Panorama de la Cyber-criminalité - Année 2009

Panorama de la cybercriminalitéannée 2009

Paris, 13 janvier 2010

213 janvier 2010

Panorama cybercriminalité, année 2009

[email protected] + 33 1 5325 0880

Le CLUSIF : agir pour la sagir pour la séécuritcuritéé de lde l’’informationinformation

Association sans but lucratif (création au début des années 80)

> 600 membres (pour 50% fournisseurs et prestataires de produits et/ou services, pour 50% RSSI, DSI, FSSI, managers…)

Partage de l’informationEchanges homologues-experts, savoir-faire collectif, fonds documentaire

Valoriser son positionnementRetours d’expérience, visibilité créée, Annuaire des Membres Offreurs

Anticiper les tendancesLe « réseau », faire connaître ses attentes auprès des offreurs

Promouvoir la sécurité

Adhérer…

313 janvier 2010



La dynamique des groupes de travail

Documents en libre accès Traductions (allemand, anglais…)

Prises de position publiques ou réponses à consultation

Espaces d’échanges permanents : MEHARI, Menaces, RSSI

413 janvier 2010



Une collaboration à l’international,des actions en région

513 janvier 2010



Objectifs du panorama:

Apprécier l’émergence de nouveaux risques et les tendances de risques déjà connus

Relativiser ou mettre en perspective des incidents qui ont défrayé la chronique

Englober la criminalité haute technologie, comme des atteintes plus « rustiques »

Nouveauté 2009, élargissement au risque numérique

Evénements accidentels

Faits de société et comportements pouvant induire / aggraver des actions cybercriminelles société

accidentel

613 janvier 2010



Sélection des événements médias

Illustration

d’une émergence,

d’une tendance,

d’un volume d’incidents.

Cas particulier

Impact ou enjeux,

Cas d’école.

Les images sont droits réservés

Les informations utilisées proviennent de sources ouvertes

Les entreprises sont parfois citées par souci de précision et parce que leur nom a été communiqué dans les médias

713 janvier 2010



Contributions au panorama 2009

�Best Practices-SI

�Chartis

�HSC

�McAfee

�RATP

�SNCF

�Telindus

Le choix des sujets et les propos tenus

n'engagent pas les entreprises et organismes ayant participé au groupe de travail

Sélection réalisée par un groupe de travail pluriel : assureur, chercheur, journaliste, officier de gendarmerie et police, offreur de biens et de services, RSSI…

�Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI)

� Ambassade de Roumanie en France - Bureau

de l’Attaché de Sécurité Intérieure

�Direction Centrale de la Police Judiciaire (OCLCTIC)

�Gendarmerie Nationale

�Sûreté du Québec

813 janvier 2010



Panorama 2009 (1/3)

�[évocation] La sécurité du GSM compromise ?M. Alain Thivillon

� Directeur technique – [email protected]

�Services Généraux sur IP, nouvelle expositionM. Alain Thivillon

� Directeur technique – [email protected]

�[évocation] Câbles et ruptures de servicesM. Pascal Lointier

� Conseiller sécurité des systèmes d’information – [email protected]

913 janvier 2010



Panorama 2009 (2/3)

�Cloud computing, virtualisation : haute indisponibilité… parfois !M. Pascal Lointier

� Conseiller sécurité des systèmes d’information – [email protected]

�ANSSI, Retour d’expérience sur un déni de serviceM. Franck Veysset

� Chef du CERTA – ANSSI\[email protected]

�Réseaux sociaux : menaces, opportunités et convergencesM. Yann Le Bel

� Conseiller auprès du Secrétaire Général – [email protected]

1013 janvier 2010



Panorama 2009 (3/3)

�Cartes bancaires : vos numéros voyagent…M. Fabien David

� Consultant Sécurité des SI – TELINDUS [email protected]

�Web 2.0 : le 5ème pouvoir ?Mme Isabelle Ouellet

� Analyste en cybercriminalité - Sûreté du Qué[email protected]

�Une entreprise criminelle au microscopeM. François Paget

� Chercheur de menaces – McAfee [email protected]

1113 janvier 2010



Panorama 2009

�[évocation] La sécurité du GSM compromise ?

�Services Généraux sur IP, nouvelle exposition

�[évocation] Câbles et ruptures de services

�Cloud computing, virtualisation : haute indisponibilité… parfois !

�ANSSI, retour d’expérience sur un déni de service

�Réseaux sociaux : menaces, opportunités et convergences�Cartes bancaires : vos numéros voyagent…�Web 2.0 : le 5ème pouvoir ?�Une entreprise criminelle au microscope

1213 janvier 2010



Trois évènements de ce début 2010

•29/12/2009 : au Chaos Computer Congress (Berlin), annonce d’avancées majeures dans le cassage du chiffrement GSM, par pré-calcul distribué sur des cartes graphiques, code source public

•31/12/2009 : Record battu pour le calcul des décimales de PI (2700 Milliards), par un effort individuel (131 jours de calcul sur un seul PC, 7To de stockage)

•8/01/2010 : Annonce par l’INRIA (et d’autres) de la factorisation d’une clé RSA 768 Bits : 30 mois de calcul par 1500 CPU

La loi de Moore (et l’intelligence des algorithmiciens et cryptologues) à l’œuvre : les puissances de CPU et de stockage permettent des calculs cryptographiques jugés hier réservés à des gouvernements.

1313 janvier 2010



Chaos Computer Congress (CCC)

�Congrès de « hackers » en Allemagne (Berlin)26e édition cette année (26C3)

http://events.ccc.de/congress/2009/

Ne concerne pas seulement la sécurité informatique : vie privée, « building things », « Net Activism », …

�Evènement non commercialBeaucoup moins d’auto-censure qu’à BlackHat

Entrée ~ 100 euros

�Déjà connu pour des annonces sur la sécuritéCassage RFID

Cassage Xbox

1413 janvier 2010



La sécurité GSM (2G)

Authentification et confidentialité reposent sur les secrets contenus dans la SIM de l’abonné et dans le réseau opérateur, desquels sont dérivés une clé de chiffrement symétrique utilisée dans un algorithme nommé A5/1 (chiffrement radio).

A5/1 (Kc)

Rand

SresSres

Kc

BTS HLR

Kc

1513 janvier 2010



A5/1

�Algorithme conçu en 1987Pas public, reverse-engineeré en 1997

Attaques théoriques publiées depuis cette date, mais peu d’impact pratique public

En 2008, THC a commencé à publier du code puis a fait disparaitre le projet (pressions ?)

•A5/2 est un autre algorithme dégradé « export »

Cassable en quelques millisecondes

Le réseau choisit le chiffrement

�Manque d’authentification mutuelleLe téléphone ne peut pas authentifier le réseau

1613 janvier 2010



Attaque « active »

�Utilisation d’une fausse BTSProjet « OpenBTS » OpenSource + USRP (Décodeur/Encodeur radio)

Connecté au réseau téléphonique par Asterisk (GSM � SIP)

Permet de tester aussi la solidité du téléphone GSM, dénis de service, …

Passage en A5/2 et craquage immédiat (utilisé par les solutions commerciales)

MCC 208/MNC 01

MCC 208/MNC 01

IMSI

BTS

USRP + OpenBTS + Asterisk

1713 janvier 2010



Attaque « passive »

�Le temps de calcul d’un dictionnaire complet A5/1:100000 ans d’un CPU classique

128 Péta-Octets de stockage

�Karsten Nohl (DE), cryptologueDéjà connu pour le reverse-engineering et le cassage de RFID Mifare

Reprise du travail de THC

�Utilisation de techniques nouvellesAmélioration des algorithmes et portage sur GPU (Cartes graphiques Nvidia

et ATI)

Utilisation de « Rainbow Tables » permettant de restreindre l’espace de stockage tout en gardant un temps de calcul raisonnable

1813 janvier 2010



Attaque « passive » - 2

�Résultats Utilisation de 40 GPU en calcul distribué pendant 3 mois

Rainbow Tables totales de 2 To représentant 99 % de l’espace de clés

�Conséquences Récupération de la clé de chiffrement d’une conversation assez longue et

décryptage en quelques minutes

Possibilité de déchiffrer avec 50 % de probabilité la signalisation (SMS…) même sans conversation

�La partie la plus dure est de « sniffer » le mobileGestion des sauts de fréquence

Utilisation de USRP2 (~2500$)

Encore du travail pour faire un produit« tous terrains »

1913 janvier 2010



Réaction GSM Association

A hacker would need a radio receiver system and the

signal processing software necessary to process the

raw radio data. The complex knowledge required to

develop such software is subject to intellectual property

rights, making it difficult to turn into a commercial

product.

…

Moreover, intercepting a mobile call is likely to

constitute a criminal offence in most jurisdictions.

Puisque la sécurité est mauvaise, changeons de cible de sécurité…

2013 janvier 2010



Et après ? …

�Réseaux 3G SIM � USIM

Utilisation d’autres algorithmes (KASUMI)

Authentification mutuelle !

�Réseaux 2G Passage encouragé depuis longtemps à A5/3 (Dérivé des algorithmes 3G)

Contraintes opérateurs fortes (fiabilité, charge des réseaux, compatibilité…)

Ca n’empêche pas l’attaque MITM et la dégradation d’algorithme…

�Kasumi cassé ?Faiblesses connues

Nouveau papier hier ! (signé par SHAMIR/RSA)

Résistance dans 5 ou 10 ans ? …

2113 janvier 2010



Webographie

Conférence CCC (slides + Video)

http://events.ccc.de/congress/2009/Fahrplan/events/3654.en.html

Karsten Nohl

http://reflextor.com/trac/a51

GSM Association

http://www.gsmworld.com/newsroom/press-releases/2009/4490.htm

INRIA/RSA 768

http://www.inria.fr/actualites/espace-presse/cp/pre210.fr.html

2700 Milliards de décimales de PI, Fabrice Bellardhttp://bellard.org/pi/pi2700e9/

Attaque « Sandwich » sur Kasumi

http://eprint.iacr.org/2010/013

2213 janvier 2010



Panorama 2009



�[évocation] câbles et ruptures de services




2313 janvier 2010



Migration IP

�Après la téléphonie , le reste des infrastructures générales migre sur les réseaux IP :

Migration complète (y compris le transport ou les équipements terminaux) ou partielle (supervision, commande, reporting…)

Surveillance et accès (portes, badgeuses, caméras, détecteurs présence, détecteurs incendie, humidité…)

Climatisation, chauffage, éléments de confort (volets)

Energie (onduleurs, électrogènes…)

Systèmes SCADA (pilotage, processus industriel…)

2413 janvier 2010



Nouvelles offres/technologies

�Surveillance du domicile depuis Internet

Détection de fumée Orange : http://mamaison.orange.fr/

SFR HomeScope : http://www.sfr.fr/vos-services/equipements/innovations/sfr-homescope/

•Tous nouveaux services M2M : « Internet des objets »

•ZIGBEE

•IPv6, s’il arrive un jour...

permettra d’adresser plus facilement les objets du bâtiment/domicile

Auto-configuration, intelligence du réseau, mobilité…

2513 janvier 2010



Quels risques ?

•Changement radical de l’exposition :

Technologie plus facile à acquérir par les attaquants

Changements d’échelle des accès aux éléments sensibles

• Exemple une centrale d’alarme connectée en IP accessible depuis une filiale étrangère

Complexité et intégration des systèmes

�Le risque informatique peut devenir un risque physique

Intrusion par le système d’accès

Déni de service sur les alarmes, l’incendie…

Vie privée, Chantage…

2613 janvier 2010



Vulnérabilités liées à IP

�Equipements très souvent légers (mémoire, CPU…), système d’exploitation moins évolués (RT) et peu éprouvés

�Risque élevé de déni service sur la couche IP (par flood, déni de service…)

•Protocoles de communication « portés » et peu résistants

Déni de service, boucles, redémarrage…

Spoofing, interceptions, rejeu…

�Exemples :

DefCon 17 : Déni de service sur la vraie caméra, puis Injection de flux vidéo (« Ocean’s Eleven Attack »)

HSC 2009 : plantage capteur à distance à travers la Box, puis génération de fausses alarmes…

2713 janvier 2010



Vulnérabilités physiques/infra

�Comment résister à :

Coupure ou perturbations du réseau Ethernet

Brouillage Wifi

Coupure du Power On Ethernet ou alimentation

Perte de l’infrastructure IP (DHCP, DNS, Routage…)

Attaques par épuisement de ressources (batteries…)

•Rebonds IP

Exemple équipement connecté au GPRS pour la supervision externe _et_ au réseau de l’entreprise

2813 janvier 2010



Vulnérabilité des serveurs

� Très souvent, les serveurs sont livrés par un intégrateur et échappent aux équipes IT : « Vous touchez à rien sinon ça ne marche plus ! »

� La sécurité est « abandonnée » :

Suivi des correctifs Windows (risque sur les vers…)

Mots de passe (système, bases de données)

Vulnérabilité des interfaces d’administration

Backups !

• Accès distants intégrateur…

� Exemples récents HSC :

Gestion des Pointeuses avec SQL Server sans mot de passe

Serveur de gestion des écoutes d’un centre d’appel

2913 janvier 2010



Caméras sur Internet…

3013 janvier 2010



RTU sur Internet…

3113 janvier 2010



Que faire ?

�Reprendre la main…

Se faire expliquer et comprendre les technologies utilisées, les flux de données, les interfaces…

Préférer ce qui est normé et ouvert

Envisager une segmentation réseau

Audits, Tests intrusifs

�Amener la PSSI à ces équipements

Mots de passe, Correctifs, Domaine, bonnes pratiques…

Intégration, Supervision, Masters, Sauvegardes, PCA

Contrats

Règles d’accès par des Tiers

3213 janvier 2010



Webographie

Shodan (Computer Search Engine)

http://shodan.surtri.com/

Hacking Hospital

http://pcworld.about.com/od/securit1/Security-Guard-Charged-With-Ha.htm

Defcon 17 - Video Hacking

http://www.theregister.co.uk/2009/08/01/video_feed_hacking/ , http://hackerpoetry.com/images/defcon-17/dc-17-presentations/defcon-17-ostrom-sambamoorthy-video_application_attacks.pdf

RISKS Digest

http://catless.ncl.ac.uk/Risks

3313 janvier 2010



Panorama 2009







3413 janvier 2010



[évocation] câbles et ruptures de services

Année 2008, théorie du complot, entre autres, pour expliquer les « nombreuses » ruptures de câbles sous-marins voix-données

Août, Malaisie : rupture du câblesous-marin APCN2 (Asia-Pacific CableNetwork 2).Le typhon Morakot est présumé coupable.

Septembre, câble Colt GB-continent…

Janvier, Phoenix (USA) : sectionnement accidentelaccidentel des câbles en fibre optique à proximité d’un centre informatique d’une compagnie aérienne. Perturbation du système de gestion et retards pour une centaine de vols

accidentel

3513 janvier 2010




Avril, Californie (USA) : sectionnement malveillant des fibres, optiques sur deux sites de la Silicon Valley. Forte dégradation des appels aux services d’urgence, téléphonie commutée, distributeurs de billets et connexions Internet. Des dizaines demilliers d’utilisateurs impactés et, entre autres Sprint, Verizon et AT&T qui offre une récompense de 100 000 Dollars… AT&T informe via http://twitter.com/attnews/ ☺

Octobre, IdF : perturbation du trafic ferroviaire suite au vol de 200 m de câble électrique.

Janvier 2010, Bouches du Rhône : vol de câbles et « paralysie quasi-totale » du système de signalisation.

3613 janvier 2010




Novembre, Californie : coupure malveillante des câbles des caméras de surveillance.

Décembre, (Etat de N-Y) : coupure de fibre optique affectant toute la région et notamment les services de billetteries et le traitement des transactions bancaires

Avril, Massachussetts : le FBI utilise un spyware (CIPAV, Computer and Internet

Protocol Address Verifier) pour confondre une tentative de rançons contre Verizon et Comcast après coupures de 18 câbles (2005)

Une solution à privilégier : la double adduction physique…

3713 janvier 2010



Webographie

Ruptures de câbleshttp://news.smh.com.au/breaking-news-technology/computer-problem-delays-us-airways-flights-20090130-7tdo.html

http://www.eweek.com/c/a/VOIP-and-Telephony/ATT-Offers-100000-Reward-for-Conviction-of-Bay-Area-Telecom-Vandals-437552/

http://www.datacenterknowledge.com/archives/2009/04/09/cable-cut-cited-in-silicon-valley-outage/

http://www.pcmag.com/article2/0,2817,2344762,00.asp

http://www.theinquirer.fr/2009/01/30/cable-sectionne-les-vols-us-airways-cloues-au-sol.html

http://www.varmatin.com/ra/derniere-minute/233072/vols-de-cables-jusqu-a-1h30-de-retard-sur-le-reseau-tgv?utm_source=rss&utm_medium=feed&xtor=RSS-220&

http://www.umpguingamp.over-blog.org/article-les-vols-de-metaux-en-augmentation-un-fleau-pour-les-transports-39597879.html

http://www.coltethernet.com/global_network_map.php

http://www.indybay.org/newsitems/2009/11/30/18630970.php

http://www.networkworld.com/news/2009/042009-fbi-used-spyware-to-catch.html

3813 janvier 2010



Panorama 2009






�Réseaux sociaux : menaces, opportunités et convergences�Allez en Europe de l'Est, votre carte bancaire y est (peut-être) déjà�Web 2.0 : le 5ème pouvoir ?�Une entreprise criminelle au microscope

3913 janvier 2010



Cloud computing, virtualisation :haute indisponibilité… parfois !

Buzz et tendances

Virtualisation

�la virtualisation comme un ensemble de techniques matérielles et/ou logicielles qui permettent de faire fonctionner sur une seule machine plusieurs systèmes d'exploitation et/ou plusieurs applications, séparément les uns des autres, comme s'ils fonctionnaient sur des machines physiques distinctes (Wikipedia)

Cloud computing L'« informatique dans les nuages » permet aux entreprises de réduire leurs coûts

en délocalisant leurs contenus et en utilisant des applications à distance. Mais « c'est un cauchemar pour la sécurité et elle ne peut pas être traitée par les méthodes traditionnelles », a estimé John Chambers, PDG de Cisco (01net, 27/04/2009)

accidentel

4013 janvier 2010




Haute disponibilitéLa haute disponibilité est un terme souvent utilisé en informatique, à propos

d'architecture de système ou d'un service pour désigner le fait que cette architecture ou ce service a un taux de disponibilité convenable (wikipedia)

� Pour mesurer la disponibilité, on utilise souvent un pourcentage essentiellement composé de '9' :

99% désigne le fait que le service est indisponible moins de 3,65 jours par an 99,9%, moins de 8,75 heures par an 99,99%, moins de 52 minutes par an 99,999%, moins de 5,2 minutes par an 99,9999%, moins de 54,8 secondes par an 99,99999%, moins de 3,1 secondes par an Etc.

Et pourtant…

accidentel

4113 janvier 2010




Quelque part dans le monde (cloud ☺ ) pendant l’année 2009 mais pour des entreprises prestigieuses : Air New Zealand, Amazon (dont EC2), Barclay’s, eBay (Paypal), Google (Gmail entre autres), Microsoft, Over-blog, Rackspace, RIM, Twitter…

�Panne électrique (UPS) et crash disques au redémarrage

�Feu électrique, destruction du générateur de secours et de l’UPS, commutateurs électriques, etc.

�Mise à jour corrective qui bogue

�Mauvaise configuration du routage entre 2 Data Center

�Attaque en DDoS ciblant des ressources DNS dans un Data Center spécifique

accidentel

4213 janvier 2010




L’année 2009 n’est peut-être pas spécifiquement exceptionnelle mais les incidents sont de plus en plus visibles : alerte via blogs, réseaux sociaux, Twitter…

Des effets secondaires

�Temps de redémarrage des serveurs

�Crash des disques

�Destruction par incendie, le reste par inondation pour extinction…

�Pénalités (Rackspace contraint de payer entre 2,5 et 3,5 millions de dollars à ses Clients)

�Saisie des serveurs (FBI chez Core IP Networks, Texas)

�Perte de contrats (prestataire mais aussi pour l’entreprise commerciale vis-à-vis de ses propres clients)

�Twitter « interdit » de mise à jour par une Administration le dimanche de juin d’une élection…

�…

accidentel

4313 janvier 2010




accidentel

4413 janvier 2010




Problématiques multiples

�Valider la politique de SSI du prestataire

�Maîtrise la confidentialité des informations (au regard du droit et de la contre-Intelligence Economique)

�Identifier la chaîne de responsabilité (légale) lors d’un dysfonctionnement

accidentel

4513 janvier 2010




Points de vigilance

�Clauses du contrat d’infogérance, à lire par le Département juridique, l’informatique (et la SSI) mais également par les Responsables métiers pour valider les délais de reprise sur incident

�Contrôler les procédures de sécurité effectives

�Identifier les sous-traitances et relocalisations possibles et parfois non signifiées au client

�Apprécier la capacité de reprise sur incident avec des systèmes mutualisés

accidentel

4613 janvier 2010




�La redondance physique des ressources (serveurs, électricité, réseaux) exposée à des défaillances logicielles.

Le MTBF (Mean Time Between Failure) concerne des pannes physiques pas le déploiement simultané sur toutes les ressources redondantes mais à l’identique

d’une mauvaise configuration (cf. incident HLR),

d’un correctif bloquant (cf. … vous avez le choix ☺),

d’une intrusion externe par la télémaintenance (cf. DHS pour CNN, conférence SCADA du CLUSIF)

accidentel

4713 janvier 2010



WebographieCentres informatiques et Cloud computinghttp://www.datacenterknowledge.com/archives/2009/11/04/inside-a-cloud-computing-data-center/

http://www.datacenterknowledge.com/archives/2009/12/16/major-data-center-outages-of-2009/

http://www.datacenterknowledge.com/archives/2009/07/06/the-day-after-a-brutal-week-for-uptime/

http://cloudsecurity.org/

http://www.datacenterknowledge.com/archives/2009/12/23/dns-issues-cause-downtime-for-major-sites/

http://www.informationweek.com/story/showArticle.jhtml?articleID=222001992

http://www.networkworld.com/news/2009/101209-sidekick-cloud-computing-outages-short-history.html

http://www.infoworld.com/print/105435

http://www.infoworld.com/d/security-central/gartner-seven-cloud-computing-security-risks-853

http://www.networkworld.com/news/2009/040609-cloud-computing-security.html

http://www.theregister.co.uk/2009/10/05/amazon_bitbucket_outage/

http://www.computerworld.com/s/article/9130283/Backup_provider_Carbonite_loses_data_sues_vendor

http://www.tdg.ch/feu-avenue-provence-fermez-fenetres-2009-09-25http://www.tsr.ch/tsr/index.html?siteSect=200001&sid=11279188http://www.theregister.co.uk/2009/06/17/barclays_gloucester_outage/

http://www.theinquirer.fr/2009/07/02/panne-electrique-sur-un-centre-de-donnees.html

http://www.networkworld.com/news/2009/071009-rackspace-ceo-speaks.html

http://www.theregister.co.uk/2009/08/04/paypal_offline_again/

http://www.theregister.co.uk/2009/06/24/paypal_uk_down/

http://www.theregister.co.uk/2009/08/05/cisco_2hour_outage/

http://www.theregister.co.uk/2009/10/19/swissdisk_failure/

http://www.silicon.fr/articles/printView/fr/silicon/news/2009/12/10/des_hackers_s_introduisent_dans_ec2__l_offre_de_cloud_d_amazon

4813 janvier 2010



Panorama 2009







4913 janvier 2010



LL’’Agence Nationale de la SAgence Nationale de la Séécuritcuritéé des des SystSystèèmes dmes d’’InformationInformation

Retour dRetour d’’expexpéérience sur un Drience sur un Dééni de serviceni de service

Franck Franck VeyssetVeyssetANSSI/COSSI/CERTAANSSI/COSSI/CERTA

5013 janvier 2010



Nouvelle stratégie française en matière de défense et de sécurité nationale

Livre blanc sur la défense et la sécurité nationale

***

Volet Cyberdéfense

5113 janvier 2010



La stratégie de défense et de sécurité nationaleMenaces

Attentats terroristes

Attaques informatiques

Menace balistique

Pandémie

Catastrophes naturelles

Criminalité organisée

Dom-Com

5213 janvier 2010



Objectifs prioritaires

une cyber défense active

- Une capacité de détection précoce des attaques

systèmes et produits sécurisés

- Promouvoir le développement et l’utilisation des produits de sécurité

Infrastructures vitales

Résilience et internet

5313 janvier 2010



L’agence nationale de la sécurité des systèmes d’information

7/7/2009

Décret n°2009-384

5413 janvier 2010



Agence nationale

de la SSI

Systèmes d’informationsécurisés (SIS)

Centre opérationnel(COSSI)

Centre de formation(CFSSI)

Communication

Stratégie et Réglementation(SR)

L’ANSSI

Assistance, conseil etexpertise (ACE)

• Relations internationales• Réglementation• Relations industrielles• Centre de certification• Stratégie

• ISIS, RIMBAUD•Autres projets

• Assistance & conseil• Architecture mat. & log.• Réseaux, proto. et preuves• Crypto & composants• Sans fil

• Veille• CERTA• Coordination• Plans & exercices• Détection• Inspections• Crypto appliquée

5513 janvier 2010



Centre Opérationnel

de la SSI

Bureau inspections en SSICERTA

Centre de détection

(Equipe projet)

Coordination

Bureau plans et exercices

Centre de veille

(7/7 24/24)

Bureau cryptologie appliquée

Ministères Opérateurs

Le COSSI

5613 janvier 2010



Le CERTA

5713 janvier 2010



L’assistance opérationnelle : Le CERTA

Rôle préventif

VeilleFourniture de documents

A priori

Rôle curatif

Analyse et intervention

A posteriori

Aide à la décision pour le RSSI

La réponse technique àl’incident

5813 janvier 2010



2009 et Botnet

2009, année dans la « continuité »

Nombreux codes malveillants

Conficker

Zeus

Torpig

…

Spam, vol de données (keylogger, bancaire…), ddos

5913 janvier 2010



Un cas concret…

Fin mars, une administration française a subit une attaque massive de type DDoS

Les services de Web, de messagerie, l’accès Internet ont étéfortement impactés

CERTA, Le CERT gouvernemental Français, est intervenu sur ce dossier

La Police française a aussi été impliquée, ce dossier ayant été“judiciarisé”

6013 janvier 2010



CERTA & Police : actions

Le CERTA a été contacté tôt sur ce dossier

Gestion de crise

Signalement auprès de la Police

Le trafic d’attaque provient du monde entier

Au moins 7000 bots impliqués

Identification de systèmes infectés sur le territoire français

6113 janvier 2010



En résumé

T0: Démarrage du déni de service distribué (DDoS)

T0+6h: L’opérateur internet met en place un filtrage IP

Pas efficace, le DDoS paralyse toujours le site

T+12h: Black holing du trafic Web

Efficace, mais le DDoS atteint alors son objectif !

La messagerie et les autres services sont restaurés

T0+20h: Black holing sur les flux internationaux

L’accès « France » redevient opérationnel

T0+24h: fin du DDoS

6213 janvier 2010



DDoS (4/4)

Hacker

Master system

zombies

Victim

6313 janvier 2010



Outil de DDoS

La Police a identifié des PC français impliqués dans le DDoS

Dans les jours suivant, quelques PC ont été saisis en « flagrant délit »

Le CERTA a été missionné pour réaliser l’analyse « forensic »

PC fortement multi-infectés

“VIRUT”, un malware multifonction a été détecté sur plusieurs systèmes

6413 janvier 2010



Virut

Comportement de type Virus (win 32)

Infection massive des fichiers .exe sur le système

Lancement au démarrage

Client IRC basique

Activité DDoS

Téléchargement d’un outil de DDOS dédié

Adresse IP du serveur cible codée « en dur »

6513 janvier 2010



Fonctionnement d’un Botnet (IRC) BotMasterBotMaster

IRC C&CIRC C&C

BotnetBotnet

VulnerableVulnerableUserUser

ExploitExploit

BotBot downloaddownload

ConnexionConnexion

CommandCommand

6613 janvier 2010



6713 janvier 2010



Retour

Ce dossier est encore en cours d’analyse

Points positifs

Dossier « flagrant délit »

Le CERTA est intervenu (contacté) très rapidement

Points difficiles

Virut est très bruyant, analyse complexe…

Les attaques de type DDoS sont toujours complexes

6813 janvier 2010



Webographie

L’ANSSI - http://www.ssi.gouv.fr

Le CERTA – http://www.certa.ssi.gouv.fr

Portail sécurité grand public – http://www.securite-informatique.gouv.fr/

Botnet & Ddos

Taking over the Torpig botnet –http://www.cs.ucsb.edu/~seclab/projects/torpig/index.html

The Zeus toolkit –http://rsa.com/blog/blog_entry.aspx?id=1274

6913 janvier 2010



Panorama 2009







7013 janvier 2010



Réseaux sociauxMenaces, opportunités et convergences…

Le choix des sujets et les propos tenus

n'engagent pas les entreprises et organismes ayant participé au groupe de travail

société

7113 janvier 2010



One to Many

Autorité des marques et des organisations

Consommateurs ‘‘soumis’’

WEB 1.0Many to Many

Empower consumer

‘‘Citoyen’’ acteur(notion de contre-pouvoir et du

marketing collaboratif)

WEB 2.0Tendance

vers une plus grande

interactivité(disparition progressive

des difficultés techniques)

WEB 3.0

EVOLUTIONForums / Blogs / Wiki / …


société

7213 janvier 2010




société

7313 janvier 2010




Le panorama de la cybercriminalité en 2008 avait mis en exergue les points suivants :

� L’atteinte à la « sphère » privée et professionnelle de chaque personne

� L’accroissement du risque pour les entreprises d’être victimes de vols d’informations, de campagnes de désinformation et de déstabilisation

� Le succès des réseaux sociaux attirent les pirates et les opportunistes

société

7413 janvier 2010




Les réseaux sociaux attirent encore et toujours les pirates

� Février 2009 : Tweet Tornado et pourriels sur Twitter

� Mai 2009 : Campagne d’hameçonnage sur Facebook

société

7513 janvier 2010




� Mai 2009 : Le futur chef des espions anglais en caleçon sur Facebook

Les réseaux sociaux et protection de la vie privée un concept dépassé ?

société

7613 janvier 2010




� Août 2009 : 45% des recruteurs consultent des réseaux sociaux

Selon une étude publiée par le site américain de recherche d'emploi Careerbuilder.com, neuf employeurs sur vingt, soit 45 % des sondés, consultent les réseaux sociaux avant d'envisager le recrutement d'un candidat.

29 % d'entres eux se ruent sur Facebook, 26 % sur LinkedIn, 21% sur Myspace, 11 % sur les blogs et 7 % sur Twitter.

Ils sont 35 % à avoir renoncé à embaucher après avoir visité les pages Facebook, Twitter ou encore Myspace des candidats potentiels.


société

7713 janvier 2010




� Décembre 2009 : Épinglés sur Twitter pour alcool au volant

Aux États-unis, les autorités du comté de Montgomery (Texas) ont décidé d'utiliser Twitter. Pendant les fêtes de fin d'année, les automobilistes arrêtés en état d'ébriété voient leur identité publiée sur le compte Twitter de Brett Ligon, procureur de la région.

Naturellement, la médiatisation de leur nom ne les exempte pas de poursuites judiciaires habituelles.


société

7813 janvier 2010



Réseaux sociaux Menaces, opportunités et convergences…

� 2009 : Prise de conscience et maturité des internautes

A Practical Security Handbook for Activists and Campaigns

“8. Computer Security & Internet Privacy :

We will not go into much detail on computers here other than to cover the basics. There are a number of sites on the internet which go into computer security and protecting your privacy online in more dept. However, as a bare minimum you should be doing the following…“


société

7913 janvier 2010




� 2009 : Prise de conscience et maturité des internautes


société

8013 janvier 2010




� Janvier 2010 : Facebook et Twitter mettent fin aux suicides virtuels de la Web 2.0 Machine

Les réseaux sociaux bloquent l’accès au site Web 2.0 Suicide Machine qui permettait à

ses utilisateurs de supprimer profils et données personnelles de ses pages.


société

8113 janvier 2010




� Janvier 2010 : Pour le fondateur de Facebook, la protection de la vie privée est périmée

Après le PDG de Google, Eric Schmidt, c'est au tour de celui de Facebook, Mark Zuckerberg, de s'en prendre à la protection de la vie privée. Si pour Eric Schmidt, le souci de préserver sa vie privée n'était une réalité que pour les criminels, selon Mark Zuckerberg ce n'est tout simplement plus la norme au sein des internautes.

« Les gens sont à l'aise, non seulement avec le fait de partager plus d'informations différentes, mais ils sont également plus ouverts, et à plus de personnes. La norme sociale a évolué ces dernières années » a ainsi déclaré Mark Zuckerberg.


société

8213 janvier 2010




Les réseaux sociaux comme support de l’activisme…

� Janvier 2009 : 150 jeunes se donnent rendez-vous sur Facebook et déferlent sur le Monoprix de la ville

« La préfecture de l'Aveyron n'avait jamais vu ça...

Il était 16h 30, hier, quand en plein centre-ville de Rodez, une vague déferlante de 150 ados a envahi le Monoprix, boulevard Gambetta. A l'intérieur du magasin des vols sont commis.

Puis les jeunes se retrouvent dans les rues de la ville, pénètrent dans d'autres magasins, et en passant, dégradent du mobilier urbain. »

société

8313 janvier 2010





société

8413 janvier 2010





� Mai 2009 : Domino Pizza nous délivre ses secrets sur Dailymotion

Chacun ayant le pouvoir potentiel de créer un buzz planétaire, certains se sentent pousser des ailes : dernière attaque 2.0 en date contre une entreprise, une vidéo postée sur Dailymotion par deux cuisiniers de la chaîne de restauration Domino's Pizza dans laquelle ils se filment en train de concocter un sandwich répugnant. Une expérience culinaire qui a fait le tour du web, compromettant sérieusement les restaurants de la chaîne.

société

8513 janvier 2010




Conclusion…

� 2010, année de la convergence des « mass media » ?

société

8613 janvier 2010




Conclusion…

� 2010: Année de la convergence des « mass media »?

Les réseaux sociaux vont devenir un « mass media » à part entière avec une convergence vers la télévision.

Microsoft offre l’accès à Facebook, Twitter et aussi LastFMvia la console Xbox 360.

De nouveaux téléviseurs permettant d’accéder directement, via le menu à Facebook, Youtube ou MySpacesans passer par un ordinateur.

Les medias participatifs sur Internet, et les réseaux sociaux en particulier sont bien à considérer comme un 5ème pouvoir.

Les menaces et les risques présentés en 2008 restent d’actualité.

société

8713 janvier 2010



8813 janvier 2010



http://www.digiactive.org/wp-content/uploads/digiactive_facebook_activism.pdf

http://www.lejdd.fr/International/Europe/Actualite/Le-chef-du-MI6-trahi-par-Facebook-16281/

http://www.lepost.fr/article/2009/01/15/1388104_des-ados-deferlent-sur-un-monoprix-ca-s-est-fait-via-facebook.html

http://fr.news.yahoo.com/12/20091230/ttc-epingles-sur-twitter-pour-alcool-au-549fc7d.html

http://www.lefigaro.fr/web/2010/01/05/01022-20100105ARTFIG00551-facebook-interdit-le-suicide-virtuel-.php

http://www.zdnet.fr/actualites/internet/0,39020774,39712119,00.htm

Webographie

8913 janvier 2010



Panorama 2009







9013 janvier 2010



Sommaire

1. Vols massifs de numéros de Carte Bancaire (CB)

2. Nouvelles menaces liées aux DAB (Distributeurs Automatiques de Billets)

9113 janvier 2010



1- Vols massifs de numéros de Carte Bancaire (CB)

9213 janvier 2010



Vols massifs de numéros de Carte Bancaire:Fraude RBS Wordpay

RBS Wordpay : Filiale américaine de la « Royal Bank of Scotland »

9 millions de dollars de retraits frauduleux (fin 2008) :

�Avec des cartes clonées

�Dans un délai très court

�Dans 2100 distributeurs de billets

�Dans 280 villes, 8 pays (E-U, Russie, Ukraine, Estonie, Italie, Hong-Kong, Japon, Canada)

Un réseau de mules très organisé

9313 janvier 2010



Vols massifs de numéros de Carte Bancaire:Fraude RBS Wordpay

L’enquête a identifié :

�4 hommes de 25 à 28 ans, originaires d’Estonie, Russie et Moldavie (mi-2009)

�Quelques mules (rémunérées de 30 % à 50 % des sommes retirées)

�Une intrusion sur le réseau, avec le vol de 1,5 millions de numéros de cartes bancaires avec leur code PIN (entre autres)

�Une méthode de contournement pour déchiffrer les codes PIN, pourtant stockés chiffrés

�Ces informations ont suffit pour créer des clones de carte à piste magnétique

�Le changement des plafonds de retrait de ces cartes

�Une supervision de l’opération depuis le réseau corrompu, puis l’effacement de leurs traces

9413 janvier 2010



Vols massifs de numéros de Carte Bancaire:Fraude en Espagne

Vol de centaines de milliers de CB en Espagne en octobre 2009 :

Nombreux retraits et paiements frauduleux

Pays touchés : Allemagne (principalement) mais aussi la Suède, la Finlande et l’Autriche

En Novembre : VISA a alerté ses clients d’un vol important de numéros de CB en Espagne dans une compagnie espagnole

Recommandations de réémettre les cartes sans puce EMV

Très peu évoqué dans la presse française

Peu d’information disponible, investigation en cours

Serait dû à un vol de données informatiques auprès d’un prestataire de service ou d’un opérateur de télécommunication

9513 janvier 2010



Vols massifs de numéros de Carte Bancaire:Fraude Heartland aux US

Intrusion dans les systèmes informatiques de l’opérateur « Heartland PaymentSystems » et la chaîne de supermarché « Hannaford Brothers »

Les données bancaires étaient revendues sur Internet (de $10 à $100 par CB)

Installation d’un malware très performant et discret, permettant d’intercepter les transactions sur CB en temps réel avant leur encodage

D’octobre 2006 à mai 2008, les hackers ont pu siphonner les numéros de 130 millions de cartes, leurs dates d’expiration et parfois l’identité des porteurs de carte

Les données volées étaient transférées sur des serveurs à l'étranger

Effacement des traces du passage

9613 janvier 2010



Vols massifs de numéros de Carte Bancaire:Fraude Heartland aux US

L’enquête a identifié les auteurs mi-2008, dont un certain « Albert Gonzales » :

�Il est arrêté une 1ère fois à New York en 2003 pour piratage

�Il échappe à la prison en devenant informateur

�Il permet au FBI d'identifier 28 hackers (mais peu d’arrestations)

�En mai 2008, il est identifié et mis en détention préventive à Brooklyn pour son implication dans l’affaire TJX (fraude record en 2006 de 40 millions de CB piratés)

�Mi-2009, la police découvre son implication dans ce vol de 130 millions de CB entre octobre 2006 et avril 2008

�Deuxième série d'inculpations : il risque 35 ans de prison

9713 janvier 2010



2- Nouvelles menaces liées aux DAB

9813 janvier 2010



Nouvelles menaces liées aux DAB : Rapport de l’ENISA :

ENISA = Agence européenne chargée de la sécuritédes réseaux et de l'information

Publication d’un rapport sur l’augmentation inquiétante des délits liés aux guichets automatiques bancaires :

�Perte collective de 485 millions d'euros en 2008 en Europe(12 278 attaques déclarées)

�75 % des fraudes hors des pays où la carte a été délivrée, car 90 % des banques en Europe utilisent des puces EMV

�Les fraudes sont réalisées dans les pays où les distributeurs utilisent encore la piste magnétique

9913 janvier 2010



Nouvelles menaces liées aux DAB : Rapport de l’ENISA :

L'attaque la plus commune s'appelle « skimming » :

�Ajout d’un dispositif sur le DAB pour enregistrer la bande magnétique ou bloquer la carte bancaire

�Souvent couplée à un dispositif discret permettant la capture du code confidentiel (faux claviers, caméras pointant sur le clavier..)

Cependant, le rapport ENISA rappelle que les distributeurs utilisent souvent des systèmes d'exploitation du commerce, du matériel standard et s’appuient de plus en plus sur des réseaux TCP/IP

=> Conséquence, ils peuvent être infectés par des malwares et des virus

Comme tout système informatique, les correctifs de sécurité doivent être testés, puis déployés

10013 janvier 2010



Nouvelles menaces liées aux DAB : Compromission de DAB en Europe de l’Est

En mars 2009, Sophos identifie le 1er Malware spécifique pour les distributeurs de billets

En mai 2009, les experts sécurité de Trustwave confirment la découverte

Ce Malware était spécifique pour une marque et des modèles précis de DAB

Des inspections ont eu lieu pour repérer les DAB infectés : L’Europe de l’Est (Russie, Ukraine) principalement touchée

Un correctif a été créé par l’industrie

10113 janvier 2010



Nouvelles menaces liées aux DAB : Compromission de DAB en Europe de l’Est

Caractéristiques du malware

Une fois activé, il injecte un code dans les processus en mémoire, pour récupérer les informations des transactions passées

Il récupère les données nécessaires (dont code PIN saisi), et stocke le tout dans un fichier

Il filtre les seules transactions valides, et uniquement en devises russes, ukrainiennes et américaines

Il s’appuie sur des instructions non documentées par le constructeur, ce qui laisse présager des complicités internes

Plusieurs évolutions du malware ont été identifiées

10213 janvier 2010



Nouvelles menaces liées aux DAB : Compromission de DAB en Europe de l’EstMode opératoire:

Pas de propagation par les réseaux : installation au coup par coup

Leur installation physique dans le DAB n’est pas clair : �soit par complicité d’un dabiste ou d’un agent de maintenance�soit l’utilisation directe d’une carte de maintenance clonée

Plusieurs mois après, on envoie une mule récupérer les informations collectées : �Ils activent un menu à l’aide d’une carte spécifique�Ils lancent une impression sur l’imprimante embarquée�Une autre option permettait de vider le coffre du distributeur

Certaines informations sont chiffrées en DES, avant impression

Une évolution non opérationnel devait permettre de récupérer les informations directement sur une carte de stockage

10313 janvier 2010



Possibilité d’acheter des DAB d’occasion sur des sites d’enchères, ou de petites annonces :

�Pour développer un virus ou un malware

�Pour récupérer des informations sur le disque dur

�Pour le transformer en DAB factice

Ex: Conférence du Defcon 2009

Nouvelles menaces liées aux DAB : Les distributeurs de billets d’occasion

10413 janvier 2010



Conférence annulée à Blackhat 2009, sous la pression d’industriels et d’établissements financiers

Les menaces sur les distributeurs ne sont pas toutes malveillantes :

Bug du passage à l’an 2010 en Allemagne

Retrait à l’étranger sans plafond d’une banque anglaise

Erreur de chargement ou de maintenance à Lorient

Indisponibilité du réseau informatique des DAB chez Barclays

Expérimentation houleuse en Afrique du Sud

Nouvelles menaces liées aux DAB : D’autres menaces à découvrir…

10513 janvier 2010



WebographieFraude RBS WordPayhttp://www.informationweek.com/news/software/showArticle.jhtml?articleID=221601284http://www.usatoday.com/money/usaedition/2009-11-10-atm-hackers_NU.htm?csp=outbrainhttp://www.bankinfosecurity.com/articles.php?art_id=1935&opg=1

Vol de CB en Espagnehttp://www.databreaches.net/?p=8314http://countermeasures.trendmicro.eu/europes-heartland-in-large-scale-credit-card-theft/http://www.visaeurope.com/pressandmedia/newsreleases/press420_pressreleases.jsphttp://www.lematin.ch/actu/monde/100-000-cartes-credit-rappelees-banques-193086

HeratLand & Albert Gonzaleshttp://www.theregister.co.uk/2009/08/17/heartland_payment_suspect/http://www.bankinfosecurity.com/heartland_breach.phphttp://www.liberation.fr/monde/0101585965-albert-gonzalez-le-pirate-aux-130-millions-de-cartes-de-credithttp://www.lexpansion.com/economie/actualite-high-tech/qui-est-albert-gonzalez-le-recordman-de-la-fraude-a-la-carte-bancaire_194803.htmlhttp://www.lemonde.fr/technologies/article/2009/08/20/130-millions-de-cartes-bancaires-piratees-aux-etats-unis_1230199_651865.html

Rapport ENISAhttp://securite.reseaux-telecoms.net/actualites/lire-distributeurs-bancaires-la-menace-augmente-selon-l-enisa-20814.htmlhttp://www.enisa.europa.eu/media/press-releases/prs-in-french/20090709ATM%20FR.pdfhttp://www.enisa.europa.eu/act/ar/deliverables/2009/atmcrime/at_download/fullReport

Malware pour DABhttp://www.sophos.com/blogs/sophoslabs/v/post/3577http://www.theregister.co.uk/2009/03/17/trojan_targets_diebold_atms/http://www.goodgearguide.com.au/article/295924/criminals_sneak_card-sniffing_software_diebold_atmshttp://www.securitypark.co.uk/security_article263236.htmlhttp://www.theregister.co.uk/2009/06/03/atm_trojans/?cfC0438101=9004D4FBC!WDA3OTE2NzphdXRoc2d0X3J0ZmU6+tzxKhbtwOT2W8ILmVhCsQ== https://www.trustwave.com/downloads/alerts/Trustwave-Security-Alert-ATM-Malware-Analysis-Briefing.pdf

Autres Menaces / Dysfonctionnementshttp://www.theregister.co.uk/2009/06/17/barclays_gloucester_outage/http://www.guardian.co.uk/world/2009/jul/12/south-africa-cash-machine-pepper-spray

http://www.ouest-france.fr/actu/actuDetFdj_-a-Lorient-le-distributeur-de-billets-voit-double_39382-930715_actu.Htmhttp://www.guardian.co.uk/world/2009/jul/12/south-africa-cash-machine-pepper-sprayhttp://tatun.unblog.fr/2009/09/12/vol-cartes-bancaires-pas-de-calais-un-bug-informatique/

DAB Facticehttp://www.theregister.co.uk/2009/08/03/fake_atm_scam_busted_at_defcom/

10613 janvier 2010



Panorama 2009







10713 janvier 2010



Isabelle Ouellet

Analyste en cybercriminalité

Bureau de coordination des enquêtes sur les délits informatiques (BCEDI)

Sûreté du Québec

Web 2.0, le 5ème pouvoir ?

10813 janvier 2010



RÉSULTAT

Institutions perdent leur autorité exclusive

1. Médias => gouvernements

2. Forces policières

3. Autres

Par de simples citoyensFacile et offrant

une grande visibilitéEn temps réel

DIFFUSION D’INFORMATION


société

10913 janvier 2010



Exemples d’information en temps réel

Lecture en transit (streaming)

Musique (Deezer, Lala)

Films (streamov ,Saficity)

Même les torrents…

société

11013 janvier 2010



� Informatique dans les nuages (cloud computing)

� Moteurs de recherche en temps réel�Collecta

�Twitter

�Google

Exemples d’information en temps réelsociété

11113 janvier 2010



Web 2.0

� Communications instantanées

Twitter, Facebook, YouTube, Flickr


� Permet aux personnes « ordinaires » de rapporter presque instantanément des informations concernant des événements d‘intérêt

société

11213 janvier 2010




Web 2.0

� Effet de « buzz »

� Source d’information pour les médias traditionnel

Dès qu'un petit voyant rouge s'allume sur Twitter,

le journaliste en prend connaissance, vérifie

l’information, la synthétise, et la publie

société

11313 janvier 2010



Institutions perdent

leur autorité exclusive

1. Médias => Gouvernements


3. Autres


société

11413 janvier 2010



1. Concurrencer les médias

Janvier 2009

Amerrissage parfait d'un avion d'US Airwaysdans l'Hudson River de New York

Quelques minutes après l’accident, Janis Krums poste son célèbre twitt :

"There is a plane on the Hudson.

I am on the ferry to pick up the people. Crazy."

société

11513 janvier 2010



Novembre 2008

Les attentats de Bombay


société

11613 janvier 2010



Autres exemples:

� L’élection de Obama (novembre 2008)

� La crise iranienne (juin 2009)

� En Italie, un appel à un rassemblement pour dénoncer les ennuis judiciaires de Berlusconi a attiré plus de 400 000 personnes (décembre 2009)


société

11713 janvier 2010



Plus que seulement vecteur d’information descriptive

Ces sites :

Deviennent des «instruments de contournement de la censure et de dénonciation de la répression»

Favorisent la création de communauté de résistance démocratique

Octroient à leurs utilisateurs une réelle force politique


société

11813 janvier 2010



Limites:

Laurent Suply, journaliste au Figaro.fr« Mosaïque d'informations parcellaires qui se développe en direct de façon anarchique »

Informations non vérifiées, non synthétisées , subjectives, émotives, parfois fausses

Bruit - Écho

Amy Gahran, consultante en communication de l’université du Colorado “Les journalistes citoyens ne produisent ni information ni analyse, ils se contentent

souvent de citer les contenus des médias traditionnelsou des faits banals et sont incapables de donner du sens à un événement »


société

11913 janvier 2010







3. Autres


société

12013 janvier 2010



Citoyens utilisent Internet pour retrouver:

� l’auteur de sévices sur un chat� un cambrioleur� un client parti sans payer l’addition

2. Concurrencer les forces policières

société

12113 janvier 2010



�Activités anti-pédophiles

Perverted Justive

Wikisposure

�Décembre 2009

Chasse à l'homme en direct sur Google Wave

�Chine:

« moteurs de recherche

de chair humaine»

2. Concurrencer les forces policières

société

12213 janvier 2010







3. Autres


société

12313 janvier 2010



� Pour les artistes, signer chez une major n’est plus l’unique voie pour accéder au succès

� Ils peuvent maintenant se faire connaitre à travers le WEB 2.0.

Autres changements dans les modes conventionnels

� Les vidéos de Pomplamoose ont généré plusieurs millions de vues sur Youtube et ont été "twittées" par Ashton Kutcher et Kylie Minogue

société

12413 janvier 2010



Décembre 2009

Les scientifiques de l'Institut d'études géologique des États-Unis ont intégréTwitter à leurs outils de

Détection des tremblements de terre

Dr. Paul Earle, USGS

"Les messages sur Twitter sont publiés

quelques secondes après un séisme alors

que les scientifiques n'obtiennent ces

informations qu'entre 2 et 20 minutes plus

tard ".


société

12513 janvier 2010



Novembre 2009

«Climategate».

Groupes de détracteurs d’une idée qui utilisent le WEB pour promouvoir leur point de vue et trouver des appuis


société

12613 janvier 2010



Conclusion

Les outils du Web 2.0 offrent aux citoyens:

Une large vitrine, que ce soit pour la diffusion d’information, l’expression d’opinions ou la recherche d’une personne

La capacité d’influencer les médias, gouvernements et autres institutions

Évolution du phénomène?

société

12713 janvier 2010



http://www.silicon.fr/fr/news/2008/11/28/twitter__relais_de_l_information_lors_des_attentats_de_bombay

http://encyclopedie.linternaute.com/definition/169/3/streaming.shtml

http://www.numerama.com/magazine/14722-utorrent-21-va-integrer-le-streaming-video.html

http://techno.branchez-vous.com/actualite/2009/12/google_resultats_temps_reel_reconnaissance_vocale.html

http://technaute.cyberpresse.ca/nouvelles/internet/200912/07/01-928819-google-lance-la-recherche-en-temps-reel.php

http://www.lemonde.fr/opinions/article/2009/06/25/twitter-la-crise-iranienne-et-les-mobilisations-citoyennes-par-yves-mamou_1211292_3232.html

http://www.fredcavazza.net/2008/03/26/twitter-au-coeur-de-la-revolution-des-medias-sociaux

http://www.languagemonitor.com/news/top-words-of-2009 ;

http://www.nonfiction.fr/article-2948-twitter_une_nouvelle_arme_politique.htm

http://blog.lefigaro.fr/hightech/2008/11/mumbai-bombay-twitter.html



http://www.lemonde.fr/technologies/article/2009/06/10/le-reseau-twitter-emerge-comme-source-d-information-pour-les-medias_1205117_651865.html#ens_id=1213353

http://www.psyetgeek.com/twitter-lavion-dans-lhudson-et-les-mythes

http://www.suchablog.com/video-de-lamerissage-de-lairbus-a320-sur-lhudson-river

http://fr.techcrunch.com/2008/11/27/attentats-en-inde-twitter-un-media-au-coeur-de-lhorreur/

http://www.silicon.fr/fr/news/2008/11/28/twitter__relais_de_l_information_lors_des_attentats_de_bombay


http://www.lagazettedeberlin.de/5462.html

http://www.lesinrocks.com/actualite/actu-article/t/1261570201/article/le-web-outil-de-revolte-de-la-jeunesse



http://www.lemonde.fr/opinions/article/2009/06/25/twitter-la-crise-iranienne-et-les-mobilisations-citoyennes-par-yves-mamou_1211292_3232.html

Webographie 1/2

12813 janvier 2010



http://www.lagazettedeberlin.de/5462.html

http://fr.techcrunch.com/2008/11/27/attentats-en-inde-twitter-un-media-au-coeur-de-lhorreur


http://technaute.cyberpresse.ca/nouvelles/internet/200811/28/01-805403-les-attentats-de-mumbai-en-direct-sur-les-blogues-et-sites-de-messagerie.php

http://groups.poynter.org/members/?id=3056573

http://www.journalistiques.fr/post/2008/11/27/Attentats-en-Inde%3A-citizen-journalists-plus-commentateurs-que-reporters


http://www.kenny-glenn.net/

http://www.theregister.co.uk/2007/08/02/facebook_burglar

http://www »’aff.paperblog.fr/1376176/partis-sans-payer-l-addition-on-les-retrouve-grace-a-facebook/

http://www.wikisposure.com

http://www.perverted-justice.com/

http://www.20minutes.fr/article/368146/High-Tech-Chasse-a-l-homme-en-direct-sur-Google-Wave.php

http://typepad.viceland.com/vice_france/2009/06/nerd-shit-traque-sur-internet.html#more ;

http://www.letemps.ch/Page/Uuid/278149e6-e5a8-11dd-b87c-1c3fffea55dc/Des_justiciers_chinois_de_lInternet_pr%C3%B4nent_le_lynchage_virtuel

http://www.numerama.com/magazine/14690-pomplamoose-signer-avec-une-major-non-merci.html

http://www.annemariecordeau.com/non-classe/le-pouvoir-des-consommateurs-du-web-ou-la-nouvelle-economie-relationnelle

http://www.numerama.com/magazine/14716-twitter-un-nouvel-outil-pour-detecter-les-tremblements-de-terre.html

http://news.bbc.co.uk/2/hi/science/nature/8413128.stm

http://crimes-cyber.blogspot.com/2009/11/des-pirates-simmiscent-dans-le-debat.html

http://www.wired.com/threatlevel/2009/11/climate-hack

http://www.cyberpresse.ca/opinions/chroniqueurs/francois-cardinal/200911/27/01-925730-le-climategate-un-reel-scandale.php


Webographie 2/2

12913 janvier 2010



Panorama 2009







13013 janvier 2010



Une Entreprise Criminelle au Microscope

TOUTES LES INFORMATIONS UTILISEES DANS CETTE PRESENTATION PROVIENNENT DE SOURCES PUBLIQUES. ELLES ONT ETE PUBLIEES PAR INNOVATIVE MARKETING, SES PARTENAIRES OU SES EMPLOYES. ELLES ONT ETE COLLECTEES AU TRAVERS DU PORT TCP 80.

AUCUNE TENTATIVE DE PIRATAGE N’A ETE MENEE, AUCUN LOGIN (NOM D’UTILISATEUR ET/OU MOT DE PASSE) N’A ETE EMPLOYE DURANT CES RECHERCHES. LES DONNEES SONT/ETAIENT SIMPLEMENT DISPONIBLES POUR QUI VEULENT/VOULAIENT BIEN LES CONSULTER.

Un grand merci à Dirk Kollberg (McAfee) qui a réalisé toutes les premières investigations qui m’ont amenées ensuite à être moi-même curieux.

13113 janvier 2010



Préambule

Qu’est ce qu’un scareware ?

Logiciel inefficace ou malveillant vendu par une société éditrice sans scrupule qui invoque des menaces imaginaires afin d’inciter les internautes à l’achat.

13213 janvier 2010



Préambule

Pendant près de 12 mois, les serveurs de la société restent ouverts à tous ceux qui veulent en comprendre le fonctionnement. La société est aussi fortement représentée sur LinkedIn.

• Agencement des locaux,• Personnel,• Production et R & D,• Filiales et sous-traitants,• Support technique,• Chiffre d’affaire,• Vie privée & parcours professionnel des employés (répertoire perso pour nombres d’employés - plus de 10 000 photos).

13313 janvier 2010



Innovative Marketing Ukraine

Banlieue de Kiev

13413 janvier 2010




De véritables locaux

13513 janvier 2010




Un agencement étudié

13613 janvier 2010




Du beau monde dans l’annuaire LDAP (835 entrées)

• Déjà en lien avec InnovativeMarketing Inc. Société commerciale constituée conformément aux loi de Belize et ayant ses bureaux à Kiev.

• Poursuivi en décembre 2008 par la FTC, il trouve un accord en juin 2009 en acceptant de payer une amende et ne plus s’investir dans ce type d’industrie.

• CEO de ByteHosting (création en 1997),

• Condamné en 2004 pour avoir diffusé un clone de Norton AntiVirus

13713 janvier 2010





• L’un des fondateurs d’InnovativeMarketing Inc. (IMI est créé en 2002)

• Poursuivi en décembre 2008 par la FTC, il ne s’est toujours pas présenté devant ses juges.

• Exerce ses activités sous les dénominations Vantage Software et Winsoftware, Ltd. A la direction d’Innovative Marketing, Inc.

• En 1999, Microsoft porte plainte contre KT Services (soit VantageSoftware) pour distribution de versions contrefaites de Windows 98 et d’Office Pro 97.

13813 janvier 2010





• Par tricherie, il positionne sa startup (eFront Media) en 18e position sur la liste Media Metrix.

• Condamné en 2005 et 2008 pour contrefaçon de logiciel.

• Directeur d’Innovative Marketing Inc.• Poursuivi en décembre 2008 par la

FTC, il s’enfuit à l’étranger et fait l’objet d’un mandat d’arrêt émis par Interpol.

?

13913 janvier 2010




… et plus de 600 collaborateurs

• Gestion du personnel avec AtlassianConfluence V2.5.1

• 666 entrées

14013 janvier 2010




Un comité d’établissement

14113 janvier 2010




Un spectacle fin 2008 avec remise de récompenses

14213 janvier 2010




Une production diversifiée et de nombreux services de paiement en ligne

34 se

rveu

rs d

e pr

oduc

tion

repé

rés s

ur 6

moi

s.

De fré

quen

ts ch

ange

men

ts

d’IS

P.

4 m

illio

ns d

e té

léch

arge

men

ts

prov

oqué

s en

10 jo

urs.

14313 janvier 2010




Une véritable structure R & D

L’un

e de

s car

acté

ristiq

ues

signa

lée:

des

adr

esse

s IP

à

duré

e de

vie

< 1

5 m

inut

es.

14413 janvier 2010




Une véritable structure R & D

14513 janvier 2010



Des individus à ne pas croiser au coin d’un bois

14613 janvier 2010




Un support technique qui fait trainer les réclamations, mais qui enregistre tout

• 2 millions d’appel en 2008,• Plus de 3000 enregistrements

audio dont plus de 900 en langue française:

• double débit carte bleue,• débit CB pour des produits

non commandés,• PC planté,• produit absent au

téléchargement,• etc.

14713 janvier 2010



4,5

mill

ions

de

com

man

des

en 1

1 m

ois:

4,5M

* $

40 =

$18

0 00

0 00

0


Un chiffre d’affaires satisfaisant

14813 janvier 2010




Une activité diversifiée

14913 janvier 2010




Les surprises de LinkedIn

• Environ 180 individus retrouvés

15013 janvier 2010




Origine des salariés (source LinkedIn)

Education National TechnicalUniversity of Ukraine 'KyivPolytechnic Institute'

Education Nacional'nijAviacijnij Universitet

Education Kyiv National Taras Shevchenko University

Q=60

Q=21

Q=23

Autres Universités Q=53

Non renseigné Q=18

15113 janvier 2010




Vie professionnelle (source LinkedIn)

CommerceLabs Ltd

L……

E………………

Q=17

Q=16

Q=5

G………………Q=6

I………………..Q3

… mais aussi…

Sociétés ukrainiennes

liées aux technologies de

l’information

15213 janvier 2010




Vie professionnelle (source LinkedIn)

… mais aussi…

DEC-2003 AVR-2005

JUL-2008 DEC-2008

APR-2006 APR-2007

DEC-2007 SEP-2008

JUN-2006 DEC-2007

OCT-2004 APR-2005

AUG-2005 OCT-2005

Les plus grandes sociétés

logicielles et les plus grandes

banques de la planète

15313 janvier 2010




70 Giga-octets de données…

… entre les mains de divers services de police américains et européens…

15413 janvier 2010



Webographie

Fix Winfixer! – Today Fraudware… Tomorrow, The Universehttp://fixwinfixer.wordpress.com/2007/04/10/corporate-citizenship/Microsoft Takes a Bite Out of Software Fraud on the Internethttp://www.microsoft.com/presspass/press/1999/dec99/bitefraudpr.mspxPlainte de Symantec (source Youtube)http://www.youtube.com/watch?v=zBUZHiKhsog - Feb. 26, 2007). Special Report on a lawsuit

involving Beatrice Ochoa, whose computer was infected by the notorious Winfixer.More on Innovative Marketinghttp://msmvps.com/blogs/hostsnews/archive/2007/12/08/1386368.aspxFTC Press Releasehttp://www.ftc.gov/os/caselist/0723137/index.shtmSpyware Suckshttp://msmvps.com/blogs/spywaresucks/Interpolhttp://www.interpol.int/public/Data/Wanted/Notices/Data/2009/45/2009_13445.aspICQ logs spark corporate nightmarehttp://news.cnet.com/2100-1023-254173.html&tag=txt

15513 janvier 2010



En conclusion,nous aurions aussi aimé évoquer…

� Evolution du test d'intrusion vers le test de conformité

� RFID, les emplois de plus en plus variés, les attaques aussi…

� L’incompétence, une menace interne qu’il ne faut pas sous-estimer…

Business

Panorama de la Cyber-criminalité - Année 2009