panorama 2010 de la cybercriminalité
TRANSCRIPT
Panorama Cybercriminalité, année 2009
Pascal LOINTIER
Président du CLUSIF
Conseiller sécurité de l’information, CHARTIS
Pôle numérique – Valence
25 mars 2010
2222
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Le CLUSIF : agir pour la sagir pour la séécuritcuritéé de lde l’’informationinformation
Association sans but lucratif (création au début des années 80)
> 600 membres (pour 50% fournisseurs et prestataires de produits et/ou services, pour 50% RSSI, DSI, FSSI, managers…)
Partage de l’information� Echanges homologues-experts, savoir-faire collectif, fonds documentaire
Valoriser son positionnement� Retours d’expérience, visibilité créée, Annuaire des Membres Offreurs
Anticiper les tendances� Le « réseau », faire connaître ses attentes auprès des offreurs
Promouvoir la sécurité
Adhérer…
3333
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
La dynamique des groupes de travail
Documents en libre accès Traductions (allemand, anglais…)
Prises de position publiques ou réponses à consultation
Espaces d’échanges permanents : MEHARI, Menaces, RSSI
4444
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Une collaboration à l’international,des actions en région
5555
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Objectifs du panorama:
Apprécier l’émergence de nouveaux risques et les tendances de risques déjà connus
Relativiser ou mettre en perspective des incidents qui ont défrayé la chronique
Englober la criminalité haute technologie, comme des atteintes plus « rustiques »
Nouveauté 2009, élargissement au risque numérique
Evénements accidentels
Faits de société et comportements pouvant induire / aggraver des actions cybercriminelles
société
accidentel
6666
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Sélection des événements médias
Illustration
� d’une émergence,
� d’une tendance,
� d’un volume d’incidents.
Cas particulier
� Impact ou enjeux,
� Cas d’école.
Les images sont droits réservés
Les informations utilisées proviennent de sources ouvertes
Les entreprises sont parfois citées par souci de précision et parce que leur nom a été communiqué dans les médias
7777
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Contributions au panorama 2009
�Best Practices-SI
�Chartis
�HSC
�McAfee
�RATP
�SNCF
�Telindus
Le choix des sujets et les propos tenus
n'engagent pas les entreprises et organismes ayant participé au groupe de travail
Sélection réalisée par un groupe de travail pluriel : assureur, chercheur,
journaliste, officier de gendarmerie et police, offreur de biens et de
services, RSSI…
�Agence Nationale pour la Sécurité des
Systèmes d’Information (ANSSI)
� Ambassade de Roumanie en France - Bureau
de l’Attaché de Sécurité Intérieure
�Direction Centrale de la Police Judiciaire (OCLCTIC)
�Gendarmerie Nationale
�Sûreté du Québec
8888
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Panorama 2009 (1/3)
�[évocation] La sécurité du GSM compromise ?M. Alain Thivillon
� Directeur technique – HSC
�Services Généraux sur IP, nouvelle expositionM. Alain Thivillon
� Directeur technique – HSC
�[évocation] Câbles et ruptures de servicesM. Pascal Lointier
� Conseiller sécurité des systèmes d’information – Chartis
9999
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Panorama 2009 (2/3)
�Cloud computing, virtualisation : haute indisponibilité… parfois !
M. Pascal Lointier
� Conseiller sécurité des systèmes d’information – Chartis
�ANSSI, Retour d’expérience sur un déni de service
M. Franck Veysset
� Chef du CERTA – ANSSI\COSSI
�Réseaux sociaux : menaces, opportunités et convergences
M. Yann Le Bel
� Conseiller auprès du Secrétaire Général – SNCF
10101010
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Panorama 2009 (3/3)�Cartes bancaires : vos numéros voyagent…
M. Fabien David
� Consultant Sécurité des SI – TELINDUS [email protected]
�Web 2.0 : le 5ème pouvoir ?
Mme Isabelle Ouellet
� Analyste en cybercriminalité - Sûreté du Québec
�Une entreprise criminelle au microscope
M. François Paget
� Chercheur de menaces – McAfee [email protected]
11111111
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Panorama 2009 – Extraits… à partir des précédents Panoramas
�Evolution d’environnement
�Attaques électroniques et crypto-analyse via grid
�Cartes bancaires : du skimming à la compromission des réseaux ATM (DAB)
�De SCADA aux Services Généraux sur IP
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI et les portails d’information gouvernementaux
�Réseaux sociaux… que du bonheur !
12121212
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Les années 70-80 (événements indicatifs)
Naissance de l’Internet : Réseau nodal de transmission conçu comme une réponse à une problématique militairede continuité d’acheminement de l’information numérique
Prise de conscience du besoin de sécurité : méthodes d’analyse du risque informatique (Marion, Melisa en France)… et naissance du Chaos Computer Club de Hambourg.
13131313
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Les années 90 et début 2000 (événements indicatifs)
HTTP et l’Internet grand public
� Réouverture des systèmes
� Diffusion des savoirs
Passage à l’an 2000, prise de conscience de la fragilitédes systèmes d’information (S.I.) et de notre dépendance croissante (cf. bugs 2010, 2038… Maya 2012 ☺ )
OCT (Organisation Criminelle Transnationale), Systèmes d’Information et recherche du profit
� Professionnalisation
� Commercialisation (RBN et dDoS)
� Sophistication (Fastflux et spam, Mpack et DoS, Virus GSM)
14141414
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Deux handicaps historiques… un troisième
Historiquement, Internet est un rHistoriquement, Internet est un rééseau seau (pour usage) militaire(pour usage) militaire
�� Authentification du mailAuthentification du mail
�� Authentification de la navigationAuthentification de la navigation
…… auquel sauquel s’’ajoute lajoute l’’authentification du profil authentification du profil et/ou de let/ou de l’’avataravatar
��Une identitUne identitéé qui devientqui devientplurielle, fragmentplurielle, fragmentéée,e,fantaisiste, atemporellefantaisiste, atemporelle
Yesmen, lors d’une
conférence économique
à Tampere (Finlande)
15151515
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Evolution des architectures informatiques
Décentralisation : du terminal-hôte au client-serveur
Distribution : les données brutes deviennent des informations
Externalisation (des traitements)
Interconnexion (des réseaux et des entreprises)
Atomisation (réduction de taille des équipements)
Nomadisation (mobilité et connexion à distance)
Convergence/fusion Internet-Téléphonie mobile
� Avec IPV6, Internet de l’objet
16161616
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
L'économie numérique : nouvel environnement
Environnement en plein essorSociété du « tout numérique »
�Marketing, gestion et comptabilité�Production (fabrication, conditionnement alimentaire…)�Régulation et logistique
Environnement à risqueDépendance / criticité de l’activité vis-à-vis de l’information numérique
Cette dépendance de plus en plus critique est parfois mal identifiée�Messagerie électronique et GED (Gestion Electronique Documentaire)
� Information décisionnelle (ordres de production)�Traçabilité légale (e.g. agro-alimentaire)
…
17171717
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Panorama 2009 – Extraits… à partir des précédents Panoramas
�Evolution d’environnement
�Attaques électroniques et crypto-analyse via grid
�Cartes bancaires : du skimming à la compromission des réseaux ATM (DAB)
�De SCADA aux Services Généraux sur IP
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI et les portails d’information gouvernementaux
�Réseaux sociaux… que du bonheur !
18181818
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
2008, NXP : Mifare Classic RFID
Annonce faite par le CCC (Chaos Computer Club, Allemagne) le 1/1/2008 : Cassage de l’algorithme de chiffrement
Mifare : produit de la société NXP, destiné notamment à de l’authentification sans contact (technologie RFID)
� Système de transport public (Londres, Perth, Amsterdam..)
Cas du système hollandais : 2 types de tickets
� « Ultralight card », usage unique : simple mémoire + système sans contact, aucune protection
� « Classic card », pour abonnements : idem, mais protection cryptographique des échanges par un algorithme « secret »(CRYPTO1)
19191919
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Ultralight card
Clonage possible du ticket
� University of Amsterdam, Pieter Siekerman and Maurits van der Schee
Démonstration par un POC (ing. R. Verdult)
� Programmation d’un émulateur RFID
� Réinitialisation à l’état initial après chaque usage…
« ghost device » source : Proof of concept, cloning the OV-Chip card, ing. R. Verdult
20202020
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Trois évènements de ce début 2010
•29/12/2009 : au Chaos Computer Congress (Berlin), annonce d’avancées
majeures dans le cassage du chiffrement GSM, par pré-calcul distribué sur
des cartes graphiques, code source public
•31/12/2009 : Record battu pour le calcul des décimales de PI (2700
Milliards), par un effort individuel (131 jours de calcul sur un seul PC, 7To de
stockage)
•8/01/2010 : Annonce par l’INRIA (et d’autres) de la factorisation d’une clé
RSA 768 Bits : 30 mois de calcul par 1500 CPU
La loi de Moore (et l’intelligence des algorithmiciens et
cryptologues) à l’œuvre : les puissances de CPU et de
stockage permettent des calculs cryptographiques jugés
hier réservés à des gouvernements.
21212121
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Chaos Computer Congress (CCC)
•Congrès de « hackers » en Allemagne (Berlin)• 26e édition cette année (26C3) http://events.ccc.de/congress/2009/
• Ne concerne pas seulement la sécuritéinformatique : vie privée, « building things », « Net Activism », …
•Evènement non commercial• Beaucoup moins d’auto-censure qu’à BlackHat
• Entrée ~ 100 euros
•Déjà connu pour des annonces sur la sécurité• Cassage RFID
• Cassage Xbox
22222222
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
La sécurité GSM (2G)
Authentification et confidentialité reposent sur les secrets contenus dans la SIM de l’abonné et dans le réseau opérateur, desquels sont dérivés une clé de chiffrement symétrique utilisée dans un algorithme nommé A5/1 (chiffrement radio).
A5/1 (Kc)
Rand
SresSres
Kc
BTS HLR
Kc
23232323
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
A5/1
•Algorithme conçu en 1987� Pas public, reverse-engineeré en 1997
� Attaques théoriques publiées depuis cette date, mais peu d’impact pratique public
� En 2008, THC a commencé à publier du code puis a fait disparaitre le projet (pressions ?)
•A5/2 est un autre algorithme dégradé « export »
�Cassable en quelques millisecondes
�Le réseau choisit le chiffrement
•Manque d’authentification mutuelle� Le téléphone ne peut pas authentifier le réseau
24242424
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Attaque « active »
•Utilisation d’une fausse BTS� Projet « OpenBTS » OpenSource + USRP (Décodeur/Encodeur radio)
� Connecté au réseau téléphonique par Asterisk (GSM �SIP)
� Permet de tester aussi la solidité du téléphone GSM, dénis de service, …
� Passage en A5/2 et craquage immédiat (utilisé par les solutions commerciales)
MCC 208/MNC 01
MCC 208/MNC 01
IMSI
BTS
USRP + OpenBTS + Asterisk
25252525
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Attaque « passive »
•Le temps de calcul d’un dictionnaire complet A5/1:� 100 000 ans d’un CPU classique
� 128 Péta-Octets de stockage
•Karsten Nohl (DE), cryptologue� Déjà connu pour le reverse-engineering et le cassage de RFID Mifare
� Reprise du travail de THC
•Utilisation de techniques nouvelles� Amélioration des algorithmes et portage sur GPU (Cartes graphiques Nvidia et ATI) (confer Panorama 2008)
� Utilisation de « Rainbow Tables » permettant de restreindre l’espace de stockage tout en gardant un temps de calcul raisonnable
26262626
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Attaque « passive » - 2
•Résultats � Utilisation de 40 GPU en calcul distribué pendant 3 mois
� Rainbow Tables totales de 2 To représentant 99 % de l’espace de clés
•Conséquences � Récupération de la clé de chiffrement d’une conversation assez longue et décryptage en quelques minutes
� Possibilité de déchiffrer avec 50 % de probabilité la signalisation (SMS…) même sans conversation
•La partie la plus dure est de « sniffer » le mobile� Gestion des sauts de fréquence
� Utilisation de USRP2 (~2500$)
� Encore du travail pour faire un produit« tous terrains »
27272727
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
2010, Crypto-analyse et grid…
28282828
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Panorama 2009 – Extraits… à partir des précédents Panoramas
�Evolution d’environnement
�Attaques électroniques et crypto-analyse via grid
�Cartes bancaires : du skimming à la compromission des réseaux ATM (DAB)
�De SCADA aux Services Généraux sur IP
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI et les portails d’information gouvernementaux
�Réseaux sociaux… que du bonheur !
29292929
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Années 2000, bandes organisées et yescarding
30303030
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Réseaux internationaux et skimming
31313131
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
2009, vols massifs de numéros de Carte Bancaire : Fraude RBS Wordpay
�RBS Wordpay : Filiale américaine de la « Royal Bank of Scotland »
� 9 millions de dollars de retraits frauduleux (fin 2008) :
�Avec des cartes clonées
�Dans un délai très court
�Dans 2100 distributeurs de billets
�Dans 280 villes, 8 pays (E-U, Russie, Ukraine, Estonie, Italie, Hong-Kong, Japon, Canada)
� Un réseau de mules très organisé
32323232
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Vols massifs de numéros de Carte Bancaire:Fraude RBS Wordpay
�L’enquête a identifié :
�4 hommes de 25 à 28 ans, originaires d’Estonie, Russie et Moldavie (mi-2009)
�Quelques mules (rémunérées de 30 % à 50 % des sommes retirées)
�Une intrusion sur le réseau, avec le vol de 1,5 millions de numéros de cartes bancaires avec leur code PIN (entre autres)
�Une méthode de contournement pour déchiffrer les codes PIN, pourtant stockés chiffrés
�Ces informations ont suffit pour créer des clones de carte àpiste magnétique
�Le changement des plafonds de retrait de ces cartes
�Une supervision de l’opération depuis le réseau corrompu, puis l’effacement de leurs traces
33333333
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Nouvelles menaces liées aux DAB : Compromission de DAB en Europe de l’Est
�En mars 2009, Sophos identifie le 1er Malware spécifique pour les distributeurs de billets
�En mai 2009, les experts sécurité de Trustwaveconfirment la découverte
�Ce Malware était spécifique pour une marque et des modèles précis de DAB
�Des inspections ont eu lieu pour repérer les DAB infectés : L’Europe de l’Est (Russie, Ukraine) principalement touchée
�Un correctif a été créé par l’industrie
34343434
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Nouvelles menaces liées aux DAB : Compromission de DAB en Europe de l’Est
�Caractéristiques du malware
� Une fois activé, il injecte un code dans les processus en mémoire, pour récupérer les informations des transactions passées
� Il récupère les données nécessaires (dont code PIN saisi), et stocke le tout dans un fichier
� Il filtre les seules transactions valides, et uniquement en devises russes, ukrainiennes et américaines
� Il s’appuie sur des instructions non documentées par le constructeur, ce qui laisse présager des complicités internes
� Plusieurs évolutions du malware ont été identifiées
35353535
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Nouvelles menaces liées aux DAB : Compromission de DAB en Europe de l’Est�Mode opératoire:
� Pas de propagation par les réseaux : installation au coup par coup
� Leur installation physique dans le DAB n’est pas clair :
� soit par complicité d’un dabiste ou d’un agent de maintenance
� soit l’utilisation directe d’une carte de maintenance clonée
� Plusieurs mois après, on envoie une mule récupérer les informations collectées :
� Ils activent un menu à l’aide d’une carte spécifique
� Ils lancent une impression sur l’imprimante embarquée
� Une autre option permettait de vider le coffre du distributeur
� Certaines informations sont chiffrées en DES, avant impression
� Une évolution non opérationnel devait permettre de récupérer les informations directement sur une carte de stockage
36363636
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
�Possibilité d’acheter des DAB d’occasion sur des sites d’enchères, ou de petites annonces :
�Pour développer un virus ou un malware
�Pour récupérer des informations sur le disque dur
�Pour le transformer en DAB factice
� Ex: Conférence du Defcon2009
Nouvelles menaces liées aux DAB : Les distributeurs de billets d’occasion
37373737
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Panorama 2009 – ExtraitsA partir des précédents Panoramas
�Evolution d’environnement
�Attaques électroniques et cryptonanalyse via grid
�Cartes bancaires : du skimming à la compromission des réseaux ATM (DAB)
�De SCADA aux Services Généraux sur IP
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI et les portails d’information
�Réseaux sociaux… que du bonheur !
38383838
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
SCADA : accidents et malveillances (via le S.I.)
2007 : bombe logique d’un employé sur un système de contrôle d’irrigation des eaux de barrage (Californie)
2007 : prise de contrôle et perturbation des feux de signalisation (Californie)
2007 (et 2000 en Australie) : sabotage logique par un administrateur réseau du système d’approvisionnement en eau (Californie)
2007 destruction expérimentale d’un générateur électrique (Idaho pour CNN)
2008 : prise de contrôle et déraillement de 4 wagons, plusieurs blessés (Pologne)
39393939
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
SCADA et réseaux industriels
« Exercice » de destruction d’une turbine à partir d’une faille de
sécurité, depuis corrigée
Pologne (Lodz),
déraillement de 4
wagons par un
adolescent
Migration IP; Ethernet, WinCE, accès distants…
40404040
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
2009, migration IP continue…
•Après la téléphonie , le reste des infrastructures générales migre sur les réseaux IP :
• Migration complète (y compris le transport ou les équipements terminaux) ou partielle (supervision, commande, reporting…)
• Surveillance et accès (portes, badgeuses, caméras, détecteurs présence, détecteurs incendie, humidité…)
• Climatisation, chauffage, éléments de confort (volets)
• Energie (onduleurs, électrogènes…)
• Systèmes SCADA (pilotage, processus industriel…)
41414141
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Serrures sur IP
Lyon, 29/08/2009 - La prison neuve de Corbas (Rhône) connait
depuis une semaine des pannes du système d'ouverture automatisé
des portes […] Les serrures électriques commandées à distance par
écran tactile ont cessé de fonctionner le week-end dernier, entre
samedi 15h30 et dimanche soir, empêchant la circulation de
prisonniers, gardiens et visiteurs à l'intérieur de la prison.
Roanne, 02/09/2009 - La prison de Roanne, inaugurée en janvier
dans la Loire, a été paralysée par une panne informatique
empêchant l'ouverture de toutes les serrures électroniques. Le
système vidéo, les alarmes et les ouvertures de portes commandées
à distance sont tombés en panne vers 15H00 et n'ont été réparés
que vers minuit, après l'intervention de techniciens venus de Paris
42424242
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
2009, SWATTING for Money
Hammond (Indiana, E-U), juillet 2009 : début du procès de jeunes hackers qui vendaient en ligne (partyvanpranks.com) l’accès vidéo à une action SWAT en cours. Pour cela, ils ont commencé par prendre le contrôle à distance des caméras de surveillance
Google Search: camera linksys inurl:main.cgi
Another webcam, Linksys style.
********************************************
* inurl:”ViewerFrame?Mode=
* intitle:Axis 2400 video server
* intitle:”Live View / - AXIS” | inurl:view/view.shtml^
* inurl:ViewerFrame?Mode=
* inurl:ViewerFrame?Mode=Refresh
* inurl:axis-cgi/jpg
* …
43434343
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
2009, Hacking de la ventilation dans un hôpital – Services Généraux sur IP
44444444
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Panorama 2009 – Extraits… à partir des précédents Panoramas
�Evolution d’environnement
�Attaques électroniques et crypto-analyse via grid
�Cartes bancaires : du skimming à la compromission des réseaux ATM (DAB)
�De SCADA aux Services Généraux sur IP
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI et les portails d’information
�Réseaux sociaux… que du bonheur !
45454545
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Cloud computing, virtualisation :haute indisponibilité… parfois !
Quelque part dans le monde (cloud ☺ ) pendant l’année 2009 mais
pour des entreprises prestigieuses : Air New Zealand, Amazon
(dont EC2), Barclay’s, eBay (Paypal), Google (Gmail entre autres),
Microsoft, Over-blog, Rackspace, RIM, Twitter…
�Panne électrique (UPS) et crash disques au redémarrage
�Feu électrique, destruction du générateur de secours et
de l’UPS, commutateurs électriques, etc.
�Mise à jour corrective qui bogue
�Mauvaise configuration du routage entre 2 Data Center
�Attaque en DDoS ciblant des ressources DNS dans un Data
Center spécifique
accidentel
46464646
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Cloud computing, virtualisation :haute indisponibilité… parfois !
L’année 2009 n’est peut-être pas spécifiquement exceptionnelle mais les incidents sont de plus en plus visibles : alerte via blogs, réseaux sociaux, Twitter…
Des effets secondaires
� Temps de redémarrage des serveurs
� Crash des disques
� Destruction par incendie, le reste par inondation pour extinction…
� Pénalités (Rackspace contraint de payer entre 2,5 et 3,5 millions de dollars à ses Clients)
� Saisie des serveurs (FBI chez Core IP Networks, Texas)
� Perte de contrats (prestataire mais aussi pour l’entreprise commerciale vis-à-vis de ses propres clients)
� Twitter « interdit » de mise à jour par une Administration le dimanche de juin d’une élection…
� …
accidentel
47474747
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Cloud computing, virtualisation :haute indisponibilité… parfois !
accidentel
48484848
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Panorama 2009 – Extraits… à partir des précédents Panoramas
�Evolution d’environnement
�Attaques électroniques et crypto-analyse via grid
�Cartes bancaires : du skimming à la compromission des réseaux ATM (DAB)
�De SCADA aux Services Généraux sur IP
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI et les portails d’information
�Réseaux sociaux… que du bonheur !
49494949
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Webographie (portails)
Cybercriminalité et cyber-victime� www.clusif.asso.fr
� http://www.clusif.asso.fr/fr/production/cybervictime/
Passeport du voyageur� www.securite-informatique.gouv.fr/partirenmission
Agence ANSSI
� www.ssi.gouv.fr
Avis de sécurité CERTA
� www.certa.ssi.gouv.fr
Alertes Internet� www.internet-signalement.gouv.fr
50505050
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Panorama 2009 – Extraits… à partir des précédents Panoramas
�Evolution d’environnement
�Attaques électroniques et crypto-analyse via grid
�Cartes bancaires : du skimming à la compromission des réseaux ATM (DAB)
�De SCADA aux Services Généraux sur IP
�Cloud computing, virtualisation : haute indisponibilité… parfois !
�ANSSI et les portails d’information
�Réseaux sociaux… que du bonheur !
51515151
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Les Les Réseaux Sociaux (RS) ont toujours existSociaux (RS) ont toujours existé…é…
Les clubsLes clubs
�� pongistes, pongistes, ééchangistes, etc.changistes, etc.
Avant les annAvant les annéées 90, Internet pour une es 90, Internet pour une communautcommunautéé informatique (informatique (computer computer centriccentric))
�� BBS (BBS (Bulletin Bulletin BoardBoard ServiceService))
�� keyringskeyrings lors des conflors des conféérences et rrences et rééunions unions hackerhacker
�� GeocitiesGeocities lieu de partagelieu de partage
�� Usenet et les forums dUsenet et les forums déédidiéés tout sujet s tout sujet maismaispour des informaticienspour des informaticiens
52525252
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
RS, engouement initial
Théorie du 6ème degré (de séparation)
� Validité mathématique
� Tests sociologiques
� Cf. Duncan Watts,Stanley Milgram (Small World Problem)
« has been d'aujourd'hui » pour les nostalgiques des années lycées ;-)
Satisfaction d'une logorrhée et,corollaire, la photo-vidéo numériquec'est fantastique !
Politicien suisse
« balancé » par son ex-
maîtresse sur YouTube
53535353
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
RS, tout se partageRS, tout se partage……
Partage de vidéos � Youtube, DailyMotion, MyPornMotion…
Partage de podcasts (fichiers audio)� Podemus, Radioblog
Partage de photos et de diaporamas� Flickr, Fotolia, SlideShare
Partage de CV, mise en relation� Réseaux généralistes: Facebook, MySpace, Copainsdavant� Réseaux professionnels: LinkedIn, Viadeo� Réseaux de chercheurs: Scilink
Partage de signets (marque-pages Internet) � Del.icio.us, Blogmarks
Partage d’informations et de savoir� Wikipédia, AgoraVox
Créer un blog => 2 minutes
Indexer un billet => 5 minutes
Créer une vidéo avec son téléphone => 10 minutes
Mettre la vidéo sur Youtube => 15 minutes
54545454
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
RS et les idées reçues
Effet instantané
�� Lassitude (perte de) temps passLassitude (perte de) temps passéé àà ggéérer ses rer ses
«« amis/contactsamis/contacts »»
�� un run rééseau, pour être efficace, s'entretient ou alors, on seau, pour être efficace, s'entretient ou alors, on
confond relations et simple carnet d'adresse confond relations et simple carnet d'adresse
(accumulation de cartes de visite)(accumulation de cartes de visite)
��Quel seuil (masse critique) / quelle quantitQuel seuil (masse critique) / quelle quantitéé
optimale de contacts (point de congestion) ?optimale de contacts (point de congestion) ?
��Quel retour sur perte de temps ? Activation rQuel retour sur perte de temps ? Activation rééelle elle
et/ou efficace des contacts ?et/ou efficace des contacts ?
→→Quel intQuel intéérêt pour le tiers ?rêt pour le tiers ?
55555555
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
… on ne crie pas au « cyber-Vichy », sans penser aux modes d’enrichissement des RS qui manipulent les données de votre vie privée
Le hub et la théorie des réseaux
� « ta ton tatoo » et la tribu communicante« Cadres stressés, amoureux éperdus, mères possessives, étudiants étourdis, le calvaire est terminé. Vingt-quatre heures sur vingt-quatre, sept jours sur sept, les cas pathologiques décrits ci-dessus peuvent recevoir en temps réel des messages d'amour ou la liste des courses, être informés d'un changement de rendez-vous ou du retard de maman à l'école, à condition d'être équipés d'un pager ».
(L’Express, 07/03/1996)
� Expérience beacon, sniff-it, Facebook UK; géolocalisation en 2010
Heureusement, ce ne sont pas desservices publics !..
56565656
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
RS, que du bonheurRS, que du bonheur……
On vous identifie☺… en fonction de vos multiples avatars
On vous profile☺Intérêts, activités, humeurs et désappointements
On vous environne☺Réseau de connaissances, points de contact, etc.
On vous trace en temps réel☺Géolocalisation, agenda quotidien
On valorise vos comportements d’achat☺Vous devenez relais publicitaire (gratuit)
Mais il n’y a pas que des bonnes choses sur les RS…
57575757
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Pour la présentation de malveillances via RS…
Confer Panorama cybercriminalité du Clusif (annuel)
�Année 2008, ««Web 2.0 et réseaux sociaux : les menaces se précisent… »
�Année 2009�« Réseaux sociaux : menaces, opportunités et convergences »
�« Web 2.0 : le 5ème pouvoir ? »
58585858
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
Premières conclusions…Toute nouvelle technologie génère deux conséquences :
� Risque spécifique
� Détournement d’emploi malveillant
�Automobile : dommages corporels et matériels, 1er
braquage de banque avec fuite en auto (bande à Jules Bonnot)
�Email : bombing, spam, phishing et début de l’affaire Monica Lewinsky
Prédominance du facteur humain
� Motivation de la malveillance
� Gestion du personnel inadaptée (cf. Enquête Clusif 2008)
�Gérer le comportement humain et non le facteur humain
� Soyez vigilant sur ce que vous mettez en ligne (RS)Clônage OV-Chip card
Photo de la cravate, n’ayant
pas eu accès à l’email
59595959
Panorama cybercriminalité, année 2009 – Extraits et tendances
[email protected] + 33 1 5325 088025 mars 2010
www.clusif.asso.fr