Menaces du Cyber Espace

Menaces du Cyber Espace
Conférence 02-04-2014
David WARNENT
Police Judiciaire Fédérale Namur
Regional Computer Crime Unit
Faits Divers
Tendances
• Social Engineering
• Hacktivisme
– Anonymous et assimilés
• Extorsions
• Criminalité organisée
– Utilisation des compétences de hackers par les
organisations criminelles
Menaces
• Types :
– Hacking Centrales téléphoniques
• Mauvaise protection (contrat de maintenance)
• Password initial inchangé
• Etc
– Buts (impacts sur la société ou des tiers) :
• Téléphoner à l’étranger « gratuitement » (Soc : Fin)
• Téléphoner à des numéros surtaxés (Soc : Fin)
• Se faire passer pour la société en question en passant
et réceptionnant (filtrant) tous les appels
(Soc et Tiers : Image et Fin)
– Hacking Serveur :
• Ransomware avec encryption
(Impact Soc : Fin)
– Serveur hacké et données encryptées
– Désencryption si paiement d’une rançon
• Extorsion suite au vol de données
(Impact Soc : Image
et Fin)
– Hacking et vol de données (privées ou de la société)
– Menace de publication sur Internet si non paiement d’une
rançon
• Utilisation du serveur pour (Impact pour Tiers) :
– Stockage de données illégales (pédo, films pirates, etc)
– Hébergement de sites de Phishing
– Faire partie d’un Botnet et participer à des attaques
− Attaques type DoS
•
En tant que victime
–
–
•
En tant qu’« auteur »
–
•
Utilisation de l’infrastructure pour commettre les attaques en question
Modus Operandi
–
–
•
Victime d’une attaque
Infrastructure visée pour différents motifs:
» Politique et stratégique
» Hacktivisme (Anonymous)
» Autre
Botnet
Outils « individuels » et automatisés présents sur Internet
But :
–
–
–
–
Rendre outil indisponible
Représailles
Perte financière
Atteinte à l’image publique
Causes
• « Infrastructure » :
– Mise à jour des logiciels (Failles publiées sur Google)
–
–
–
–
Antivirus obsolètes ou absents
Firewall mal configurés ou pas du tout
Programmes non patchés ou obsolète (OS, Java, etc)
Utilisation de programmes / plateformes propres obsolètes
» Mauvaise programmation initiale
» Programmeur plus présent pour mettre à jour
» Service impossible à interrompre
» Etc
– Configuration du réseau
– Mauvaise configuration de l’infrastructure
– Wifi ouvert connecté au réseau interne
– Passerelles ou ports non sécurisés
– Monitoring défaillant ou absent
– Mauvaises règles implémentées
– IDS
– Etc
– Sécurité physique de l’infrastructure
– Accès
– etc
• Social Engineering
• Utilisation des informations présentes sur le site web
– Mails
– Téléphones
– Trop d’informations sensibles en général :
» Fonctionnement de la société
» etc
• Utilisation des informations obtenues par la société
–
–
–
–
Par téléphone
Par stagiaire
Par employés
Etc
• Perte ou vol de devices contenant des données sensibles
–
–
–
–
Laptop
Clés USB
Smartphones
etc
• Malware
• Ouverture de mails « suspects » sans précautions
– Spams
– Origine douteuse
– Etc
• Comportement sur Internet
– Sites web visités
» Clicks intempestifs
» Sites web malicieux
– Téléchargements de fichiers et installations de programmes exotiques
– Etc
• Infection par support externe (clé USB, etc)
– Cadeaux de représentation (clés USB)
– Supports privés
– Laptops privés connectés au réseau
• Hacking afin de placer des malwares sur le serveur
– Malware spécifique à l’environnement (attaque ciblée)
– Malware générique
Découverte
• Audit de sécurité
– suite à un problème généralement
– Rarement préventif
• Monitoring permanent :
– Rarement le cas
• Par « hasard » :
– Backup ou routine défaillant
– Prévenu par un tiers
•
•
•
•
•
CERT
Police
Victime
White Hacker – Grey Hacker
Etc
Réaction
•
Préservation des Traces :
–
–
–
–
Freezer l’instant : pas réinstaller de suite si possible
Isoler les machines impliquées
Memory dumps de ces machines
Conserver les logs au maximum (depuis le fait) :
•
•
•
Serveurs, Firewall, etc
Au format « ouvert » non propriétaire
non filtrés
– Historique des logs aussi
– Garder une main-courante des actions entreprises
•
Schéma de l’infrastructure récent et effectif
•
Prévenir la police
– Loi sur la vie privée (responsabilité propre de la Soc)
– Code pénal (si infra utilisée pour une attaque : « complice »)
•
Sécurisation de l’infrastructure a posteriori
Organisation Police
Police Judiciaire Fédérale
PJF DJF
PJF Namur
FCCU
Source d’informations :
http://www.securiteprovincenamur.be/secu_police_1.php
http://www.polfed-fedpol.be/org/org_dgj_FCCU_RCCU_fr.php
RCCU Namur
• FCCU (Service central) :
– Permanence nationale (Nuits et WE)
• RCCU Namur (Arrondissement de Namur)
– Effectif : 7 personnes
– Mission :
– Lutte contre la criminalité informatique grave et
organisée
– Appui à toute forme de lutte contre la criminalité
– Objectifs
– Récupérer et exploiter les traces
– Identifier l’auteur
– Faire cesser l’infraction
Contact
Regional Computer Crime Unit Namur
Téléphone : +32 81 24 22 71
Mail : [email protected]