http://www.itrmanager.com/48445-cybercriminalite,plus,professionnelle,mieux,organisee,plus,venale.html
Une cybercriminalité plus professionnelle, mieux organisée et plus vénale Jeudi 12 janvier 2006 Par Guy Hervier. A la façon d'une liste à la Prévert, le Clusif dresse la liste des cas de cybercriminalité avérés sur l'année 2005, pas seulement pour en faire la compilation, mais aussi pour en déterminer les tendances, faire un peu de prospective et ainsi mieux armer les RSSI pour lutter contre ce fléau des temps modernes. Parallèlement à une activité qui ne faiblit pas et qui est désormais le fait de réseaux de professionnels et organisés, de nouvelles menaces et actes de malveillance sont apparus en 2005. Parmi ceux-ci, le Clusif met en exergue les nouvelles usurpations sur les données personnelles ou d'état civil, le développement de l'espionnage économique utilisant des moyens très diversifiés, et la montée d'une économie souterraine de ventes d'outils tels que les Botnet, Keylogger ou rootkit. On ne sait pas trop de quel côté pencher lorsqu'on observe l'imagination dont font preuve les cybercriminels pour accomplir leurs forfaits. Il y a quelques années, il s'agissait principalement de faire montre de prouesses techniques, juste pour le « fun » comme on dit aujourd'hui, ou parfois pour des motivations plus sérieuses visant par exemple à montrer qu'un système d'information n'était pas suffisamment sécurisé. Aujourd'hui, le problème est d'une tout autre nature : gagner de l'argent quels que soient les moyens pour y arriver. Il se passe sur Internet ce qui se passe dans le monde réel En fait, il se passe tout simplement sur Internet ce qui se passe dans la société réelle. Avec un certain décalage lié à la courbe d'apprentissage des criminels pour maîtriser les technologies. Parmi les grandes tendances observées en 2005, le Clusif met en avant le développement d'outils de types robots, de détections de frappes claviers (keylogger) ou des fameux rootkits, l'usurpation de données d'état civil et l'augmentation de l'espionnage économique. Les Robots dont le Clusif avait déjà parlé en 2004 se renforcent et se multiplient mais sont de plus en plus utilisés pour la diffusion d'adwares. Rappelons qu'un robot est un programme malveillant permettant une prise de contrôle à distance de machines vulnérables afin de former un réseau d'attaque caché (ou botnet). Il s'installe sur une machine par courrier électronique (spam), vers ou virus, un cheval de Troie ou encore via un autre robot déjà actif sur la machine. Les petits ruisseaux font les grands rivières « Chaque système piraté peut, dès lors, être piloté à distance par son concepteur ou par celui qui loue ses services, permettra de capturer l'information, participer à des attaques groupées, servira de relais de spamming et/ou de phishing, explique François Paget chercheur anti-virus du groupe Avert de McAfee. En 2005, il a été largement utilisé comme diffuseur de programmes indésirables (adwares). Le cas de la société 180solutions est présenté dans le rapport annuel du Clusif comme exemplaire de cette tendance. En août 2005, la société américaine 180solutions porte plainte contre sept de ses affiliés pour avoir diffusé ses adwares sans consentement initial. La société dénonce ainsi les agissements de personnes malintentionnées en Grande-Bretagne, en Australie, au Canada, au Liban, en Slovénie et en Hollande. Le nom des toutes les personnes incriminées à été divulgué par le FBI. Afin d'augmenter leurs gains (entre 7 et 50 cents par installation), ces personnes auraient utilisé des réseaux de robots (botnet). Selon les experts, un réseau de 5000 machines permettait de dégager un gain de plus de 20 000 euros par mois. De sont côté, 180solutions avoue avoir ainsi rétribué ces affiliés d'un montant de l'ordre de 55 000 euros. Le logiciel ne doit pas faire oublier le matériel « Les chevaux de Troie conventionnels de type logiciel sont toujours utilisés de manière active », indique François Paget. Ils peuvent prendre des formes différentes comme par exemple porte dérobée ou renifleur de clavier ou de mot de passe (keylogger, password stealer). Mais des keyloggers matériels sont apparus : ils se présentent sous la forme de mémoire flash de 64 Ko à 2 Mo, sont indétectables par logiciel et transparents par la machine cible. Une fois l'équipement récupéré, la lecture se fait à partir d'un simple PC. Ces matériels sont vendus entre 20 et 200 euros et peuvent même être fabriqués par l'utilisateur final. Les attaques sont (et vont être) de plus en plus ciblées, considère le Clusif : on visera une entreprise, un groupe de dirigeants ou une seule et unique personne. Le rootkit est le troisième élément de cette économie souterraine qui a bénéficié d'une grande publicité avec l'affaire Sony. Rappelons qu'un rootkit est un programme permettant de rendre totalement furtif un autre programme en les rendant (lui et son rootkit) invisibles à un outil de sécurité tel qu'un anti-virus. Dans tous les cas, le but est d'empêcher que l'utilisateur ne perçoive des informations indiquant la présence d'activités clandestines sur son ordinateur. Le rootkit médiatisé par l'affaire Sony Suite à la découverte de ce dispositif interdisant la copie, Sony indique quelques jours plus tard début novembre que le système existe depuis environ 8 mois et propose des outils de détection et de désinstallation. Le rootkit est a été réutilisé dans certains milieux spécialisés. Les rootkits peuvent être détectés par des outils spécialisés (par exemple Rootkit Revealer de Sysintervals) ou par des logiciels anti-virus. « Malheureusement, on reparlera des rootkits en 2006, conclut François Piaget, et certains d'entre eux ne seront pas détectés, non pas parce qu'il y a là une impossibilité technique, mais tout simplement parce qu'ils n'auront pas été repérés. L'espionnage économique qui constitue un deuxième volet de ce bilan 2005 n'est pas nouveau, loin s'en faut. Mais là encore, les cas qui ont défrayé la chronique mettent en uvre l'utilisation de moyens techniques, pas toujours de pointe d'ailleurs : le piratage des systèmes d'information d'Ericsson, la transmission de secrets de fabrication par le DSI de la société américaine Lightwave Microsystems à un de ces concurrents - JDS-Uniphase -, l'affaire Valeo qui est en cours, ou encore le cas de l'écrivain israélien qui découvre sur Internet les chapitres d'un livre qu'il n'a pas fini d'écrire. C'est quoi l'espionnage industriel ? « L'activité d'espionnage économique ne faiblit pas », estime Danielle Kaminsky, journaliste spécialisée et auteur d'une l'étude sur les relations entre les auteurs de virus, les entreprises et les éditeurs d'antivirus. Chaque année voit son nouveau lot d'affaires, mais on ne peu que constater la diversité des moyens qui sont utilisés ». Un des problèmes qui est spécifique à la France est que l'espionnage industriel n'existe pas sur le plan juridique et que donc les affaires doivent être jugés en utilisant des angles différents. Pourquoi voler des données ? pour les revendre La perte et le vol de données n'est pas, lui non plus un phénomène nouveau. Les affaires dévoilées en 2005 mettent en avant non seulement les risques de fraudes financières mais aussi d'usurpation d'état civil, estime Christophe Jolivet, Consultant en Sécurité des Systèmes d'Information, Lynx Technologies. Et la liste est plutôt longue : le groupe médical San Jose, l'université de Berkeley, des banques comme Bank of Amarica, Citigroup ou Ametrade, les entreprises Cardsystems, ChoicePoint ou LexisNexis. Avec à chaque fois des usurpations de données personnelles en dizaine de milliers, voire plus. Les exemples laisseraient à penser que les Etats-Unis sont le seul pays touché, mais il est lié au fait que les lois outre-Atlantiques imposent aux entreprises victimes de divulgations de données personnelles d'alerter les organismes compétents. Pourquoi s'adonner à ce type d'activité ? « Tout simplement pour gagner de l'argent en revendant ces informations qui constituent désormais un bien recherché et monnayable, conclut Christophe Jolivet. Le risque d'usurpation des données d'état civil ou de données personnelles est aggravé parce que les particuliers ne sont pas encore sensibilisés ». Copyright : ITRmanager
