Lundi 17 septembre 2012
« Lundi de l’IE »
Barbara Louis-Sidney Charles Ibrahim Nicolas Caproni
! !!Barbara%Louis+Sidney,!consultante!juriste!@b_sydney!
! !!Charles%Ibrahim,%analyse!cybercriminalité!@Ibrahimous!
! !!Nicolas%Caproni,!consultant!en!sécurité!des!systèmes!d’informa;on!
@ncaproni!%Pôle%Management%des%Risques%de%CEIS,%cabinet!de!conseil!en!stratégie!et!ges;on!des!risques!
Les intervenants
CEIS!est!une!société!de!conseil!en!stratégie!et!en!management!des!risques,!créée!en!1997!par!Olivier!Darrason.!%CEIS%compte!aujourd’hui!80!consultants!alliant!:!!!! !une!compétence!mé;er!(veille,!communica;on,!analyse!financière,!cybersécurité…)!
! !une!spécialisa;on!sectorielle!dans!les!mé;ers!des!clients!:!défense,!agroPalimentaire,!biotechnologies,!transport,!finance…!
Présentation rapide de CEIS
En! juin! 2011,! CEIS! publie! un! livre! blanc! consacré! au!«!marché!noir!de!la!cybercriminalité!».!
L’étude%a%nécessité%environ%8%mois%de%travail%notamment%sur%:%
! !!l’observa;on!de!ces!«!black!markets!»!! !!l’interac;on!avec!certains!cybercriminels!! !!la!récolte!d’informa;ons!
1% an% après,% l’étude! reste! per;nente,! même! si! la!cybercriminalité!évolue!con;nuellement.!
!
Le contexte
1. Scénarios!d’aVaques!cybercriminelles!
2. Les!supports!de!la!cybercriminalité!
3. L’économie!de!la!cybercriminalité!:!zoom!sur!les!monnaies!virtuelles!
4. Retour!sur!les!faits!d’armes!des!cybercriminels!en!2012!
5. Retour!sur!la!luVe!contre!la!cybercriminalité!:!entre!réussites!et!limites!de!la!coopéra;on!interna;onale!
6. La!luVe!contre!la!cybercriminalité!en!entreprise!
Plan de l’intervention
Scénarios%d’aIaques%cybercriminelles%%
1. Un!scénario!de!vol!et!revente!de!données!sur!les!black!markets!
2. Un!scénario!d’extorsion!d’argent!à!l’étranger!
Lancement(d’une(a,aque(par(injec2on(SQL(contre((un(site(de(commerce(en(ligne.((
1. Un scénario de vol et revente de données sur les black markets
1. Une attaque par injection SQL
«(Je(vends(un(dump(d’une(base(de(donnée(avec(beaucoup((de(cartes(de(crédit((3000)(de(plusieurs(pays(européens,(
(envoyezFmoi(un(message(privé(»(
1. Un scénario de vol et revente de données sur les black markets
1. Un scénario de vol et revente de données sur les black markets
1. Un scénario de vol et revente de données sur les black markets
Des!cas!peu!média;sés!!
Une!tendance!forte!qui!va!s’accélérer!avec!l’augmenta;on!des!fuites!de!données!!
2. Scénario d’extorsion d’argent
Scénario d’extorsion (1/2)
Piratage!d’une!base!de!données!!Créa;on!d’un!site!non!référencé!pour!y!exposer!des!échan;llons!(ou!Pastebin)!
Scénario d’extorsion (2/2)
Contact!avec!l’entreprise!pour!vendre!la!base!de!données!piratées!!Bluff!/!vente!à!d’autres!;ers!! 2. Scénario d’extorsion d’argent
Une!situa;on!compliquée!à!gérer!!Collabora;on!avec!les!autorités!
Impacts pour l’entreprise
Risque!de!fuite!dans!les!médias!!
Aucune!garan;e!en!cas!de!paiement!d’une!rançon!!
2. Scénario d’extorsion d’argent
! !!Un!groupe!de!pirates!«!Rex!Mundi!»!lance!un!ul;matum!à!la!société!Crédiprêt!
! !!Ils!auraient!réussi!à!pirater!des!données!confiden;elles!contenant!des!informa;ons!(bancaires)!sur!les!clients!de!la!société!
! !!Ils!menacent!de!les!divulguer!sur!Internet!si!la!société!ne!paye!pas!une!rançon!de!20!000!euros!%
!
Une société de crédit niçoise menacée par des pirates
2. Scénario d’extorsion d’argent
! Les!pirates!dévoilent!un!extrait!de!la!base!de!données!pour!prouver!leur!aVaque.!
! !!La!société!refuse!de!payer!la!rançon!
! Les!pirates!diffusent!les!données!sur!Pastebin!!%
!
Une société de crédit niçoise menacée par des pirates
2. Scénario d’extorsion d’argent
Les%supports%de%la%cybercriminalité%
Catégories des sites de cybercriminalité (1/2) : les forums
" Convergence!criminalité!virtuelle!et!physique!
" Infrac;ons!en!chaîne!" Fraudes,!hacking,!hébergement!de!sites!
illégaux!/!serveurs!de!spam!!
" Discussions!en!plusieurs!langues!" Annonces!publiques,!puis!MP!" Semblables!aux!forums!classiques!!!
Catégories des sites de cybercriminalité (2/2) : les shops
" Page!d’entrée!shop!
" Infos!disponibles!à!l’achat!:!# n°!complet,!CVV,!banque,!date!d’expira;on,!
type!(Visa,!Mastercard,!…)!# Données!du!«!track!»!pour!fabrica;on!carte.!
" Skimming!" Phishing!" Hack!" …!
Focus sur le skimming $ Récupération illégale de données sur la bande magnétique (track) de la carte bancaire d’un
usager, puis copie sur une carte vierge.
" Stockage!:!# Mémoire!flash!# Fichier!audio!# Transmission!radio!/!GSM!
Skimmer audio pour distributeurs ATM Diebol Opteva 760
" «!Écoute!»!les!données!transmises!et!les!enregistre!sur!de!la!mémoire!flash!embarquée!
" Un!faux!panneau!vient!s’adapter!sur!la!fente!originale!d’un!ATM!
" MiniPcaméra!vidéo!pour!enregistrement!du!PIN!tapé!par!les!vic;mes!lorsque!la!fente!du!skimmer!est!ac;vée.!
" BaVerie!incluse!d’environ!6!heures!
Les outils de communication : ICQ, Jabber
Autres produits (1/5)
" Tutoriels!de!virusologie,!d’implémenta;on!de!malwares,!de!hacks!divers!et!variés!
" Service!d’anonymisa;on!" …!
" Cryptage/!décryptage!des!données!" Services!de!spam!" Carding(" …(!
Autres produits (2/5)
Cartes!«!USB!»!(Credit(s2ck)!
Cartes! possédant! entre! 300! et! 500! dollars,!vendues!entre!10%!et!12%!de!leur!valeur!
" Briques!de!botnet…!" Pas!de!compétence!
technique!requise!:!CaaS$
" Ransomware,!kits!de!phishing,!troyens…!
Autres produits (3/5)
Comptes Paypal Faux papiers
Identifiants gouvernementaux …
Autres produits (4/5)
«(Nous(hébergeons(pra2quement(tout,(dont(des!malwares((par(exemple(Zeus(ou(SpyEye),(des(an2virus,(du(spam(d’emails…(»(«(Nos(services(:(P Hébergement(P VPS/VDS(P Enregistrement(de(domaines(P Cer2ficats(SSL(»(
Xrumer(:(vente(de(la(dernière(version((piratée)(
Autres produits (5/5)
Offre de connexion VPN
Recherche d’identité par n° de sécurité sociale / date de naissance
Liens vers des serveurs SOCKS non officiels
Infrastructures : les serveurs bulletproof
Infrastructures : des hébergements aux quatre coins du monde
! !!Etude!de!la!localisa;on!des!serveurs!hébergeant!15!sites!de!Black!Markets!(shops!et!forums)!!
27%%
13%%
13%%
La technique du fast-flux " Suppose!que!le!cybercriminel!dispose!:!
# d'un!nom!de!domaine!complet!(Fully(Qualified(Domain(Name)!
# d'un!ensemble!de!machines!compromises,!ayant!des!adresses!
IPs!dis;nctes!;!!
" que!les!associa;ons!entre!nom!de!domaine!/!adresses!IPs!précédentes!changent!très!fréquemment!
" Renforcement!de!l’accessibilité!/!anonymisa;on!:!serveurs!bulletproof,!non!directement!connectés!aux!fournisseurs!d’accès!à!Internet
" Serveurs!upstream!sont!légaux,!relaient!les!ac;ons!des!serveurs!bulletproof!
Tout!le!monde!peut!s’improviser!cybercriminel.!
Conclusion : les dernières tendances - Outils clés en main
Des!nombreuses!offres!d’emploi!ou!de!services.!
Conclusion : les dernières tendances - Professionnalisation
L’économie%de%la%cybercriminalité%:%Zoom%sur%les%monnaies%virtuelles%
Surveillance%de%5%shops%pendant%un%mois%:%%! !!Plus!de!800!000!$!de!chiffre!d’affaires!sur!l’ensemble!des!sites!(pour!un!mois!seulement).!!! !!Les!pays!les!plus!touchés!:!
" !Corée!du!Sud!" !USA!" !NouvellePZélande!
" !La!France!représente!“seulement”!7!000!$!des!ventes!totales.!
Espèces,!CB…!
Réel! Virtuel!
Sociétés!d’échange!
Achat,!vente!
Monnaies!virtuelles!Intermédiaire!
4%caractérisQques%essenQelles%%!! !!Opacité!!!! !!Flexibilité!!! !!Anonymat!!!! !!Paradoxe!:!complexité!(diffus,!morcelé,!organisé,!etc.)!et!simplicité!d’accès/de!mise!en!œuvre!!
Exemples
Retour%sur%les%faits%d’armes%des%cybercriminels%en%2012%
Sources : Extraits d’une veille Internet en sources ouvertes (Twitter, blog de
Brian Krebs, CERT XMCO, zataz, 01net, infosecisland.com…)
Une année 2012 riche pour les cybercriminels… et les cyber policiers
Mars
Microsoft fait tomber des douzaines de botnets Zeus et SpyEye.
Février
« Crimeverstising » : des publicités de cybercriminels d a n s l e s i n t e r f a c e s d’administration des botnets
Des « ransomware » se propagent et se font passer pour les forces de police.
Janvier
La Grande-Bretagne lance 3 nouvelles unités régionales anti-cybercriminalité
Des hackers brésiliens vendent des cours de « cybercrimes ».
Une année 2012 riche pour les cybercriminels… et les cyber policiers
Une boutique de carders infiltrée : 15 000 données bancaires dans la nature.
Une nouvelle variante de Zeus est proposée sur les Black Markets : elle permet de cibler Facebook, Gmail, Hotmail et Yahoo!
Avril Mai Juin
Une trentaine de noms de domaines appartenant à des Black Markets saisis par le DOJ
La police russe arrête un pirate russe qui contrôlait un botnet de 4 millions de machines zombies.
Une année 2012 riche pour les cybercriminels… et les cyber policiers
Vente de 0-Day Plesk sur les Black Markets
Le kit d’exploit BlackHole intègre la nouvelle faille Java
Juillet
Cybercriminalité: plus de 10 millions de Français victimes en 2011 selon Symantec
Août Septembre
Retour%sur%la%luIe%contre%la%cybercriminalité%:%%
entre%réussites%et%limites%de%la%coopéraQon%internaQonale%
Etat%des%lieux%:%un%écosystème%truffé%d’infracQons%%!! !!Fraude!à!la!carte!bancaire!(carding,!skimming),!! !!Escroquerie!(phishing,!etc.),!! !!AVeintes!aux!STAD,!! !!Déten;on,!mise!à!disposi;on!d’équipements!d’aVeinte!aux!STAD,!! !!Associa;on!de!malfaiteurs,!! !!Blanchiment!d’argent,!! !!Contrefaçon,!! !!Recel,!! !!Etc.!
!!!
La%responsabilité%de%nombreux%acteurs%pourrait%être%engagée%%%!! !!Cybercriminel!(skimmeur,!fraudeur,!pirate!malveillant…)!! !!Acheteur!!! !!Vendeur!! !!Mule!! !!Opérateur!de!monnaie!virtuelle!opérant!dans!l’illégalité!! !!Hébergeur!de!serveurs!bulletproof!
!!
!
Les%freins%à%la%luIe%contre%cet%écosystème%%!! !!Des!délits!indolores!! !!Absence!de!plainte!! !!Vola;lité!et!rapidité!des!opéra;ons!! !!Manque!de!coopéra;on!interna;onale!et!d’harmonisa;on!des!corpus!juridiques!
!!!
Echelle%naQonale%%
! !!Disposi;f!Godfrain!! !!AVeinte!aux!données!à!caractère!personnel!! !!Organismes!dédiés!!
Fer%de%lance%de%la%coopéraQon%internaQonale%%%%! !!Conven;on!de!Budapest!sur!la!cybercriminalité!! !!Taux!d’adop;on!rela;vement!faible,!malgré!la!ra;fica;on!récente!de!l’Autriche,!la!Belgique,!la!Géorgie!et!le!Japon.!!!!
Renforcement!de!la!luVe!contre!les!paradis!fiscaux!et!numériques!/!hébergeurs!bulletproof!!Homogénéisa;on!des!législa;ons!:!Poursuivre!l’élargissement!de!l’adop;on!de!la!Conven;on!de!Budapest!
!Renforcement!de!la!coopéra;on!
interéta;que!
Clarifica;on!du!statut!juridique!des!opérateurs!de!monnaie!virtuelle!à!l’échelle!interna;onale!!Envisager!des!sanc;ons!contre!les!Etats!négligents!?!!
!Développer!la!luVe!contre!les!infrastructures,!la!logis;que!cybercriminelle!
Renforcement!de!la!coopéra;on!!public!/!privé!–!respect!de!la!vie!privée!!Développements!des!moyens!!d’enquêtes!!
Sensibilisa;on!des!u;lisateurs!(par;culiers,!entreprises…)!
La%luIe%contre%la%cybercriminalité%%en%entreprise%
! ! La! loca;on! de! botnets! va! servir! à! lancer! des! aVaques!DDoS!contre!des!sites!Internet!ou!des!services!Web!!
⇒ (extorsion(⇒ (perte(de(chiffres(d’affaires((eFcommerce)(!
! ! ! La! vente! de! malwares! et! d’exploits! va! permeVre!d’aVaquer!les!systèmes!d’informa;on!de!l’entreprise!
!!⇒ (vol(et(fuite(de(données((confiden2els(:(clients,(personnels,(eFmails,(fichiers…),(perturba2ons(sur(le(réseau…(⇒ (a,einte(à(l’image(de(l’entreprise((⇒ (perte(de(confiance(des(clients(
(
%
!
Quels impacts ?
! Respect!des!bonnes!pra;ques!de!sécurité!(=>(pour(lu,er(contre(les(infec2ons(de(malwares,(les(a,aques(exploitant((des(vulnérabilités(connues(et(non(corrigées((l’éternelle(nécessité(du(patch((management)(
(
! !!Développement!des!démarches!SIEM!/!SOC!!=>(pour(détecter(les(menaces(en(exploitant(des(logs(souvent(inexploités((=>(pour(détecter(les(machines(«(zombies(»(poten2ellement(présentes(sur((son(réseau(
(!!
! !!Renforcer!les!capacités!de!veille!!=>!pour!détecter!le!plus!en!amont!possible!les!signaux!faibles!
!=>!pour!être!au!courant!des!dernières!failles,!exploits,!techniques!!cybercriminelles!(surveillance!des!Black!Markets)!
Comment répondre aux menaces cybercriminelles ?
! !!Sensibiliser!le!personnel!/!les!clients!!(=>(pour(ne(pas(oublier(que(le(facteur(humain(est(souvent(le(vecteur(n°1((d’a,aque(des(cybercriminels(
(
! !!Porter!plainte!et!no;fier!les!aVaques!aux!autorités!concernées!(CNIL,!Police,!Gendarmerie,!ANSSI,!etc.)!
!=>(pour(faire(avancer(les(enquêtes(et(la(lu,e(contre(la(cybercriminalité((=>(pour(perme,re(des(retours(d’expériences(
(
Comment répondre aux menaces cybercriminelles ?