Du côté de Microsoft 100 80 60 40 Critiques Importantes Modérées Faibles 20 0 2004 2005 2006 Année 0-day confirmés 0-day confirmés + non confirmés 2004 N > 2 4 2005 N > 2 12 2006 N > 21 48 Graphique réalisé d après les informations recueillies dans les Synthèses des Bulletins de sécurité Microsoft :: http://www.microsoft.com/france/technet/security/bulletin/2006/default.mspx 49

Vulnérabilités & Attaques «0-day» 160 140 120 100 80 60 40 20 0 Du côté d Apple 2004 2005 2006 Critiques Importantes Modérées Faibles Année 0-day confirmés 0-day confirmés + non confirmés Décompte réalisé d après les informations recueillies sur le le site Secunia :: http://secunia.com/vendor/ 2004 2005 N > 1 1 2006 N > 4 5 50

Vulnérabilités & Attaques «0-day» Du côté des UNIX : beaucoup de vulnérabilités, peu d exploits et pas de bruit Recherche par mots clé pour retrouver le nombre total d avis dans la base Secunia : Apple : 489 Microsoft : 607 Microsoft Office : 66 Microsoft Windows : 380 Internet Explorer : 251 Linux : 5702 SunOS : 5 BSD : 299 Apache : 365 UNIX : 266 Mozilla : 286 Firefox : 144 2002 2007 Total Secunia :: 16500 avis environ http://secunia.com/search/ Cette recherche sans prétention nous laisse supposer que l on annonce 3 à 4 fois plus de vulnérabilités sur les systèmes d exploitation compatibles UNIX que sur les systèmes Windows. Macintosh suit Microsoft de près. 51

Vulnérabilités & Attaques «0-day» Du côté des UNIX : volume ne veut pas dire dangerosité S il nous faut admettre que les systèmes d exploitation compatibles UNIX ont fait l objet de nombreux avis, il il n'en est pas de même si l'on analyse la "dangerosité" des attaques potentielles ou rencontrées sur le terrain. Les Avis Suivis, DanGers Potentiels et ALertes émis par le CERT-IST démontrent bien que la menace est principalement du côté de Microsoft. Bien que la situation de vulnérabilité se soit rééquilibrée entre Firefox/Internet Explorer et (UNIX + LINUX)/Windows, en 2006 : les 6 ALertes concernaient le le monde Windows, 8 des 10 DanGers Potentiels concernaient le le monde Windows (les 2 autres MAC OSX), La vingtaine d Avis Suivis concernaient 92 références CVE : 54 références pour l environnement APPLE 36 références pour l environnement MICROSOFT 1 pour UNIX 1 pour Solaris 350 350 350 environ 2006 52 300 250 200 150 100 50 0 Risque Faible Risque Elevé TOTAL MICROSOFT Risque Moyen Risque Très élevé TOTAL LINUX TOTAL UNIX TOTAL APPLE Estimation de gravité pour les vulnérabilités remarquées par le le CERT-IST

Vulnérabilités & Attaques «0-day» Le TOP-2x6 du CERT-IST Alertes / DanGers Potentiels CERT-IST CVE CIBLE Messages exploitant la faille "WMF" (CVE-2005-4560) CERT-IST/AL-2006.001 CVE-2005-4560 WINDOWS LIBRARIES Vulnérabilité Internet Explorer "createtextrange()" (CVE- 2006-1359) CERT-IST/AL-2006.002 CVE-2006-1359 INTERNET EXPLORER "0-Day exploit" sous Microsoft Word CERT-IST/AL-2006.003 VIRUS (WINDOWS) Exploitation de la faille du service "Serveur" de MS Windows (MS06-040) CERT-IST/AL-2006.004 CVE-2006-3439 WINDOWS SERVICES Attaques via la faille "VML" de Microsoft Windows CERT-IST/AL-2006.005 CVE-2006-4868 INTERNET EXPLORER Exploitation de la faille "WebViewFolderIcon" dans Microsoft Windows (CVE-2006-3730) CERT-IST/AL-2006.006 CVE-2006-3730 WINDOWS LIBRARIES Vulnérabilités MacOS X impactant Safari et Apple Mail CERT-IST/DG-2006.001 CVE-2006-0394 MAX OS X Vulnérabilités MacOS X impactant Safari et Apple Mail CERT-IST/DG-2006.001 CVE-2006-0848 MAX OS X "0-Day exploit" sous Microsoft EXCEL CERT-IST/DG-2006.004 CVE-2006-3059 MICROSOFT OFFICE "0-Day exploit" sous Microsoft "Powerpoint" CERT-IST/DG-2006.005 CVE-2006-3590 MICROSOFT OFFICE Exploitation de la nouvelle faille Microsoft Word 2000 CERT-IST/DG-2006.007 CVE-2006-4534 MICROSOFT OFFICE Programme d'exploitation concernant la vulnérabilité "Workstation" sous Windows 2000 (MS06-070) CERT-IST/DG-2006.009 CVE-2006-4691 WINDOWS SERVICES MICROSOFT : 10 APPLE : 2 53

Vulnérabilités & Attaques «0-day» Les précisions de Secunia 6000 5000 4000 3000 2000 1000 0 2003 2004 2005 2006 "system access" as impact published advisories Le principal impact est un possible accès au système Une année difficile pour Microsoft (ils annoncent 10 attaques 0-day) L exploitation malveillante de certaines vulnérabilités non couvertes pourraient expliquer : la diffusion de DVD de haute qualité pour des films dont l avant première n avait pas encore été réalisée, la recrudescence des fraudes sur Amazon, la divulgation de secrets militaires US retrouvés à la vente sur le marché noir en Afghanistan. http://secunia.com/gfx/secunia_year-end_report_2006.pdf 54

Vulnérabilités & Attaques «0-day» L année difficile de Microsoft Vulnérabilité CVE 0-day Patch Delta T Microsoft Word Unspecified Code Execution CVE-2006-6456 10 DEC 2006 Microsoft Word Memory Corruption CVE-2006-5994 05 DEC 2006 Microsoft XMLHTTP ActiveX Control Code Execution CVE-2006-5745 02 NOV 2006 14 NOV 2006 MS06-071 12 jours Microsoft Visual Studio WMI Object Broker ActiveX Control Code Execution CVE-2006-4704 01 NOV 2006 12 DEC 2006 MS06-073 41 jours Microsoft Vector Graphics Rendering Library Buffer Overflow Microsoft Word Code Execution Microsoft Visual Basic for Applications Buffer Overflow CVE-2006-4868 CVE-2006-4534 CVE-2006-3649 19 SEP 2006 01 SEP 2006 07 AUG 2006 26 SEP 2006 MS06-055 10 OCT 2006 MS06-060 08 AUG 2006 MS06-047 7 jours 39 jours 1 jour Temps moyen sans protection : 22 jours Microsoft PowerPoint Code Execution CVE-2006-3590 12 JUL 2006 8 AUG 2006 MS06-048 27 jours Microsoft Excel Multiple Code Execution CVE-2006-3059 16 JUN 2006 11 JUL 2006 MS06-037 25 jours Microsoft Word Malformed Object Pointer CVE-2006-2492 18 MAY 2006 13 JUN 2006 MS06-027 26 jours 55

Vulnérabilités & Attaques «0-day» Un marché émergeant avec ses acheteurs et ses vendeurs http://www.zerodayinitiative.com/ http://labs.idefense.com/vcp/ Aujourd hui, idefense s engage à verser de 8 000 à 12 000 dollars à qui lui présentera un code malicieux permettant d'exploiter une vulnérabilité sous Vista Internet Explorer. 56

Vulnérabilités & Attaques «0-day» Sous le manteau Prix moyen en 2005 : $ 5 000 Prix moyen fin 2006 : entre $ 20 000 et $ 30 000 En 2007, une vulnérabilité Vista pourrait se monnayer jusqu à : $ 50 000 http://arstechnica.com:80/journals/microsoft.ars/2006/12/18/6332 57

Vulnérabilités & Attaques «0-day» MoBB & MoKB : est-ce bien raisonnable? Juillet : le mois des failles sur les navigateurs web MSIE: 25 Opera: Apple Safari: 2 1 Konqueror: Mozilla: 2 1 Novembre : le mois des bugs dans le kernel Linux : 10 FreeBSD : 2 Broadcom : 1 MAC OS : 8 SunOS : 1 Netgear : 3 Windows : 1 D-Link : 1 http://projects.info-pull.com/mokb/ http://browserfun.blogspot.com/ 58

Vulnérabilités & Attaques «0-day» Vous avez dit «fuzzer»? Le fuzzing étend le le concept des essais manuels en y introduisant de l automatisation. En développant des clients spécifiques pouvant générer de larges éventails de requêtes invalides, on pousse le le composant cible dans ses retranchements - bien au delà des possibilités offertes par le le client originel. 0-Days - Recherche et et Exploitation de Vulnérabilités en Environnement Win32 - Kostya Kortchinsky 59

Vulnérabilités : des attaques de plus en plus ciblées Conclusion Il n y a plus d attaque de masse ni d attaque bruyante (pas de virus ou ver ayant entraîné une alerte notoire) Dans au moins 3 cas, l exploit utilisé ne l a été qu une seule fois, et à l encontre d une seule entité ou d un seul groupe d individus ciblés Il faut s attendre à des attaques de plus en plus pernicieuses, discrètes et sans doute parfois difficilement décelable (voire non détectées à temps). http://www.itwire.com.au:80/content/view/8022/53/ 60

Programmes malveillants Références (1/2) Computer Emergency Response Team - Industrie Services et Tertiaire https://wws.cert-ist.com/fra/ 61

Programmes malveillants Références (2/2) Usurpation d identité Francois Paget http://www.mcafee.com/us/local_content/white_papers/wp_id_theft_fr.pdf UK targeted in computer data theft http://cms.met.police.uk/news/appeals/computer_crime/uk_targeted_in_computer_data_theft National Vulnerability Database - Statistics http://nvd.nist.gov/statistics.cfm Microsoft : Bulletins de sécurité 2006 http://www.microsoft.com/france/technet/security/bulletin/2006/default.mspx Sans Intitute : SANS Top-20 Internet Security Attack Targets (2006 Annual Update) http://files.sans.org/top20/top20_2006.pdf Secunia Yearend : Report for 2006 http://secunia.com/gfx/secunia_year-end_report_2006.pdf Zero Day Ininiative : How does it work? http://www.zerodayinitiative.com idefense Labs : Vulnerability Contributor Program http://labs.idefense.com/vcp/ Windows Vista exploits go to sale http://arstechnica.com:80/journals/microsoft.ars/2006/12/18/6332 Month of Kernel Bugs (MoKB) archive http://projects.info-pull.com/mokb Browser Fun : Month of Browser Bugs (MoBB) archive http://browserfun.blogspot.com/ S amuser en Fuzzant (adaptation française) https://www.securinfos.info/jerome/doc/fuzzing_fr.pdf Wapiti : Logiciel d audit de vulnérabilité web http://www.infogiciel.info/article0278.html MessageLabs uncovers new Microsoft Word Vulnerability http://www.itwire.com.au:80/content/view/8022/53 62

Panorama 2006 Les «Mules» : recrutement de particuliers Vol d identité: décorticage d une affaire SPIP : nouvelles opportunités de spamming Manipulation de cours de bourse Vulnérabilités et attaques «0-Day» Ecoutes et enquêtes à haut risque 63

Ecoutes et enquêtes à haut risque L année 2006 a été riche en affaires d écoutes sauvages et enquêtes aux méthodes litigieuses. Un volume d incidents qui place ce sujet parmi les faits marquants de l année 2006. Le matériel de surveillance et d enregistrement moderne offre des possibilités nombreuses et discrètes. Les données informatisées et de communications recèlent des mines d informations pour qui serait tenté de se les procurer. La vigilance est appelée sur des pratiques risquées qui peuvent exposer l entreprise à des poursuites en Justice. 64

Ecoutes et enquêtes à haut risque Les cas présentés ici comportent des affaires en cours. Lorsqu ils n ont pas fait l objet de décisions de Justice définitives, nous vous rappelons que les personnes mises en cause bénéficient de la présomption d innocence. 65

Ecoutes et enquêtes à haut risque En 2006, le cas le plus marquant est celui de Hewlett Packard (affaire en cours ): L affaire a été déclenchée aux Etats-Unis après une fuite d informations dans la presse en janvier 2005 : Des medias ont publié des données issues de délibérations du Conseil d administration du groupe informatique américain Hewlett Packard, notamment l intention d évincer la PDG de l époque, Carly Fiorina. 66

Ecoutes et enquêtes à haut risque La présidente du Conseil d Administration de l époque, Patricia Dunn commande une enquête pour remonter à l origine de cette fuite. Une liste de numéros de téléphone privés, professionnels et portables de membres du CA aurait été communiquée aux détectives. 67

Ecoutes et enquêtes à haut risque Problème : Les détectives auraient eu recours à de fausses identités pour se procurer des relevés téléphoniques personnels de membres du conseil de HP, de cadres de l entreprise, de journalistes. Méthode en cause : le «pretexting» Se faire passer pour une personne pour obtenir les informations souhaitées sur elle. Imposture qui aurait servi aussi à obtenir des informations sur la famille de membres du conseil d administration de HP et de journalistes. 68

Ecoutes et enquêtes à haut risque Pour accéder aux informations désirées, par exemple : Accès aux relevés téléphoniques : Par le site web de l opérateur téléphonique à l aide du numéro de téléphone et les 4 derniers chiffres du numéro de sécurité sociale de la personne pour laquelle l enquêteur se faisait passer. Cf. la lettre AT&T en réponse à l un des administrateurs de HP indigné des pratiques dont il a fait l objet, qui a voulu savoir ce qui s était passé, et a démissionné. 69

Ecoutes et enquêtes à haut risque Aurait également été utilisé le procédé d e-mails piégés à des fins d espionnage : Envoi d un e-mail ciblé avec pièce jointe contenant un cheval de Troie La personne destinataire, si elle exécute la pièce jointe, donne ainsi le contrôle de son ordinateur à celui qui veut l espionner. 70