Panorama Cybercriminalité 2009 du CLUSIF

Le CLUSIF présentait mercredi 13 janvier 2010 son panorama 2010 sur la cybercriminalité. Je n’étais pas sur la scène cette année, en effet nous avions invité Isabelle Ouellet de la Sûreté du Québec pour représenter les services d’enquête. A noter enfin les travaux présentés par François Paget sur une société Ukrainienne.

La présentation est disponible en téléchargement sur le site du Clusif et la vidéo le sera d’ici quelques jours.

Comme chaque année, il s’agit d’offrir un regard sur les événements de l’année passée en matière de cybercriminalité et de sécurité des systèmes d’information et d’envisager leur impact sur la France en particulier pour l’année ou les années à venir. L’ensemble des membres du groupe de travail ont alternativement pointé des faits d’actuailité de 2009 qui leur semblaient importants, en ont discuté, et ensuite un certain nombre d’entre nous ont été choisis pour les présenter. Le travail s’est donc enrichi cette année par l’apport de personnalités étrangères (notamment canadienne et roumaine) et par un rallongement de la présentation pour intégrer les risques numériques.

En italique mes commentaires personnels éventuels.

  • Sécurité du GSM: Alain THIVILLON (Consultant chez HSC) a présenté les risques autour de la confidentialité des communications GSM qui ont été dévoilés cette année. Une raison de plus de s’intéresser en 2010 aux risques inhérents aux terminaux mobiles (systèmes d’exploitation plus ouverts, logiciels malveillants, connexion permanente…).
  • Services généraux sur IP: sécurité périmétrique ou incendie, réseaux de commande industrielle, gestion de l’alimentation électrique, etc., l’ensemble des services généraux basculent dans le monde IP et il devient de plus en plus criant que la sécurité de ces services contre les atteintes classiquement rencontrées dans les réseaux IP n’est pas prise en compte. La présentation reprend des cas concrets d’atteintes à des systèmes de vidéo surveillance notamment.
  • Câbles et ruptures de service: Pascal LOINTIER (Président CLUSIF) reprend alors la parole pour rappeler les différents incidents survenus en 2009 sur des infrastructures de réseau ou d’énergie transcontinentales ou locales. Il conclut sur la nécessité de toujours prévoir une double adduction sur les sites critiques.
  • Cloud computing: Les offres d’hébergement mutualisé « dans le nuage » ont de plus en plus de succès, qu’il s’agisse de gestion complète de son courrier électronique, de son back office ou de sa présence commerciale. Le but de cette évocation est de rappeler qu’il s’agira toujours d’hébergement physique avec les risques inhérents et qu’il faudra toujours y regarder de près quant au lieu de stockage des données (risques juridiques et sécuritaires) ou aux garanties de reprise d’activité: la délégation de la sécurité ne veut pas dire sécurité absolue.
  • ANSSI – retour d’expérience sur une attaque en déni de service: après avoir présenté la nouvelle agence créée en juillet 2009, qu’il a rejointe à ce moment-là pour diriger le CERTA, Franck VEYSSET est revenu sur les enseignements de la gestion d’une attaque en déni de service contre un serveur Web de l’administration. L’impact sur l’ensemble des services de messagerie ou même d’accès Internet a été immédiat et la réponse a été tant technique que judiciaire. Ainsi, des règles de routage (blackholing) ont permis au bout de quelques heures de diminuer l’impact et l’enquête judiciaire a conduit dans les jours suivants à la saisie d’ordinateurs qui servaient en France – à leur insu – à relayer cette attaque. Virut semblerait être le logiciel malveillant exploité pour exercer cette attaque.
  • Réseaux sociaux, menaces opportunités et convergence: Yann LE BEL (SNCF). On ne peut plus en douter aujourd’hui, au-delà de leur usage classique, les réseaux sociaux sont le lieu de tous les phénomènes sécuritaires des années à venir (gestion des conflits sociaux, communication des groupes criminels, rencontre avec les victimes, atteinte à l’image ou à la vie privée, diffusion de logiciels malveillants et autres méthodes d’escroquerie, etc.). 2010 devrait confirmer cette tendance et on peut parier sur une explosion de l’actualité sécuritaire autour des réseaux sociaux.
  • Carte bancaire: Fabien DAVID (Telindus), la carte bancaire est l’objet de toutes les attentions en 2009. La carte à puce EMV n’est toujours pas universelle, le modèle de sécurité PCI est discuté, les malwares apparaissent sur les guichets automatiques de banque et certains schémas ne résistent pas au passage à l’an 2010… Beaucoup de travail en vue pour les spécialistes.
  • Web 2.0, le 5ème pouvoir: Isabelle OUELLET (Sûreté du Québec) questionne l’impact du WEB 2.0 sur la société et l’émergence d’un cinquième pouvoir qui vient remettre en cause le pouvoir des médias, des gouvernements, et notamment des services de police. Sont cités notamment des cas de justice populaire numérique.

Une entreprise criminelle au microscope

Petite particularité pour cette année avec la présentation de François PAGET (McAFEE Labs) des résultats de ses recherches (avec un autre expert Dirk KOLLBERG) sur une entreprise ukrainienne aux activités manifestement douteuses et parfois illégales.

I[…] – et les sociétés qui lui sont directement liées (I[…], V[…], W[…], K[…], …) – produit notamment des faux antivirus et autres spywares ou scarewares (voir par exemple cet article sur Wikipédia). Pendant plusieurs mois ces experts ont amassé des dizaines de gigaoctets de documents sur les activités de cette société et exploré sa présence sur les réseaux sociaux.

Les enseignements: cette société a pignon sur rue, est organisée comme n’importe quelle SSII, recrute dans les grandes universités ukrainiennes (et certains de ses anciens employés sont maintenant dans de grands groupes internationaux) et elle réalise un chiffre d’affaires ahurissant (180 millions de dollars en un an). Elle dispose même d’un support technique pour ses clients malheureux, destiné à les arnaquer dans la durée !

Affaire à suivre donc !

Enquête sinistralité

Dans l’actualité du CLUSIF, le lancement de son enquête 2010 sur la sinistralité. L’enquête se déroulera au cours des six semaines à venir auprès des grandes entreprises et des administrations. A partir de mars, un groupe de travail étudiera les résultats de cette enquête.

Palmarès des bugs de l’an 2010

Les deux bugs qui tiennent la corde pour le bug d’or de l’an 2010 ont tous les deux un impact sécuritaire: la carte bancaire allemande et l’antivirus de Symantec. Mais la liste ne s’arrête pas là…

La carte bancaire allemande

Beaucoup d’allemands ont eu la surprise dès le 1e janvier 2010 de ne plus pouvoir payer ou retirer de l’argent avec leur carte bancaire. Plus de 23 millions de cartes sont concernées, que ce soit dans leur fonction de retrait ou d’achat. Le masque d’application de leur puce refuse de valider toute transaction relative à une date de 2010. On ne sait pas encore exactement quel est le défaut dans la programmation. Une routine de comparaison ? Un mode de stockage de la date ?

En tous cas, le fait que seules des cartes allemandes soient concernées, alors que les cartes françaises par exemple utilisent aussi le standard EMV (Europay Mastercard Visa) et son masque applicatif, peut nous permettre de présupposer qu’une personnalisation spécifique est en cause et non le standard EMV lui-même.

Gemalto, producteur des cartes bancaires en cause, a publié un communiqué de presse évoquant les mesures en cours de développement pour apporter une solution aux millions de porteurs, tandis que les banques ont dû modifier – de façon temporaire – le programme des terminaux et guichets automatiques pour accepter ces cartes.

Oberthur a quant à lui publié son propre communiqué de presse pour confirmer que ses cartes n’étaient pas concernées…

Un premier bug donc avec un impact assez fort sur une population qui est culturellement peu favorable aux paiements par carte bancaire (les allemands ont toujours préféré les paiements en liquide et utilisaient jusqu’à récemment surtout des cartes de retrait et très peu les cartes de paiement). Il faudra en tirer les leçons : l’évaluation sécuritaire des cartes bancaires à puce doit absolument contrôler les bugs applicatifs.

Les mises à jour Symantec

Le processus de mise à jour de certains produits de sécurité de la société Symantec (plus précisément ceux qui sont basés sur Symantec Endpoint Protection Manager) n’accepte plus les définitions de virus postérieures au 31 décembre 2009, 23:59:59… The Register publie deux articles à ce sujet le 05 janvier et le 09 janvier.

Symantec tient à jour des informations sur son site. En attendant qu’une correction soit apportée aux logiciels déployés, des mises à jour datées du 31/12/2009 avec un numéro de version qui croît maintenant rapidement ont été publiées, qui devraient être acceptées. De nombreux produits sont concernés: anti-virus, contrôle d’accès, protection contre les intrusions, et ce essentiellement pour des produits destinés à un environnement professionnel. Il semble que les administrateurs des clients concernés, qui basent leurs contrôles sur la date de mise à jour de l’anti-virus sur les postes de travail, vont avoir rapidement des soucis pour autoriser l’accès de leurs usagers au réseau.

Il semble qu’ici il s’agisse d’une erreur dans la routine qui compare les dates…

Autres bugs moins graves

SpamAssassin est un produit qui permet de filtrer les messages indésirables. Un bug a été détecté (voir ce court article ou celui-ci) dans une des routines attribuant des points supplémentaires aux messages simplement parce qu’ils étaient datés à partir de 2010 et ils se retrouvaient tous dans la boîte à Spam (le but de cette fonction était d’attribuer des points par défaut aux messages dont la date est trop éloignée) ! L’erreur avait été signalée plusieurs mois auparavant, mais incorrectement corrigée.

Espérons que la liste des bugs liés au passage à 2010 s’arrête là.

Rapport 2008 de l’observatoire de la sécurité des cartes de paiement

oscpmenuLe 9 juillet dernier, M. Christian Noyer, gouverneur de la Banque de France et président en exercice de l’observatoire de sécurité des cartes de paiement (OSCP), présentait le rapport 2008 publié par cet organisme.

Conclusions du rapport 2008

Le rapport rendu public le 9 juillet dernier reprend la structure classique de ces documents, dont le premier a été publié en 2004 :

  • le chapitre 1 qui s’attarde sur le sujet des cartes émises immédiatement en magasin ou en agence ;
  • le chapitre 2 portant sur les statistiques de fraude ;
  • le chapitre 3 portant sur la veille technologique ;
  • le chapitre 4, enfin, qui revient sur les évolutions en matière de certification de la sécurité des cartes et des terminaux de paiement.

Le point saillant cette année est très certainement une reprise légère de la hausse des taux de fraude sur les paiements par carte bancaire, avec un accent tout particulier sur la fraude réalisée sur Internet, concomitante à une forte augmentation de ce secteur d’affaires.

C’est justement sur le secteur de la vente à distance que s’est penché le groupe de travail chargé de la veille technologique. On y constate qu’outre la nécessité d’augmenter les moyens de sécurisation de ces paiements il faut être attentif à leur acceptabilité par l’usager, au risque de voir ceux-ci se détourner vers des sites moins sécurisés, mais plus faciles d’accès. Un certain nombre d’internautes se diraient en effet rebutés par le dispositif « 3DSecure ». C’est bien là le défi qui est posé : inventer des solutions de sécurisation des paiement plus faciles d’usage.

On retrouve dans le même troisième chapitre une étude sur l’impact du co-marquage en matière de sécurité des paiements, ainsi que des travaux sur la sécurité des réseaux d’automates de paiement.

L’observatoire de la sécurité des cartes de paiement

L’OSCP a été créé par la loi n°2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne (article 39), modifiant l’article L.141-4 du code monétaire et financier. Les missions de l’observatoire sont:
  • le suivi de la mise en œuvre des mesures adoptées par les émetteurs et les commerçants pour renforcer la sécurité des cartes de paiement ;
  • l’établissement de statistiques en matière de fraude ;
  • d’assurer une veille technologique.
La liste des membres de l’observatoire à ce jour est consultable sur le même site.
Ses membres se réunissent trois fois par an pour établir le programme de travail et discuter du rapport de l’année à venir. Ce sont ensuite différents groupes de travail qui sont constitués pour couvrir les différents aspects et en particulier un groupe de travail sur les statistiques (piloté actuellement par Christian Aghroum, chef de l’OCLCTIC) et un groupe de travail chargé de la veille technologique (piloté par Mireille Campana).
La Banque de France assure le secrétariat de l’observatoire.

Arrestation de trois bulgares soupçonnés de skimming dans des distributeurs de carburant

Suite à une plainte déposée auprès de la section de recherches de la gendarmerie nationale à Rennes, une enquête de plusieurs mois a conduit à l’identification de trois bulgares qui ont été interpellés dans leur pays, jeudi 06 novembre 2008.

Ils sont soupçonnés d’avoir abusé plusieurs centaines de clients ayant utilisé leur carte bancaire sur des distributeurs automatiques de carburant de la région Bretagne. Ils utilisaient la technique du « skimming », qui consiste à installer un dispositif permettant de copier la piste magnétique et d’enregistrer le code composé par la victime, permettant ensuite de fabriquer une fausse carte qui est utilisée ensuite pour faire des retraits d’argent liquide dans certains pays étrangers (en Afrique du Sud dans la présente affaire).

C’est une coopération exceptionnelle entre les autorités françaises et bulgares, avec le soutien d’Europol qui a permis cette interpellation qui devrait conduire à l’extradition des auteurs présumés vers la France et la transmission des différents objets saisis sur place pour exploitation par les enquêteurs de la gendarmerie nationale assistés éventuellement d’experts.

%d blogueurs aiment cette page :