Panorama 2004 de la Cybercriminalité
Date : 17 Juin 2005
Le CLUSIF (CLUb de la Sécurité des systèmes d'Informations Français) a présenté le 13 Janvier à Paris son bilan annuel de la Cybercriminalité.
Cette réunion est l’occasion d’illustrer par une sélection d’affaires publiques les tendances de l’année écoulée et de dégager quelques perspectives.
https://www.clusif.asso.fr/index.asp
Comme l’a unanimement souligné la presse, le bilan a confirmé l’explosion de la cybercriminalité à but lucratif, l’année 2004 est bien celle où "les auteurs de virus sont devenus des mercenaires".
C’est d’ailleurs une tendance qui aura été très habilement soulignée lors de la présentation sur les "Programmes Malveillants", qui aura su passer rapidement sur les virus ultra-médiatisés tels que "Mydoom" et "Sasser", pour traiter plus en détail des "adwares", "spywares" et "keyloggers", ou analyser sérieusement la progression du phénomène des "botnets". Dans ce domaine la publication par le CLUSIF des coûts moyens est l’une des informations qui, tout en soulignant l’industrialisation de l’activité, aura retenu l’intérêt de tous.
Accès non exclusif à un bot | Accès exclusif à un bot | Réseau de 500 bots | 20000 proxy pour spam | Attaque DDOS |
0,15 € | 0,35 € | 380 € | 75 €/semaine | 38 à 750 € |
Les informations économiques ont été complétées et soutenues par des états de l’art irréprochables, on retiendra par exemple la frontière bien perméable entre "adware" et "spyware" :
| Adware | Spyware |
Source commerciale légitime | Oui | Oui |
Profite de la connexion Internet de l’utilisateur | Oui | Oui |
Consomme de la bande passante Internet de manière invisible | Oui | Oui |
Observe les habitudes de navigation de l’internaute afin de lui fournir des bannières publicitaires adaptées à son profil | Oui, c’est le but | Oui, mais pas uniquement |
Modifie ou ajoute des fonctionnalités au navigateur | Parfois | Parfois |
Modifie le comportement et les réglages du navigateur | Parfois | Parfois |
Télécharge et installe des programmes et autres objets de manière arbitraire | Oui | Oui |
En cas de transfert de données, la préservation de l’anonymat est annoncée (et respectée). Si des données personnelles sont transmises l’utilisateur en a été informé (EULA – End user Licence Agreements). | Oui | Non |
Collecte et transmet des données statistiques (habitudes de navigation) et/ou personnelles à un site distant sans que la victime en ait connaissance et sans son autorisation explicite (objectif commercial). Aucune clause de confidentialité n’est fournie par défaut. | Non | Oui, c’est le but ! |
Se conduit comme outil d’espionnage en interceptant la globalité de l’activité effectuée sur la machine de la victime (objectif de renseignement) | Non | Parfois |
(Source : CLUSIF, Panorama Cybercriminalité 2004, François Paget)
Pour en savoir plus :
Ces différentes analyses de l’évolutions des moyens et outils de la cybercriminalité ont été soutenues et illustrées par des exemples concrets.
Ainsi les outils ont à plusieurs reprises été utilisés en 2004 pour "faire chanter" ou racketter des entreprises, en les menaçant :
- soit de révéler des informations sensibles capturées : Affaire Softbank, fournisseur d’accès Japonais, 28 Millions de $ demandés
- soit de lancer une attaque en DDOS ("Distributed Denial Of Service") : Nombreuses affaires liées aux prestataires de paris en ligne en Angleterre
- soit de saboter un service en ligne : Affaire Google, dont le fonctionnement du comptage des clics publicitaires pouvait être faussé volontairement.
Toujours dans le domaine des atteintes volontaires au patrimoine d’une entreprise, on retiendra également les vols de code source (et le plus souvent leur publication ou mise aux enchères sur Internet), qui a impacté cette année … Microsoft et Cisco.
A noter que l’actualité judiciaire a montré que certaines attaques pouvaient être commanditées par des concurrents des entreprises : Air Canada, WestJet et Jetsgo sont en train de s’accuser mutuellement d’espionnage industriel présumé, la société belge Electrabel a porté plainte contre un concurrent pour une affaire d’espionnage présumé, et le dirigeant d’une société concurrente de l’entreprise Belvédère a été condamné pour diffusion de fausses informations pouvant affecter le cours de la bourse, via le site Internet d’une agence de communication.
L’ensemble de ces affaires sont détaillées sur des dépêches et sources disponibles dans le document publié par le CLUSIF.
Le Panorama du Clusif est également l’occasion d’apprécier l’émergence de nouveaux risques, et de relativiser ou mettre en perspective les tendances. La composition plurielle du groupe de travail, qui comporte des représentants des Entreprises, des Offreurs, du monde policier, juridique ou des assureurs, est un atout essentiel dans la neutralité de l’analyse.
Ainsi, en raison de l’actualité internationale, le sujet du Cyber-Terrorisme a fait l’objet d’un regain d’intérêt, sans que finalement l’actualité 2004 ne voie d’attaque véritablement critique. Le CLUSIF a donc choisi pour ce thème de comparer les définitions des différents organismes pour éviter les amalgames et fournir quelques grilles de lecture aux professionnels.
De même, l’intervention de clôture, consacrée aux menaces sur la mobilité, aura été l’occasion, tout en analysant la tendance, de relativiser la menace et de pondérer ou mesurer les risques réels.
Ainsi , si la menace des virus doit être considérée comme aujourd’hui relativement marginale, encore que en progression très rapide depuis les premiers programmes de démonstration ("POC") de cet été (CABIR), le CLUSIF a par contre insisté sur la méconnaissance apparente des risques par les utilisateurs, méconnaissance qui peut aller jusqu’à l’inconscience comme l’illustre l’étude réalisée sur l’état de sécurité des réseaux "WiFi" qui étaient déployés lors de la Convention Républicaine à New York.
Il est clair que dans ce cas précis, il y avait une concentration de victimes de choix pour des attaques en interception, déni de service, géo-localisation, et autres atteintes par espionnage ou divulgation d’informations …
La présentation s’est ensuite attachée à analyser pourquoi on devait s’attendre à une montée des risques, pour des raisons techniques (attaques et anonymat facilités) et économiques (progression de la valeur des services), et à cartographier leur origine technique.
Si le WiFi a aujourd’hui attiré l’attention de la presse, chaque technologie de mobilité comporte son lot de failles et faiblesses, qui de plus peuvent être combinées entre elles pour un scénario par rebond (cas des failles "bluetooth", analysées dans un précédent article du Cert-IST).
- http://www.cert-ist.com/francais/outils/article42_fr.htm
- http://www.cert-ist.com/francais/outils/article41_fr.htm
- http://www.cert-ist.com/francais/outils/article36_fr.htm
En conclusion la mobilité apparaît comme un domaine à surveiller, car si 2004 n’aura vu pour l’essentiel que des "POCs", le franchissement de seuils en nombre d’abonnés et en intérêt des services annoncés par de nombreux opérateurs pour 2005 risque de susciter quelques convoitises.
Les professionnels, qu’ils soient éditeurs d’anti-virus, équipementiers, ou CERTs, semblent déjà se préparer, puisque ce qu’il fallait retenir du Panorama 2004, c’est que la cybercriminalité se déploie là où il y a possibilité d’enrichissement personnel.