Le panorama de la cybercriminalité 2012 du Clusif particulièrement alarmant

le 17/01/2013, par Bertrand LEMAIRE, Sécurité, 1261 mots

Le CLUSIF présentait son panorama 2012 de la cybercriminalité le 17 janvier à Paris. Les RSSI doivent aujourd'hui faire face à des attaques de plus en plus variées mais 2012 a été aussi l'année de la cyberguerre.

Le panorama de la cybercriminalité 2012 du Clusif particulièrement alarmant

Mettre en perspective des évènements de l'année écoulée, en relativiser d'autres et détecter des tendances issues de signaux faibles sont les trois objectifs du Panorama annuel de la Cybercriminalité réalisé par le Club de la sécurité informatique en France (CLUSIF).

Depuis quelques années, les accidents sont présentés dans ce panorama. L'édition 2012 a été présentée le 17 janvier 2013 à Paris. 2012 a été l'année de la cyberguerre formalisée et de la concrétisation de menaces envisagées les années précédentes, faute d'avoir été celle de la fin du monde annoncée par les Mayas. 

En 2011, le CLUSIF avait détecté l'émergence des menaces sur mobiles. L'année 2012 a confirmé le phénomène avec, par exemple, l'arrestation d'un pirate français ayant coûté 500 000 euros aux opérateurs. Les envois de SMS surtaxés par des botnets sur mobiles sont notamment très à la mode.

Tous les systèmes d'exploitation de mobiles sont concernés. L'AppStore de Google est cependant moins fiable car moins vérifié que celle d'Apple. L'émergence du haut débit mobile et du NFC (non-crypté) facilitent le phénomène.

De la même façon, le hacktivisme (militantisme via le piratage informatique) poursuit son chemin, une pétition ayant même été transmise à l'exécutif américain pour dépénaliser les attaques DDOS en les interprétant comme des manifestations dématérialisées. Le piratage des machines, notamment biomédicales, est passé de la théorie au proof-of-concept : il a été montré qu'en piratant un pacemaker, on pouvait envoyer une décharge de 830 volts à un porteur.

Des pannes très coûteuses en 2012

L'année 2012 a été également marquée par de nombreux incidents de type accidentel. Les pannes seraient, selon le CLUSIF, étudiées par les cybercriminels comme modèles de futures actions.

Le Cloud d'Amazon a connu de multiples pannes : confusion production/test, pannes électriques, etc. Par répercussion, des services comme Dropbox, Flipboard ou Pinterest ont été impactés tout comme de nombreuses entreprises moins connues. Pour le CLUSIF, le cloud est une source de risques importants, un incident ayant un impact considérable, systémique.

Le trading automatisé en délire ...



Le trading automatisé en délire

Une autre panne, unique, a eu un impact considérable. Knight Capital, un opérateur de trading haute fréquence en bourse, a connu un tel incident le 6 août en lien avec le test d'une nouvelle version de son logiciel métier. Le logiciel s'est retrouvé connecté à la production, achetait haut et vendait bas. Des valeurs boursières ont vu des modifications de 150%.

Le logiciel a fonctionné 45 minutes et a entrainé 440 millions de dollars de pertes. L'entreprise a dû être recapitalisée en urgence et risque le rachat par un concurrent. Ce n'est pas le bogue le plus coûteux de l'histoire mais le troisième après les 9 milliards du black out électrique de New York en 2003 (9 milliards de dollars) et les 500 millions d'euros du crash d'Ariane 5 à cause d'erreurs logicielles.

Les cyberconflits se développent

2012 a été aussi l'année où les cyberconflits se sont formalisés. L'Iran et Israël ont formulé leurs doctrines militaires en la matière, d'autres (France, Brésil...) formulent une doctrine purement défensive tandis que les Etats-Unis assument une démarche offensive. Les hacktivistes ne sont donc plus les seuls à faire du cyberespace un lieu de guerre : les états l'envisagent également. Les attaques préventives sont également envisagées.

Stuxnet est un bon exemple. Si Israël et les Etats-Unis sont accusés, si des ouvrages publiés comprennent des informations pointues sur l'opération en se réclamant de révélations para-gouvernementales, rien n'est bien clair. L'application d'une démarche militaire avec utilisation du droit international des conflits armés est tout à fait envisagée dans le cyberespace. Des jurisprudences internationales pourraient bien apparaître prochainement avec qualification (terrorisme, attaque militaire...) des cyberattaques.

Torturés pour récupérer leurs logins/password en Syrie ...



Torturés pour récupérer leurs logins/password en Syrie

En Syrie, des attaques et opérations d'infiltrations ont été menées par le pouvoir contre des opposants. Certains de ceux-ci auraient été torturés pour révéler leurs identifiants et mots de passe pour laisser les forces de sécurité de la dictature agir dans leur réseau amical.

Des experts en cyberdéfense sont massivement recrutés par les forces de sécurité dans la plupart des pays. Ces recrutements visent à accroître les capacités opérationnelles militaires dans le cyberespace. Une stratégie de dissuasion pourrait se mettre en place.

Les attaques ciblées ont le vent en poupe

Les conflits se sont (dé)matérialisées en 2012 aussi par des attaques ciblées comme celles ayant frappé la Géorgie ou l'Elysée. De nombreuses attaques ont également frappé des entreprises. De nombreux états se voient accusés de cyberattaques, y compris des états occidentaux. Mais la vérification d'une revendication est délicate. On peut la valider en croisant les relations entre groupes de pirates ou en identifiant les serveurs de contrôle partagés.

Le CommentGroup, un des groupes identifiés de pirates (peut-être chinois), a inauguré une nouvelle technique : le commentaire sur page HTML anodine d'un site web quelconque pour donner des ordres à des codes viraux. Ceux-ci viennent y chercher leurs instructions.

Mais cela n'empêche pas les botnets les plus classiques de poursuivre leurs ravages. Les ransomwares, menace déjà ancienne, connaissent un retour en force. Ces malwares bloquent les terminaux jusqu'au paiement d'une rançon. Les ransomwares récents se réclament de la police et exigent le paiement d'une « amende ». Certains touchent les smartphones. Le partage d'un système d'exploitation entre PC, tablettes et smartphones (Androïd, Windows 8...) renforcent le risque.

Grande variété des cyberattaques grâce au HaaS ...



Grande variété des cyberattaques grâce au HaaS

Dans certains cas, les RSSI doivent faire face au HaaS (Hack as a Service), y compris pour des fermes de PC zombis infectés par des botnets. Des agresseurs vendent ainsi leurs capacités agressives, le cas échéant avec des services d'assistance et des garanties ! Ce HaaS peut être mis à disposition du simple particulier voulant casser le mot de passe de son voisin, d'entreprises voulant abattre des concurrents, etc. Des produits comme Blackhole possèdent des consoles d'administration graphiques !

Une attaque DDOS peut être vendue 5 $/heure ou 900 $/mois (-25% sur un an). Les prix peuvent variés selon les acheteurs. Un milliardaire koweitien a payé 400$ un pirate chinois pour récupérer des informations personnelles sur des membres de sa famille dans le cadre d'un conflit d'héritage. Il s'est malheureusement fait prendre, ce qui a nui à ses prétentions.

Bien sûr, les fournisseurs de HaaS peuvent s'entre-pirater afin de tenter d'éliminer des concurrents... Le phénomène a été constaté en 2012.

Les attaques opérées en 2012 ont des modes opératoires très différentes. L'attaque ciblée peut être aussi bien grossière (mail avec « merci de cliquer sur la pièce jointe ») que fine. L'injection de code malicieux dans un site grand public peut en fait viser une personne qui y va régulièrement, les autres victimes servant juste à l'effet brouillard pour empêcher d'identifier la vraie victime visée. Les objectifs sont également variés : extorsion de fonds, hacktivisme, cyberterrorisme...

Certains botnets utilisent des PC zombis pour préparer des attaques ultérieures. Ainsi, un botnet a scanné toutes les adresses Ipv4 en repérant les serveurs VoIP pour une raison inconnue à ce jour.

Bref, les spécialistes en sécurité doivent faire preuve par conséquent d'une grande variété de réactions... Certaines affaires médiatisées de manières sensationnalistes sèment la panique au lieu d'être étudiées calmement. Des pannes peuvent être faussement présentées comme des attaques. Certains RSSI prennent prétextes de ces affaires : les pirates sont plus forts que moi car ils sont soutenus par tel état, on ne peut rien faire, etc.

Le bon RSSI doit toujours se donner les moyens de retarder les intrusions, de les détecter et de réagir en cas d'intrusion. L'intrusion aura de toutes les façons lieu un jour ou l'autre.

Un hommage à l'ancien président décédé

Le 11 janvier 2012, Pascal Lointier, alors président du CLUSIF, présentait la précédente édition du Panorama. Le 14 février, il décédait soudainement après dix ans de présidence. Un hommage lui a été rendu lors de la présentation du 17 janvier 2013 par François Paget, secrétaire général du CLUSIF.

En photo : Lazaro Pejsachowicz, actuel président du CLUSIF

Les DSI en difficulté sur le sujet de la sécurité

Les DSI ne sont pas nécessairement des experts en sécurité, cela ne signifie pas qu'ils ne peuvent pas en parler à leur Comex. A condition que les directeurs de la sécurité informatique leur donnent des argumen...

le 24/11/2014, par Lauren Brousell, CIO Etats-Unis, 450 mots

Cisco publie des correctifs de vulnérabilité pour ses routeurs de la ...

Les failles découvertes par Cisco dans ses routeurs RV, ceux destinés aux petites entreprises, permettent aux pirates d'exécuter des commandes, de remplacer des fichiers et de lancer des attaques CSRF. Cisco a ...

le 07/11/2014, par Lucian Constantin, IDG NS, 433 mots

CS veut s'imposer dans les SOCs et développe le seul SIEM européen

Les nouvelles orientations de l'ANSSII vont obliger les OIV à gérer leurs incidents de sécurité et à piloter cette surveillance. L'Agence favorise aussi  les acteurs français de la cyber-sécurité jusqu'alors da...

le 30/10/2014, par Didier Barathon, 430 mots

Dernier dossier

Le software-defined security (SDS) convient aux environnements virtualisés

Avec le SDS (software-defined security), la détection d'intrusion, la segmentation du réseau, les contrôles d'accès sont automatisés et contrôlés par le logiciel. Le SDS convient plus particulièrement aux environnements informatiques dépendants du cloud computing et des infrastructures virtualisées. Il prend en compte chaque nouveauté dans l'enviro...

Dernier entretien

Dan Pitt

directeur exécutif de l'ONF, Open Networking Foundation

« Nous nous sentons la responsabilité de conduire l'ensemble du mouvement SDN »