la cybercriminalité
Transcription
la cybercriminalité
LA CYBERCRIMINALITÉ Par Gérard Peliks Expert sécurité Cassidian CyberSecurity - Groupe EADS Mai 2013 La criminalité se développe aujourd’hui sur un terrain moins risqué et plus fertile que celui du monde réel car l’anonymat y est pratiquement assuré pour qui sait s’y prendre, et le dispositif policier, s’il n’est pas inexistant, est très insuffisant pour surveiller le milliard d’individus qui se retrouvent sur le Net. Pourtant cet espace virtuel est devenu aussi indispensable à l’économie des entreprises et aux relations entre le citoyen et son administration que le téléphone et le courrier papier. Le monde devient instable et dangereux. Les échanges se mondialisent et ne connaissent, sur la toile, pas de frontières. Dans ce monde virtuel où tout est à craindre, les amis de nos amis peuvent être nos pires ennemis et les clients de nos partenaires peuvent être nos concurrents. La montée du terrorisme et une situation économique très perturbée engendrent un impérieux besoin de sécurité. Connaître les menaces qui pèsent sur les systèmes d’information, comprendre les mesures de sécurité à mettre en place et déjà un premier pas est franchi vers un monde Internet plus sûr, un monde où l’économie et la culture pourront se développer harmonieusement, malgré les pièges et les coups de boutoirs des hackers qui foisonnent sur la toile. Un livre blanc de Forum ATENA Un livre blanc 1 / 23 SOMMAIRE LA CYBERCRIMINALITÉ .............................................................................................. 1 1. INTRODUCTION À LA CYBERCRIMINALITÉ ......................................................... 4 1.1. LES VULNÉRABILITÉS ......................................................................................................... 4 1.1.1. Des logiciels plus vulnérables qu’avant ? ...................................................................... 4 1.1.2. Le cycle de vie d’une vulnérabilité ............................................................................... 4 1.1.3. Quelle cible, Microsoft, Apple, UNIX, Smartphone ? ....................................................... 4 1.1.4. Des vulnérabilités qu’on n’attendait pas ....................................................................... 4 1.2. LES MENACES .................................................................................................................. 5 1.2.1. Les menaces internes ................................................................................................ 5 1.2.2. Les menaces externes ............................................................................................... 5 1.2.3. Les inquiétudes ........................................................................................................ 6 1.2.4. Quelques types de menaces ....................................................................................... 6 1.3. LES ATTAQUES ................................................................................................................. 6 2. LES ATTAQUES PAR INFECTION .......................................................................... 7 2.1. 2.2. 2.3. 3. LES ATTAQUES SUR LE WEB................................................................................ 8 3.1. 3.2. 3.3. 4. LES VIRUS ET LES VERS ...................................................................................................... 7 LES CHEVAUX DE TROIE ...................................................................................................... 7 LES ADAWARES, LES SPYWARES ET LES ROOTKITS ....................................................................... 7 LA DÉFIGURATION OU DEFACING ............................................................................................ 8 LE DÉNI DE SERVICE DISTRIBUÉ ............................................................................................ 8 LE CHANTAGE .................................................................................................................. 8 LES ATTAQUES SUR LA MESSAGERIE .................................................................. 9 4.1. LE SPAM OU POLLUPOSTAGE ................................................................................................ 9 4.2. LE MASS MAILING ............................................................................................................. 9 4.3. LE PHISHING ................................................................................................................... 9 4.3.1. La genèse de l’attaque............................................................................................... 9 4.3.2. Le Phishing ............................................................................................................ 10 4.3.3. Les acteurs en présence .......................................................................................... 10 4.3.4. Le déroulement de l’arnaque .................................................................................... 11 4.3.5. Le pharming ou l’attaque sur les DNS ........................................................................ 12 4.3.6. Le Vishing .............................................................................................................. 12 4.4. LE BOTNET ................................................................................................................... 13 4.4.1. La marche des zombies ........................................................................................... 13 4.4.2. Mais qui sont ces spammeurs ? ................................................................................ 13 4.4.3. Il y a un zombie dans ma sacoche ! .......................................................................... 13 4.4.4. Le maître du botnet ................................................................................................ 14 4.4.5. Le SPAM et le déni de service ................................................................................... 14 4.4.6. Le commanditaire ................................................................................................... 14 4.4.7. Les contre-mesures pour un monde sans zombies....................................................... 15 5. LES ATTAQUES QUI PORTENT SUR VOTRE CRÉDULITÉ ...................................... 16 5.1. LE HOAX ...................................................................................................................... 5.2. LA FRAUDE NIGÉRIANE ..................................................................................................... 5.2.1. Des soucis et une urgence ....................................................................................... 5.2.2. Nom de code SCAM 4-1-9 ........................................................................................ 5.2.3. D’abord votre identité à produire .............................................................................. 5.2.4. Ensuite le coffre à louer et des pots de vin à distribuer ................................................ 5.2.5. Et puis les coordonnées bancaires à fournir ................................................................ 5.2.6. Et finalement de réels soucis et bien des tourments quand éclate la bulle ...................... 5.2.7. Quelques chiffres qui font frémir ............................................................................... 5.2.8. Que peut-on y faire ? .............................................................................................. 5.2.9. Aidée-moi je vous en conjure … ................................................................................ 6. 16 16 16 16 17 17 17 18 18 18 18 LE PUMP AND DUMP ......................................................................................... 19 6.1. 6.2. 6.3. UNE SOCIÉTÉ COTÉE ET QUI MÉRITE D'ÊTRE CONNUE .................................................................. 19 LE PUMP (LE GONFLAGE ARTIFICIEL) ..................................................................................... 20 POMPEZ, POMPEZ, IL EN RESTERA TOUJOURS QUELQUE CHOSE… .................................................... 20 Un livre blanc 2 / 23 6.4. 6.5. 6.6. 6.7. DE QUI RECEVEZ-VOUS CES E-MAILS… ET POURQUOI VOUS ? ........................................................ LE DUMP (LA LIQUIDATION ET LA FIN DU RÊVE) ........................................................................ QUE FAIRE CONTRE CETTE ARNAQUE ? ................................................................................... FIN DU RÊVE ................................................................................................................. 21 21 22 22 7. EN CONCLUSION : RETOUR VERS LE MONDE RÉEL ............................................ 22 8. A PROPOS DE L’AUTEUR ................................................................................... 23 Un livre blanc 3 / 23 1. INTRODUCTION À LA CYBERCRIMINALITÉ 1.1. LES VULNÉRABILITÉS Prenons comme exemple parmi tant d’autres, une vulnérabilité qui a fait beaucoup parler d’elle dans les milieux des bases de données. Cette vulnérabilité pourtant connue, et pour laquelle il existait un correctif depuis six mois, qui affectait les serveurs MS SQL a été exploitée par le ver Slammer, à partir du 25 janvier 2004. Moins de dix minutes après la première injection de ce ver quelque part sur le net, plusieurs dizaines de milliers de serveurs MS SQL ont été contaminés autour de la planète entraînant un sérieux ralentissement des transactions sur la toile. Cet événement est intéressant à plus d’un titre. Outre la vitesse fulgurante de propagation de ce ver, on a remarqué que le correctif de l’éditeur qui corrigeait cette faille connue n’avait pas été implémenté sur la plupart des serveurs MS SQL. Si la faille était connue par les experts en base de données, elle l’était aussi par les hackers et ceux-ci ne sont donc pas restés bien longtemps inactifs. 1.1.1. DES LOGICIELS PLUS VULNÉRABLES QU’AVANT ? Tout logiciel peut présenter des vulnérabilités qui sont autant de portes ouvertes dans la sécurité des systèmes d’information et par lesquelles les hackers vont s’engouffrer. Un logiciel est une œuvre souvent très complexe et ses auteurs ne sont pas à l’abri de commettre des erreurs au cours du développement et de la maintenance du produit. Les CERT sont des organismes à qui vous pouvez vous adresser pour décrire des vulnérabilités trouvées et des attaques subies. Les CERT répertoriaient quelques dizaines de vulnérabilités il y a dix ans et en signalent plusieurs milliers aujourd’hui. Les logiciels sont-ils alors aujourd’hui plus sujets aux vulnérabilités qu’il y a dix ans ? Non, mais malgré tous les efforts méritoires fournis par les entreprises pour former leurs développeurs à écrire du code sans failles, comme le nombre d’instructions qui composent les logiciels, même en langage évolué, ne cesse de croître, la complexité suit. La probabilité de trouver des erreurs augmente également. 1.1.2. LE CYCLE DE VIE D’UNE VULNÉRABILITÉ Une vulnérabilité ne reste pas méconnue bien longtemps. Le nombre de sites attaqués, suite à une vulnérabilité trouvée dans un logiciel présente un cycle de vie particulier. Au début peu de sites sont concernés par les attaques car peu de monde a entendu parler de la vulnérabilité. Après quelques jours, parfois quelques heures, suite à la publicité faite sur le trou de sécurité trouvé, le nombre de sites touchés par des attaques croit brusquement pour se stabiliser quand le correctif est disponible. Mais le nombre de sites attaqués ne tombe pas à zéro car le correctif n’est pas appliqué sur tous les sites qui présentent cette vulnérabilité. Les attaques se perpétuent encore longtemps après la disponibilité du correctif. Le nombre d’attaques finit par décroître, mais c’est surtout du au fait que les attaquants se tournent vers l’exploitation de nouvelles vulnérabilités pour lesquelles il n’y pas encore de correctif. Les attaques qui se déchaînent entre la publication de la vulnérabilité et la fourniture de son correctif appelées les « zero day attacks » peuvent faire très mal sur des systèmes d’information incapables de se protéger ! 1.1.3. QUELLE CIBLE, MICROSOFT, APPLE, UNIX, SMARTPHONE ? On dit habituellement que les vulnérabilités affectent essentiellement les logiciels de Microsoft. Il n’en est rien. Les logiciels sous les différents UNIX et autres systèmes d’exploitation ne sont pas épargnés. D’ailleurs, d’après les CERT, 45% des vulnérabilités sont trouvées sous UNIX et « seulement » 16% sous Windows. Ainsi, côté vulnérabilités, les navigateurs Firefox ou Chrome ne sont pas la réponse à Internet Explorer ; le serveur Web Apache n’est pas la réponse à Internet Information Server et Thunderbird n’est pas la réponse à Outlook ! On ne peut donc que vivre dangereusement. 1.1.4. DES VULNÉRABILITÉS QU’ON N’ATTENDAIT PAS Des vulnérabilités sont découvertes même aux endroits où on ne supposait vraiment pas pouvoir en trouver. Ainsi une banale image JPEG, intentionnellement mal formée peut permettre à un hacker de prendre le contrôle de votre poste de travail suite à une vulnérabilité qui affecte les logiciels Microsoft Office que vous utilisez pour l’interpréter. Un livre blanc 4 / 23 Mais pouvez-vous vous passer de lire des images quand vous naviguez sur la toile, quand vous écrivez des documents sous Word ou quand vous développez une présentation sous PowerPoint ? Un humoriste a fait remarquer que si les voitures présentaient les mêmes défauts que les logiciels, personne n’oserait rouler avec. L’informatique est omniprésente, il faut bien utiliser des logiciels, alors surtout, ne pas négliger de placer des solutions de sécurité et d’installer les correctifs aussitôt qu’ils sont disponibles chez l’éditeur qui a votre confiance. 1.2. LES MENACES On distingue les menaces d’origine interne et celles d’origine externe. Les menaces internes sont celles provenant des utilisateurs situés dans votre réseau, les menaces d’origine externe viennent des utilisateurs situés en dehors de votre système d’information. Ce sont celles dont on se méfie le plus, mais c’est peut-être une erreur. De nombreuses attaques réussies proviennent de l’intérieur d’un système d’Information. 1.2.1. LES MENACES INTERNES Les menaces d’origine interne sont induites par la maladresse des méconnaissance des outils qu’ils utilisent mais aussi hélas par leur malveillance. utilisateurs, par leur C’est par exemple un fichier pourtant classé confidentiel, qui se retrouve publié par la presse alors qu’il contient des informations nominatives ou diffamatoires, avec toutes les conséquences pénales ou civiles que cette menace peut entraîner pour l’employé et aussi pour le dirigeant de l’entreprise qui n’a pas su assumer sa responsabilité de protéger l’information qu’il détient. C’est le téléchargement d’outils logiciels « craqués » dont l’utilisation est illicite car sans licence ou de fichiers ou pages Web délictuelles. En France, par exemple, la consultation de pages Web pédophiles ou racistes est un délit pénal et la loi réprime aussi le dirigeant de l’entreprise qui n’a pas pris les mesures de contrôle indispensables pour réguler l’utilisation du Web par ses employés. Les menaces portent aussi sur la perte de productivité, voire même de marchés, suite à la saturation de la bande passante par un employé qui télécharge des fichiers de très grosse taille, sans prendre conscience de la gêne causée aux autres usagers. Mais ce sont aussi des actes de malveillance perpétrés par des utilisateurs de l’intérieur et les protections périmétriques mises autour du réseau pour faire face aux menaces venant de l’extérieur sont évidemment inopérantes. 1.2.2. LES MENACES EXTERNES Sans négliger les simples tentatives de malveillance gratuite qui ne constituent pas les menaces les plus inquiétantes, les menaces d’origine externe peuvent être à caractère stratégique, idéologique ou terroriste. Savez-vous que nos échanges d’informations ont été depuis plusieurs années, à notre insu, captés et analysés par un gigantesque dispositif de grandes oreilles, le réseau Echelon, réparti sur plusieurs pays, en particulier les USA, le Canada, la Grande Bretagne, l’Australie, la Nouvelle Zélande, avec radars d’écoute, satellites, et batteries d’ordinateurs parmi les plus puissants du monde pour analyser les informations captées ? Difficile d’échapper à ce réseau d’espionnage électronique et informatique dont le but avoué était de lutter contre le terrorisme et les narcotrafiquants, mais qui a aussi servi de stations d’écoute pour favoriser l’économie des pays qui hébergeaient ces grandes oreilles. Ceci constitue une menace réelle pour nos économies nationales. Cette menace est toujours actuelle, et même plus que jamais actuelle avec le développement inquiétant des actes de cyberespionnage. Avec moins de moyens mais beaucoup de compétences, la mafia et les terroristes sont aussi à l’écoute des échanges et utilisent le réseau public pour organiser leurs actions ou paralyser les nôtres. Les codes source des éditeurs de logiciels parmi les plus renommés sont volés et analysés pour en découvrir les vulnérabilités. L’armée américaine, et d’autres armées, disposeraient même d’équipes de hackers dotées de grands moyens pour infiltrer ou attaquer les infrastructures informatiques ennemies. Mission impossible, pensez-vous ? Dans l’industrie, qui sont nos amis et qui sont nos ennemis ? Les menaces évoluent très vite et deviennent de plus en plus complexes à contrer. Nous n’en sommes plus, comme il y a 20 ans, à essayer de découvrir des mots de passe pour pénétrer dans un réseau. Aujourd’hui on s’offre des services de hackers particulièrement efficaces ou on loue du temps machine sur des réseaux d’attaque aussi nombreux que volatiles. Mais si le niveau de menaces est de plus en plus élevé, les connaissances requises pour lancer des attaques sont de plus en plus basiques parce que les outils pour attaquer sont de plus en plus conviviaux. La cybercriminalité rapporterait par an, plusieurs centaines de milliards de dollars. Un livre blanc 5 / 23 1.2.3. LES INQUIÉTUDES Face à ces menaces, quelles sont les inquiétudes majeures ressenties par les entreprises ? Ce sont bien sûr les vers et les virus qui sont toujours médiatisés jusqu’à faire la une des journaux télévisés et qui constituent une menace réelle. Ce sont les SPAM qui encombrent les boîtes aux lettres et entraînent une perte considérable d’heures de travail passées à les supprimer. Ce sont encore les informations confidentielles qui s’envolent dans la nature avec les fichiers clients, les conflits internes et les secrets de fabrication, et qui se retrouvent chez les concurrents, chez les clients et dans le grand public. C’est le réseau de l’entreprise qui tombe suite à une attaque par déni de service distribué. Le développement du BYOD (Bring Your Own Device), du Cloud Computing, du Big Data, des objets communicants n’ont pas fini de justifier les inquiétudes légitimes des entreprises. On ajoute à tout cela, les attaques sur les infrastructures sensibles d'un pays qui peuvent entrainer des effets catastrophiques pour la population. 1.2.4. QUELQUES TYPES DE MENACES Classons les menaces les plus présentes en commençant par la plus médiatisée : le virus. Un virus s’attache à un logiciel porteur qui le véhicule et qui doit être exécuté pour que le code malfaisant qui l’infecte puisse agir et infecter d’autres logiciels. La menace la plus rusée est le ver, qui diffère du virus parce qu’il n’a pas besoin d’être hébergé par un programme infecté pour arriver jusque chez vous sur votre système d’information. Le ver est autonome et pénètre dans votre réseau et sur votre poste de travail sans que vous n’ayez à exécuter la moindre action malheureuse, ni commettre la moindre maladresse (autre que celle d’être connecté au réseau !). Le ver arrive chez vous par le réseau, le plus souvent en passant par une faille d’un logiciel de votre poste de travail. La menace la plus sournoise est sans aucun doute le cheval de Troie. C’est un logiciel qui ne cause pas de dégâts apparents mais qui au contraire se fait oublier et vous observe, capte vos informations et les envoie à son destinataire qui alors peut en faire un usage dommageable. Le cheval de Troie peut observer les frappes des touches de votre clavier, et vous aurez beau chiffrer votre information, lui la reçoit en clair. Il peut se situer au niveau de la fenêtre d’accueil par laquelle vous entrez votre mot de passe ou votre code PIN, ou être tapi dans votre système de fichiers où il scrute vos informations pour éventuellement les dévoiler. La menace la plus répandue est sans doute le macrovirus, variante des virus, qui, s’il est présent chez vous, a de grandes chances d’infecter tous les fichiers que vos fichiers Office ouvrent. Et enfin la menace la plus imparable est le dépassement de buffer. Si le programme que vous utilisez présente ce type de vulnérabilité, une information entrée dans votre programme peut entraîner l’écrasement de ses instructions par des instructions conçues par le pirate et entrées en tant que données. Alors, ce n’est plus votre programme qui s’exécute mais les instructions entrées par le hacker qui peut prendre ainsi le contrôle de votre poste de travail. Mais les menaces ne seraient pas grand chose s’il n’y avait aussi les attaques qui sont une concrétisation de ces menaces et quand ces attaques exploitent les vulnérabilités de vos programmes, il est difficile de les arrêter avant qu’elles n’aient atteint leur but ! 1.3. LES ATTAQUES Les attaques sur les systèmes d’information, qu’elles soient brutales ou feutrées, menacent aujourd’hui chacun de nous pour peu que nous soyons, ou que notre système d’information soit connectés. Une récente étude de Sophos indique qu’un poste de travail connecté à l’Internet, sans protection efficace, a 50% de (mal)chance d’être infecté au bout de 3 minutes et la quasi-certitude d’être infecté au bout d’une heure. Les attaques ciblent particulièrement les applications les plus utilisées sur le Net que sont le Web et la messagerie, et les plus redoutables sont formées par une combinaison savamment dosée de plusieurs attaques. Nous avons déjà évoqué l’action des CERT pour répertorier les vulnérabilités. Les CERT répertorient également les attaques depuis une vingtaine d’années et montrent que celles-ci augmentent de manière quasi exponentielle et dépassent cette année les 500 000. Une attaque peut cibler un seul poste de travail ou plusieurs dizaines de milliers de réseaux. Il y a quelques années, la motivation des attaquants, était simple : nuire et détruire, souvent par défit, par pur plaisir ou simplement par vengeance. Aujourd’hui leur but principal est de soutirer de l’argent et les nouvelles attaques qui s’annoncent sont encore plus inquiétantes. Elles commencent dans le monde virtuel et se poursuivent dans le monde réel où elles retrouvent les victimes rencontrées sur le Net, et s’en prennent à leur vertu ou à leur vie. L’image de l’adolescent féru de nouvelles technologies, dans sa chambre encombrée de bandes dessinées, de documentations techniques et de canettes de coca, et qui mène des attaques au hasard, Un livre blanc 6 / 23 depuis son PC ou son MAC hors d’âge, pour prouver à ses copains et ses copines à quel point il est redoutable n’est plus de mise. Une étude récente indique que seulement 10% des attaques sont menées par des hackers en herbe qui recherchent la notoriété, 60% par la petite cybercriminalité et 30%, les plus dangereuses, sont des attaques de grande ampleur perpétrées par des organismes mafieux, parfois officiels. Aujourd’hui les hackers redoutables sont plutôt des professionnels qui ciblent leur victime et combinent le « social engineering » et les outils sophistiqués qu’ils conçoivent pour leur usage personnel. Les attaquants vont jouer sur la peur, l’incertitude et le doute, c’est dire que les piliers du commerce électronique se trouvent menacés par cette criminalité qui se regroupe en mafias organisées. Ce qui motive aujourd’hui le hacker … c’est de gagner de l’argent facilement, en prenant un minimum de risques. Un virus a montré la voie. Avec les botnets, la cybercriminalité se professionnalise et propose ses services en location. Le chantage se répand laissant présager une utilisation de l’Internet particulièrement inquiétante. 2. LES ATTAQUES PAR INFECTION 2.1. LES VIRUS ET LES VERS Si les virus et les vers sont partout, ils ne constituent pas pour autant la seule cause d’infection. En 2004 un nouveau type de virus a réalisé la plus violente attaque que le cyber monde ait connu. Mydoom est arrivé par la messagerie. Si la messagerie ne suffisait pas pour l’infection, Mydoom se donnait une deuxième chance en passant par le logiciel « peer to peer » Kazaa. En juillet 2001, le virus Code Red s’est installé sur 250 000 systèmes autour du monde en 9 heures. En janvier 2004, Slammer a mis 10 minutes pour infecter plusieurs dizaines de milliers de serveurs. Les virus et vers deviennent polymorphes en changeant de signature pour échapper aux anti-virus. Ils s’en prennent d’ailleurs parfois en priorité à l’antivirus qui les traque, puis à votre navigateur pour vous isoler et vous empêcher de trouver de l’aide sur la toile. Plus proche de nous, le ver Conficker, à partir de 2008 s'est attaqué plus particulièrement aux domaines de la santé et des administrations et a ralenti considérablement le fonctionnement de leurs installations. Bien peu d'organisations ont été épargnées. Et ce ver sévit toujours aujourd'hui… Le ver Shamoon, envoyé par l'Iran vers les installations pétrolières de l'Arabie Saoudite, a détruit en octobre 2012, l'information contenue sur 30 000 ordinateurs de la société Aramco, avant de sauter sur le producteur de gaz Gazprom au Qatar. 2.2. LES CHEVAUX DE TROIE D’après une étude de Sophos, les vers et virus ne constituent que 35% des infections. 62% sont constituées par des chevaux de Troie qui sont des logiciels qui se font oublier, une fois qu’ils ont infecté votre poste de travail mais qui écoutent ce que vous faites. Le but, pour les moins nocifs, est de connaître vos habitudes d’achat sur la toile, mais certains cherchent à connaître vos mots de passe, vos codes d’accès et vos coordonnées bancaires. Les attaques dites "APT", Advanced Persistent Threats qui consiste à utiliser le social engineering pour entrer dans un système d'information, afin de s'y maintenir et d'exfiltrer les données sensibles se multiplient. Bercy, Areva, Sony en ont fait les frais. Beaucoup sont sous attaque mais ne s'en sont pas encore aperçus. 2.3. LES ADAWARES, LES SPYWARES ET LES ROOTKITS Quand vous passez un programme d’éradication de spywares sur votre PC pour la première fois, vous êtes étonné du nombre de programmes espions qu’il y trouve. Les adawares et les spywares sont deux variantes de logiciels espions qui résident sur votre poste de travail et qui diffèrent par leur finalité. Les adawares s’intéressent plutôt à vos habitudes, aux pages Web que vous consultez, par exemple, afin de mieux cerner votre personnalité. Parfois vous êtes surpris de voir passer sur une page Web, une bannière publicitaire particulièrement ciblée sur vos préoccupations du moment. Vous avez acheté sur la toile un appareil photo numérique ? Deux jours après, sur une page Web qui n’a rien à voir avec votre achat, vous voyez passer une bannière qui vous propose d’acquérir une mémoire supplémentaire adaptée à votre achat pour en augmenter la capacité. Le but des spywares, moins défendable, est de vous espionner, souvent pour capturer votre mot de passe ou votre code PIN. Un livre blanc 7 / 23 Et pour cacher le tout, il y a les rootkits qui rendent furtifs les logiciels qu’ils accompagnent, en jouant sur les paramètres systèmes. La découverte et l’éradication des logiciels indésirables sont alors beaucoup plus problématiques. 3. LES ATTAQUES SUR LE WEB 3.1. LA DÉFIGURATION OU DEFACING Le Web est souvent la première image institutionnelle qui présente l’entreprise et le premier contact que prend un client alors il faut soigner particulièrement sa page d’introduction. C’est pour cela que les attaques sur cette page intéressent les hackers. Exploiter un défaut de protection en écriture pour accéder directement au serveur qui héberge les pages Web d’une entreprise et en modifier le contenu est fort excitant pour l’attaquant. Les réussites sont parfois croustillantes pour le grand public, mais catastrophiques pour les victimes. On parle ainsi d’un site Web d’un grand voyagiste qui vendait des billets en ligne et dont la page de garde montrait un avion montant dans un ciel sans nuages vers des destinations de rêve. Après défiguration, cette même page montrait l’avion en flamme. Commanderiez-vous alors des billets en ligne sur ce site ? On parle aussi d’un site consacré à l’habillement de luxe et qui montrait un magnifique manteau de vison porté par une superbe créature. Après défiguration du site, la page montrait un bébé vison, tirant la créature par la manche de son manteau, qui s’écriait en larmes : « ils ont écorché ma maman ! » Citons aussi un site qui donnait des conseils juridiques avec un bouton pour entrer en contact avec un conseiller, et dont la défiguration, avait dédoublé le bouton avec la légende « si vous êtes blanc, cliquez sur ce bouton, si vous êtes noir cliquez sur celui ci ». Même le site de Microsoft, même le site de la CIA ont subi les ravages de la défiguration. Un beau matin, ce pourrait être le vôtre. 3.2. LE DÉNI DE SERVICE DISTRIBUÉ Plus que tout autre applicatif, le serveur Web va être la cible d’attaques en déni de service distribué qui consistent à lui envoyer des centaines de milliers de sollicitations pour saturer sa bande passante et le mettre hors d’état de servir ses pages Web à ceux qui en ont besoin. Que faire pour empêcher cette attaque ? Si vous pouvez protéger un site Web contre des agressions, vous ne pouvez pas empêcher qu’on le sollicite et il est facile d’envoyer un nombre incroyable de requêtes vers un site Web cible. Le virus Slammer le faisait déjà en janvier 2003 et les botnets aujourd’hui nous en donnent facilement la possibilité, moyennant finance. L'Estonie en a fait les frais, en 2007 et a été isolé de l'Internet pendant plusieurs jours. 3.3. LE CHANTAGE Aujourd’hui une dérive particulièrement inquiétante de la cybercriminalité se confirme. De plus ou moins passive, la cybercriminalité passe au stade actif et direct et les hackers deviennent des maîtres chanteurs en tirant parti des outils qu’on a évoqués jusque là, dans une chorale qui va vite devenir assourdissante. Quand un site dont l’existence commerciale repose sur la présence et la disponibilité de son site Web sur l’Internet, site d’enchères en ligne, casino, vente de voyages, reçoit ce type de courriel : « Je lance une attaque en déni de service sur votre site, qui va durer quinze minutes, et vous allez en constater immédiatement les effets. Sachez que je peux lancer une attaque vingt fois plus puissante qui pourra durer plusieurs heures. Si vous ne souhaitez pas être exposé à un tel désagrément, vous me versez 7000€ avant ce soir, 19h00 sur ce compte ». Suivent les coordonnées d’un compte situé dans un pays où la législation concernant ce genre de transactions est assez floue et le maître chanteur pratiquement intouchable. Mais vous, comme particulier, vous pensez pouvoir échapper aux maîtres chanteurs ? Détrompezvous, vous pourriez fort bien constater un jour que vous ne pouvez plus lire vos fichiers Word, PowerPoint et Excel. Seule votre messagerie semble encore fonctionner correctement et vous avez reçu un courriel qui vous annonce que plusieurs de vos fichiers ont été chiffrés et que la clé pour les déchiffrer vous sera envoyée moyennant la somme de 100€. Un livre blanc 8 / 23 Aujourd'hui les maîtres chanteurs se font passer pour la police ou la gendarmerie et bloquent votre poste de travail jusqu'à paiement d'une amende par eCash ou par un autre moyen de paiement électronique, seule fonction que votre poste de travail peut effectuer désormais. Et le paiement ne débloquera pas bien entendu votre poste. 4. LES ATTAQUES SUR LA MESSAGERIE La messagerie est, avec le Web, l’outil le plus utilisé sur les réseaux, donc le plus attaqué. Du hoax au SPAM en passant par le mass mailing et le mail bombing, on rencontre un choix d’attaques qui ne cesse de se diversifier. 4.1. LE SPAM OU POLLUPOSTAGE Plus vous êtes présent sur l’Internet et plus vous recevez des SPAM. De petite gêne à ses débuts parce qu’il était rare, le SPAM est devenu un véritable fléau qui fait hélas de cet outil merveilleux d’efficacité qu’est la messagerie, un vecteur de perte de temps et encombre nos boîtes aux lettres. La CNIL définit le SPAM comme un envoi massif, et parfois répété, de courriers électroniques non sollicités, le plus souvent à caractère commercial, à des personnes avec lesquelles l'expéditeur n'a jamais eu de contacts et dont il a capté l'adresse électronique dans les espaces publics de l'Internet. Plus vous participez à des forums de discussion publics, plus votre nom figure dans des listes de diffusion et dans des annuaires, plus vous laissez votre adresse de messagerie sur les sites Web, plus vous recevrez des SPAM. Messages proposant des excitants ou des montres Rolex à des prix incroyables ou encore la suite complète Microsoft Office Professional ou Photoshop à 10% de son prix réel, nos boîtes aux lettres sont encombrées par ces messages indésirables. Un conseil, ne vous désabonnez jamais d’une liste de messagerie que vous identifiez comme étant du SPAM car c’est ce qu’on attend de vous pour être sûr que votre adresse est active et continuer de plus belle. 4.2. LE MASS MAILING Le mass mailing est un envoi massif de courriels vers la boîte aux lettres que l’attaquant veut saturer. Il existe des outils qui permettent d’entrer dans une boîte de dialogue « l’origine » et la destination des courriels, l’adresse du serveur de messagerie qui enverra la rafale de courriels, le texte et le sujet et enfin le nombre de courriels à envoyer en une seule fois (1, 100, 10000 ?). Le mass mailing est une gêne non seulement pour le destinataire mais aussi pour le serveur de messagerie qui achemine les courriels et pour les fournisseurs d’accès Internet. Aujourd'hui, les botnets fournissent un moyen facile d'envoyer des mails en masse pour lesquels la remontée vers les sources est quasi impossible. 4.3. LE PHISHING 4.3.1. LA GENÈSE DE L’ATTAQUE Le mot Phishing est une combinaison du mot Phreaker qui désignait l’attaquant qui piratait un central téléphonique dans les années 1960 pour téléphoner gratuitement, et du mot fishing qui désigne le pêcheur. Il combine l’utilisation de la messagerie et du Web pour faire tomber la victime dans le panneau et lui soutirer des renseignements qu’elle ne donnerait jamais si elle n’avait pas suffisamment confiance à qui les lui demande. Sa variante plus technique, le Pharming, utilise une combinaison d’attaques sur le serveur de noms de domaine et le Web pour arriver au même résultat. Tout commence quand par naïveté, par manque de méfiance ou de connaissances suffisantes sur ce qui se pratique sur la toile, la future victime révèle ses coordonnées bancaires électroniques à un cybercriminel qui utilise, pour les obtenir, la ruse et la technique dans le cadre d’un business model éprouvé. Un livre blanc 9 / 23 Comment le cybercriminel peut-t-il réussir à faire que la victime lui révèle ses coordonnées bancaires ? Ce ne sont pas les moyens qui manquent, le social-engineering montre ici quelques-unes de ses multiples facettes ! 4.3.2. LE PHISHING Le Phishing ou l’arnaque en trois étapes : Première étape on lance l’hameçon sur la toile, et ce ne sont pas les poissons qui manquent. L’attaquant envoie un courriel qui semble, par exemple, provenir de votre banque. Le logo, les fonts, les couleurs, tout vous fait penser que le courriel provient de votre banque qui a un gros problème : votre compte a été la proie d’un hacker et vous avez sans doute été volé mais la banque assume. Vous devez juste cliquer sur l’URL proposé dans le courriel pour aller sur votre compte en ligne répertorier les dégâts subis. Autre variante, le système informatique de la banque a subi un regrettable incident et quelques comptes ont été effacés, aussi faut-il que la future victime se connecte immédiatement sur son compte électronique pour constater les dégâts éventuels la concernant. Bonjour le stress et les poussées d’adrénaline ! C’est grave, pas de temps à perdre ! Pour ne pas perdre un temps précieux, l’e-mail propose justement un hyperlien pour que le client se connecte directement sur la page d’entrée de son compte bancaire, juste par un clic de souris. La future victime se retrouve donc sur cette page beaucoup plus rapidement que si elle avait du saisir l’URL de sa page de connexion à partir de la barre d’adresse de son navigateur. Elle fournit alors, dans l’urgence et le stress, les renseignements demandés : login, mot de passe, numéro de compte, numéro de carte de crédit, et pendant qu’on y est, code secret de la carte et tous autres renseignements indispensables. Mais le serveur de la banque s’est déconnecté juste après la saisie des paramètres demandés et avant que l’internaute ait pu arriver sur son compte. Celui-ci refait une tentative directement à partir de son navigateur et constate que, heureusement, tout va bien, son compte ne présente aucun problème… si ce n’est que la future victime vient de passer au statut de victime potentielle et probable. C’est la deuxième étape de l’arnaque car bien entendu vous n’avez pas été sur le Web de votre banque mais sur celui très éphémère du pirate et qui ressemble comme deux gouttes d’eau à celui de votre banque. Avez-vous vérifié l’adresse Web où votre courriel vous a conduit ? Avez-vous vérifié que le cadenas au bas de la page de votre navigateur est fermé, traduisant un échange sécurisé par SSL ? Avez-vous téléphoné à votre banque pour vous inquiéter du courriel qu’elle vous a envoyé ? Avez-vous tenu compte des avertissements que toutes les banques sérieuses ont envoyés à leurs clients pour les mettre en garde contre le Phishing en leur précisant que jamais elles ne demanderaient par messagerie de rentrer sur un compte ? L’e-mail, vous l’aviez compris, n’a pas été envoyé par la banque et l’hyperlien dans cet e-mail ne conduisait pas sur le site de la banque mais vers un site appartenant au cybercriminel, simulant celui de la banque de celui que nous appellerons désormais « la victime ». Le site simulant la banque n’ayant pas lieu d’exister plus longtemps à la même place, personne ne retrouvera de site Web à l’adresse laissée dans les fichiers logs de la victime qui a fourni ainsi au cybercriminel tous les renseignements lui permettant de rentrer sur son compte bancaire et l’utiliser pour des transferts vers d’autres comptes. Il existe des kits de Phishing qui aident à réaliser des sites Web parfaitement simulés. La troisième étape est, pour le hacker, d’utiliser les renseignements gentiment entrés et grâce auxquels le pirate va entrer cette fois ci sur la page Web de votre vraie banque pour vider, à votre nom, tous vos comptes, ou plutôt de demander à une « mule » de faire ce travail. Les mules, ou "agents de transfert de fonds", en langage plus technique, sont des internautes de la même région que la victime qui moyennant finances, soutirent de l’argent de ces comptes compromis. Parfois les mules naïves n’ont même pas conscience que cette pratique est illégale. Cantonné au début au marché US, les courriels d’accroches d’une attaque par Phishing étaient tous écrits en anglais et concernaient les Américains qui avaient ouvert des comptes dans ces banques. Il était alors facile, pour nous qui recevions de tels courriels, de flairer l’arnaque. Le problème est qu’aujourd’hui les courriels, de même que les sites Web sur lesquels l’arnaque repose, sont pour la plupart écrits dans un français sans reproche et imitent à s’y méprendre les banques les plus connues. 4.3.3. LES ACTEURS EN PRÉSENCE Le cybercriminel qui peut désormais accéder aux comptes bancaires de ses victimes ne va pas, bien évidemment, vider les comptes dont il a maintenant la maîtrise, de tout leur contenu pour remplir le sien. Ce n’est pas ainsi que fonctionne le business model car nous parlons ici des cybercriminels, qui sont de Un livre blanc 10 / 23 vraies crapules sans scrupule, pas des naïfs comme le sont les victimes. C’est là qu’apparait un intermédiaire indispensable dans le business model : la mule. Ainsi commence l'arnaque qui se joue entre trois familles d’acteurs, les victimes qui ont un rôle uniquement passif, le cybercriminel qui va bénéficier en toute impunité d’un flot continu d’argent difficilement traçable et… les mules, chevilles ouvrières, qui par leurs actions intermédiaires permettent au business model de fonctionner si bien. Les mules sont recrutées par le cybercriminel ou ses complices parmi une population d’individus qui possèdent un compte en banque, une connexion internet et un peu de temps devant eux pour effectuer un travail bien rémunéré, simple, régulier, sans risque, et qui ne demande de plus aucune compétence particulière. Le recrutement des mules se fait par relations de parrainage, par forums, par sites Web d’offre d’emploi, ou même par des forums de recrutement tout à fait honnêtes par ailleurs. Le boulot proposé fait même l’objet d’un contrat en bonne et due forme, provenant souvent aujourd’hui d’un pays d’Europe de l’Est. La mule a un superviseur qui contrôle son travail. Tous les attributs qu’on peut s’attendre à trouver dans un contrat de travail honnête, à temps partiel et à domicile peuvent être réunis dans le contrat qui lie la mule au cybercriminel dont la mule n’a pas flairé, ou n’a pas voulu flairer l’état peu recommandable. 4.3.4. LE DÉROULEMENT DE L’ARNAQUE Il est demandé à une mule de lire souvent sa messagerie car elle sera avertie par cet outil que des sommes d’argent vont être créditées régulièrement sur son compte bancaire, dont elle a communiqué les coordonnées électroniques à son « employeur » au moment de la signature du "contrat". Chaque fois que son compte est crédité, ici d’une somme de 52,20 euros, là de 43,72 euros, une autre fois de 28,50 euros, jamais de très grosses sommes mais les transferts sont fréquents, la mule doit se rendre à sa banque et tirer l’équivalent de la somme en liquide. Elle peut garder pour elle, c’est écrit sur son contrat, 8 à 10% de la somme, au titre de sa commission. Elle envoie le reste par mandat international, les frais de poste sont remboursés, vers une certaine adresse à garder secrète, sous forme de mandats internationaux qui ne laissent pas de traces, ou par Western Union qui n'est pas très regardant, quand il s'agit de petites sommes. Si la mule réside en général dans la même région que sa victime, le cybercriminel lui réside ailleurs, le plus souvent loin des mules et de ses victimes, dans un pays où la législation est peu contraignante concernant les transferts de fonds. La pompe à billets étant amorcée, de partout arrivent vers le cybercriminel, ou ses intermédiaires, des mandats et les petits ruisseaux finissent par former de grandes rivières, voire même des océans. Oui mais si une mule garde tout l’argent qui arrive sur son compte ? Alors le cybercriminel déclare que cette mule n’honore pas « honnêtement » son contrat sur un forum très lu par la société des cybercriminels. Dès lors la mule n’a plus aucune chance de continuer à bénéficier de ces opérations lucratives et régulières. Alors pourquoi la mule se compromettrait-elle pour garder quelques dizaines d’euros alors que bon an, mal an, l’argent devrait tomber régulièrement avec les 8à 10% des sommes en transit qu’elle conserve ? De plus, souvenez-vous, le cybercriminel possède les coordonnées bancaires de ses mules qui peuvent bien se retrouver victimes d’un vidage électronique total de leur compte bancaire ! Mais la victime ne s’aperçoit-elle pas que des sommes sont tirées de son compte pour alimenter des comptes qu’elle ne connaît pas ? Oui parfois, alors elle s’en étonne auprès de son banquier, mais les transactions sont régulières, la victime est bien la seule personne à pouvoir accéder à son compte, puisqu’elle est la seule à connaître son mot de passe et ses coordonnées bancaires ! Elle n’aurait pas été naïve au point de les communiquer à des tiers ? Celui qui peut s’apercevoir à la longue que quelque chose ne tourne pas rond, c’est le banquier de la mule. Celle-ci peut se trouver en peine d’expliquer l’origine des petites sommes qui arrivent régulièrement sur son compte et qui précédent systématiquement, de sa part, des demandes de liquidités. Quand le banquier réagit, la mule est frappée d’interdit bancaire, mais pour le cybercriminel, qui ne fait ni dans la dentelle, ni dans les sentiments, quelle importance ? Une mule de perdue, dix de retrouvées… Oui le métier de mule est éphémère, c’est là son moindre défaut. Exemple de recrutement d’une mule (je suppose ) De : xxxxxxxxxx Envoyé : mercredi 19 décembre 2007 19:59 À : ************* Objet : For: ************ Un livre blanc 11 / 23 Good day! A respectable "e-Trust"; company is seeking for employees in the USA. If you are interested in finding a secure job, please, respond to us and we will be happy to give you more details. At this moment we are enlarging our staff and you have a chance to become a member of our team and get additional earnings spending 2 - 3 hours per week. You don't need any special experience for this position. What we offer: Flexible program: two hours/week at your choice, daytime and evening time, mainly checking your e-mail. Work at home: checking e-mail and going to the bank. Part time - no need to leave your current job - if you already work. 2-3 hours free during the week (mainly in the evening / non-business hours) for communication. Important: Adult age (must be over 18 years old) U.S. work authorization You don't need to sell or buy anything. You don't need to make personal investments to start your work. Requirements: General internet knowledge including working with Microsoft Office (Word/Excel), familiarized with financial terms (debit/credit, invoices etc.) familiarized with banking procedures (wire transfers, withdraws etc.) No diploma required. Students accepted. If You are interested in our job offer, please, reply to this letter. Contact us: [email protected] Finalement de très nombreuses petites sommes d’argent transitent régulièrement par l’Internet, depuis les comptes des victimes dont le cybercriminel, ou ses intermédiaires, possèdent l’accès vers les comptes bancaires des mules et de nombreux mandats internationaux sont émis par une cohorte de mules de tous pays vers l’adresse postale du cybercriminel ou celles de ses intermédiaires. Pas vu, pas pris, mais s’il est vu et si des plaintes sont déposées, quelles sont alors les lois qui s’appliquent et celles-ci sont régies par la législation de quels pays ? 4.3.5. LE PHARMING OU L’ATTAQUE SUR LES DNS Et si les internautes devenaient méfiants ? S’ils ne cliquaient plus sur des hyperliens proposés dans des courriels venant soit disant de leur banque ? S’ils saisissaient directement l’adresse Web de leur compte en ligne à partir de leur navigateur ? Alors les attaques par Phishing ne pourraient plus aboutir, et c’est là qu’intervient une attaque plus technique : le pharming, ou l’empoisonnement des serveurs de noms. Sur l’Internet, les êtres humains entrent des adresses comme www.mabanque.fr, les machines comprennent des adresses internet comme 189.23.1.14. Entre ces deux façons d’interpréter les adresses, il y a des machines qui convertissent, ce sont les DNS. Une attaque ciblant le DNS que votre accès à l’Internet utilise, en passant par une de ses vulnérabilités, pour que l'adresse www.mabanque.fr ne soit pas convertie en 189.23.1.14 mais en 192.17.7.28 qui est l’adresse internet du site Web du hacker et le tour est joué. Vous avez, à partir de votre navigateur, entré la bonne adresse du site Web de votre banque mais vous êtes aiguillé sur le mauvais site, celui du hacker, et ensuite vous commencez directement à subir le Phishing à partir de l’étape 2. Tant que votre serveur DNS reste compromis, cette attaque est imparable. Cette attaque dite en « DNS Poisonning » est difficilement identifiable, surtout quand on ignore ce qu’est une table de correspondance et que de plus on n’y a pas accès. Pour rendre cette arnaque inopérante, il faudrait non pas saisir l'adresse "nom de domaine" du site Web, mais directement son adresse IP (sur 4 octets dans le cas de l'Ipv4). 4.3.6. LE VISHING Vous vous méfiez ou êtes allergiques au Web et à l’informatique en général, et pour discuter avec votre banque, vous préférez utiliser votre téléphone portable ? Alors a été conçue une variante du Phishing et du Pharming qui consiste à vous envoyer un SMS vous alertant de téléphoner d’urgence à un numéro de téléphone vert, suite à un gros problème que vous avez avec votre banque. Le numéro vert est celui d’un centre d’appel qui simule celui de votre banque et qui vous pose les questions initiales que le faux Web vous aurait posées au sujet de vos coordonnées bancaires pour permettre de vous identifier et de cerner, par téléphone, où est le problème. On parle alors d’attaque en Vishing, la voix a remplacé la Un livre blanc 12 / 23 data mais le résultat est le même : vous avez révélé, au cybercriminel, vos coordonnées bancaires électroniques. Ensuite, quelle que soit la ruse utilisée pour obtenir les coordonnées bancaires de la victime, qu’elle n’aurait jamais du divulguer, c’est trop tard, le « business model » s’applique. 4.4. LE BOTNET 4.4.1. LA MARCHE DES ZOMBIES Déjà plusieurs millions de PC dans le monde, connectés à l’Internet, peut-être parmi eux le vôtre, suite à une infection virale, sont passés, à l’insu de leurs propriétaires, à l’état de zombies. Venu avec un virus ou toute autre méthode, caché dans les profondeurs des fichiers du PC, un client IRC1 reste discrètement actif. Ce logiciel est à l'écoute de son maître, le serveur IRC. Quand le serveur IRC situé sur le poste du hacker lance une requête sur le net, immédiatement tous les clients IRC à l’écoute exécutent le service demandé qui peut être par exemple de déclencher une attaque en déni de service distribué vers une cible qu’on veut faire tomber. Lorsque, contaminés par un code malicieux, des PC se réveillent, c’est tout un monde des ténèbres qui s’active sur le Net et ces PC, devenus zombies, sortent de leur léthargie pour envahir la toile, dévorer les bandes passantes des réseaux et laisser sur les messageries des honnêtes gens de bien étranges missives. Percevez-vous dans la nuit cette marche des zombies qui approchent de votre poste de travail ? 4.4.2. MAIS QUI SONT CES SPAMMEURS ? D’où viennent ces masses de SPAM que vous recevez sans cesse et qui saturent vos boîtes aux lettres ? L’examen des e-mails des expéditeurs montre que ce sont rarement des mêmes adresses que partent ces messages et les adresses semblent être de vraies adresses électroniques. Et c’est le cas ! Ces expéditeurs existent bel et bien dans le monde réel et seraient très étonnés si vous leur demandez d’arrêter de vous envoyer des SPAM car ils n’ont pas conscience d’être des spammeurs et pourtant ils le sont. Leurs postes de travail ne sont plus exclusivement sous leur contrôle, mais sont aussi sous le contrôle d’un personnage occulte, tapi dans un endroit obscur de l’Internet. Ce personnage commande à distance une armée de PC, et parmi eux peut-être le vôtre. Le vôtre ? Mais alors vous envoyez aussi des SPAM ? Oui, en effet, vous ne le savez pas mais vous envoyez des e-mails pour promouvoir telle marque de pilules de Viagra, des montres de contrefaçon, des diplômes usurpés, des actions à bas prix et dont le cours monte rapidement et encore d’autres produits connus pour être des arnaques. Peut-être un jour, une de vos connaissances, destinataire d’un e-mail qui vient de vous, s’en étonnera. Peut-être même recevrez vous un SPAM de vous-même ! Et vous spammez aussi par votre Smartphone. Des enquêtes récentes indiquent que près de 95% des SPAM sont envoyés par des ordinateurs « zombies » qui exécutent, à l’insu de leur propriétaire, des ordres venus d’ailleurs. La France est bien placée au rang des pays qui émettent des SPAM, les États-Unis occupent la première place, pourtant, ni les Français ni les Américains ne sont connus pour avoir comme passe temps l’envoi de SPAM. C’est bien dans ces pays que l’on compte le plus d’ordinateurs devenus des zombies. 4.4.3. IL Y A UN ZOMBIE DANS MA SACOCHE ! Un ordinateur devient zombie après contamination par un virus ou un ver spécialisé appelé le bot. Ce code malicieux arrive par la voie classique empruntée par les virus : la messagerie, le Web, le Peer to Peer… Les vers qui prolifèrent causent l’infection de millions de victimes. Ce programme malicieux installe sur le PC cible un service client qui ouvre un canal, souvent un canal IRC (Internet Relay Chat), par lequel le PC contaminé se met à l’écoute sur le Net, d’ordres qui proviennent d’un serveur IRC dont l’adresse a été communiquée à la victime au cours de l’infection. Ce serveur peut contrôler des centaines, des milliers, des millions de PC contaminés par un bot. On appelle botnet, l’ensemble de ces PC zombies qui agissent en réseaux virtuels, aux ordres d’un maître. 1 Internet Relay Chat Un livre blanc 13 / 23 Le bot ne détruit pas les données du PC et n’altère pas le fonctionnement des services, mais en utilise les ressources. Le propriétaire du PC ne perçoit aucune anomalie si ce n’est parfois une petite ou une grande lenteur sur le fonctionnement habituel. La question qui se pose aujourd’hui n’est pas de savoir si vous êtes contaminés mais combien de bots se battent en duel pour prendre le contrôle de vos postes de travail. 4.4.4. LE MAÎTRE DU BOTNET Supervisant les PC contaminés règne, tout puissant et très écouté, le maître du botnet. Si le réseau virtuel à sa disposition se compose de cent mille PC devenus zombies, une activation par le maître de ses zombies, parmi lesquels se trouve peut-être votre poste de travail, qui leur demande d’envoyer chacun dix e-mails à une liste communiquée, différente pour chaque zombie, et c’est un million de SPAM qui partent sur l’Internet, alimentant la prolifération des milliards de SPAM quotidiens. Le maître du botnet qui enverrait directement de son poste de travail un million d'e-mails, passerait immanquablement pour un spammeur. Dans ce modèle, ce sont des dizaines de milliers de PC qui envoient chacun dix mails, quoi de plus naturel et qui pourrait s’en inquiéter ? Bien sûr il peut sembler facile de remonter jusqu’au poste de travail qui active les zombies composant un large botnet. C’est pourquoi le poste de travail du maître du botnet change souvent d’adresse. L’adresse repérée est alors celle d’un serveur qui n’existe plus. Mais alors le serveur parti sans laisser d’adresse perd-il automatiquement la possibilité d’être entendu s’il n’est plus à l’endroit que les zombies écoutent ? Non car avant de partir pour s‘établir sous d’autres cieux momentanément plus sereins, avec une adresse provisoire pour quelques jours ou quelques heures, le serveur demande à chaque PC zombie de se mettre à jour en téléchargeant la nouvelle adresse qu’il devra désormais écouter après le départ du maître. Pas vu, pas pris mais quand bien même il serait repéré, qui porterait plainte ? Et contre qui et quelles lois s’appliqueraient ? Le maître du botnet n’agit bien sûr pas sur le sol de pays où la législation pourrait l’inquiéter. Tout de même, les grands constructeurs, éditeurs de logiciels et fournisseurs de services, tels Microsoft, s'associent avec les polices nationales pour faire tomber les botnets, et rencontrent un succès certains. Le nombre de SPAMS quotidiens a diminué de manière sensible. 4.4.5. LE SPAM ET LE DÉNI DE SERVICE Le SPAM n’est qu’un des services inavouables que le botnet permet. Le déni de service est une autre attaque pratiquée par les zombies à la demande du maître. Qui peut envoyer des mails peut aussi consulter un Web, alors quand le maître du botnet ordonne à ses cent mille PC zombies de solliciter, chacun cent fois, le Web institutionnel de votre société… Félicitation pour le succès de votre vitrine, elle recevra dix millions de sollicitations en un temps record mais, malheureusement pour vos vrais clients, votre Web, incapable d’absorber une telle charge sera vite rendu indisponible par saturation de sa bande passante. Et cette attaque en déni de service se produit au pire moment, celui où vos affaires exigeront que votre Web soit en parfait état de fonctionnement et qu’il réponde rapidement aux sollicitations, comme c’est le cas quand vous sortez un nouveau produit ou un nouveau service en ligne. 4.4.6. LE COMMANDITAIRE Un point important a été jusque là laissé de côté. Pourquoi le maître du botnet commet-il ces actions néfastes qui de plus, dans certains pays, constituent parfois un délit pénal, sanctionné par exemple en France par les lois Godfrain, articles 323-1 à 323-3 du code pénal ? Il faut savoir que les cybercriminels aujourd’hui n’agissent plus, en général, pour la gloire ou pour la délicieuse poussée d’adrénaline ressentie suite à une attaque destructive qui réussit. Aujourd’hui c’est le business qui motive les attaques et c’est bien pour gagner un argent facile que le maître du botnet a conquis son réseau de zombies et l’exploite. Là intervient le commanditaire, personnage le moins recommandable de ce modèle économique. Le maître du botnet n’est qu’un exécutant, et si je puis me permettre en me plaçant du côté obscur de la force, un commerçant qui offre un service. Possédant, sous sa cyber-autorité un nombre impressionnant de postes de travail prêts à lui obéir, le maître du botnet va proposer aux enchères l’utilisation de son réseau de PC infectés en passant par des moyens occultes comme des forums spécialisés ou le bouche à oreilles. Sa notoriété s’acquiert par le nombre de PC qui composent son botnet et par l’importance des sites attaqués. Attaquer en déni de services une grande banque durant telle plage horaire en activant tel nombre PC zombies, ce sera fait moyennant un tarif à discuter. Pour attaquer votre concurrent en déni services, ce sera un autre tarif dépendant de sa notoriété. Pour l’envoi de quelques millions de SPAM, sera encore un autre prix, de toute façon moins élevé que si les messages partaient par la poste. La loi l’offre et de la demande joue aussi pour le cyber criminel. Un livre blanc de de ce de 14 / 23 Nous voici revenus au temps des assignats qui remplissaient de gens, peut-être honnêtes, les cachots de la Bastille. 4.4.7. LES CONTRE-MESURES POUR UN MONDE SANS ZOMBIES Des contre-mesures peuvent être mises en œuvre mais sont-elles efficaces ? Tout dépend, comme c’est souvent les cas en matière de défense, si c’est l’attaquant ou le défenseur qui prend une longueur d’avance et du temps de réaction. Le modèle du botnet repose sur les communications entre maître et zombies en utilisant un canal IRC. Il suffirait de bloquer ce canal sur le PC infecté par un firewall personnel bien configuré. Mais les botnets passent de plus en plus aujourd’hui par le port 80 qui est celui du Web et utilisent le protocole du Web. Vous ne pouvez bloquer le port 80 sinon, vous n’auriez plus d’accès possible à la toile. Le PC devient zombie quand il est contaminé par un bot, qui n’est en fait qu’un virus ou un ver particulier. Il suffit donc d’éradiquer ce code malfaisant par un anti-virus efficace, mais les bots aujourd’hui ont atteint un haut niveau de sophistication et sont d’autant plus difficiles à déceler qu’ils sont souvent accompagnés d’un rootkit. Le rootkit est un logiciel qui modifie en profondeur des parties du système de fichier du poste infecté, de manière à ce que ni le programme qu'il rend furtif (le ver), ni lui, ne peuvent être repérés par les moyens classiques de défense. En observant un PC contaminé durant sa phase d’activation, peut-on essayer de remonter au maître du botnet ? En fait chaque PC zombie n’est pas systématiquement activé lors d’une attaque. Le maître d’un botnet de plusieurs centaines de milliers de PC zombies peut en activer une dizaine de milliers pour telle attaque, une autre dizaine de milliers pour telle autre. Ceci explique qu’il peut se passer du temps entre deux attaques qu’on demande à un PC de perpétrer. Le personnage à coincer, judiciairement parlant, devrait être le commanditaire qui, moyennant finances, profite de l’existence des botnets. Celui-ci, contrairement au maître du botnet ne réside pas, en général, dans un pays où les lois anti cybercriminalité n’existent qu’en théorie. Mais là encore, si toutes les précautions sont prises, il est difficile de réunir les preuves des pratiques malveillantes qui l’accusent. La cybercriminalité recherche des gains moins risqués sur le monde virtuel que ceux des attaques et des arnaques faites dans le monde réel, et les botnets sont un parfait exemple de cette nouvelle tendance. Le botnet utilisé comme générateur de SPAM et de déni de services Certains botnets se composeraient de plusieurs dizaines de milliers de PC zombies prêts à lancer des attaques. De nombreux SPAM qui saturent vos boîtes aux lettres proviennent aujourd’hui de réseaux de botnets, et votre PC est peut-être un relais involontaire de cette nouvelle cybercriminalité. Un livre blanc 15 / 23 5. LES ATTAQUES QUI PORTENT SUR VOTRE CRÉDULITÉ 5.1. LE HOAX Le hoax ou canular joue sur la naïveté qui réside en chacun d’entre nous, même chez les plus méfiants. On peut vous mettre en garde contre un virus particulièrement dangereux et on vous indique comment l’éradiquer en supprimant la cause : un programme résidant sur votre disque. Mais ce programme est en fait un programme système parfaitement honnête et de plus nécessaire pour la bonne marche de votre système. Quand vous l’avez effacé, vous n’avez plus qu’à tout réinstaller. Un autre exemple de hoax vous prend par les sentiments. La petite Noélie, 9 ans est atteinte de leucémie et a besoin d’une greffe de moelle osseuse avant la fin du mois. Sauvez-la, utilisez vos listes de messagerie pour trouver le donneur avec le bon groupe sanguin introuvable. Que cette chaîne de solidarité est belle et que la demande est louable ! Si ce n’est que Noélie a 9 ans depuis plus de quinze ans et n’a jamais existé. Vous avez ainsi fait un don à cette association de bienfaisance, mais votre argent tombe directement dans la poche de l'arnaqueur. Vous pensiez bien agir, vous vous fait arnaqué. On peut aussi ruiner un marché honnête en signalant que dans des cinémas de telle ville on a trouvé sur les sièges des aiguilles infectées par le virus du sida, ou alors vous raconter l’histoire de la banane tueuse, contaminée par une bactérie ravageuse, ou encore vous avertir que le chat de votre voisine a contracté le H5N1. Un site, fort bien fait, répertorie les hoax www.hoaxbuster.com et propose même un moteur de recherche de hoax par mots clés. A consulter impérativement avant de commettre une bêtise. 5.2. LA FRAUDE NIGÉRIANE Qu’elle vienne par courriel du Nigeria, des Philippines ou d’ailleurs, avec la fraude nigériane ou carambouille, la chasse aux pigeons est ouverte. Le pigeon, c’est vous, et l’agresseur est toujours quelqu’un en grand danger dans son pays d’origine, mais détenteur d’une énorme somme d’argent, qui vous demande de l’aider à faire transférer cette somme vers un pays plus calme, en passant par votre compte en banque, et moyennant bien sûr pour vous une commission conséquente. Le business Model est, vous vous en doutez, non pas de vous offrir de l’argent mais de vous en soutirer en exploitant par exemple les coordonnées bancaires que vous aurez transmises. 5.2.1. DES SOUCIS ET UNE URGENCE Lorsque les cavaliers de l’apocalypse chevauchent les ténèbres, laissant autour d’eux un océan de misère, de carnage et d’horreurs, au milieu des champs dévastés, se trouve toujours une âme grise qui tire profit de ces situations tragiques. Dans un pays en proie aux tourments de la guerre, de la famine, de la terreur, la veuve éplorée du ministre des finances décapité, ou le fils préféré d’un riche marchant dépecé, découvre dans les comptes du défunt un magot caché. Mais comment profiter du trésor dans cette situation critique ? C’est là que vous intervenez. Vous qui avez la chance de vivre dans un pays libre et stable où la loi protège le citoyen et lui permet d’élever sa famille dans un monde sans dangers ; vous qui êtes honorablement connu pour être un travailleur sérieux, un père responsable, un gars bien sous tous rapports, on peut vous faire confiance. Ce trésor trouvé au fond de la tourmente, si on imaginait un moyen de le transférer provisoirement sur votre compte, vous rendriez un immense service à cette personne qui survit dans le plus profond dénuement et vous mériteriez un dédommagement pour votre gentillesse : 20% de cette somme sur un montant de plusieurs millions d’euros !!! Vous êtes d’accord certainement sur deux points : d’abord que vous êtes quelqu’un de bien, ensuite que dans les pays exotiques en proie aux troubles dont nous abreuvent tous les soirs les journaux télévisés, l’instabilité côtoie la corruption généralisée. De plus, la somme que vous pourrez gagner juste en rendant service, est précisément celle dont vous avez besoin pour satisfaire votre vœu le plus cher, achat immobilier, voiture de luxe, voyage autour du monde… et puis il est urgent d’aider cette personne en danger. 5.2.2. NOM DE CODE SCAM 4-1-9 A l’origine, ces appels au secours proviennent du Nigéria, pays qui a subi de plein fouet la récession des cours du pétrole, dans les années 80. Certains « financiers » se sont alors reconvertis dans la fraude, nouveau filon pour gagner l’argent qui ne coulait plus naturellement. SCAM signifie « arnaque » en anglais et « 419 » est l’article du code pénal nigérien qui punit la fraude qui gangrène le pays. Un livre blanc 16 / 23 Cet appel au secours, appelé communément « fraude nigériane », qui aujourd’hui vous arrive plutôt par e-mail que par courrier postal, car il est plus rentable et plus facile d’atteindre des centaines de millions de correspondants par les moyens électroniques, a pris par dérision le nom de code « SCAM 419 ». Vous l’avez compris, il s’agit bien d’une arnaque et l’argent qu’on vous fait miroiter est purement fictif. Le SCAM 419 représente aujourd’hui un pourcentage non négligeable du total des SPAM émis, la plupart en utilisant des botnets. Des centaines de millions de destinataires reçoivent ces messages et parmi eux toute une volée de pigeons va répondre et se faire plumer. 5.2.3. D’ABORD VOTRE IDENTITÉ À PRODUIRE La fraude nigériane n’a pas pour but de vous faire gagner des millions de dollars, mais plutôt de vous soutirer des milliers d’euros. Supposons que vous preniez contact avec votre correspondant dans la détresse, pour lui rendre service, et aussi un peu, avouez-le, pour gagner des millions. Le correspondant va vous demander de lui envoyer, de préférence par Fax, votre état civil (la photocopie des pages de garde de votre passeport fera l’affaire). Des feuilles à en tête de votre société, avec des champs laissés en blanc, seraient aussi utiles (pour un futur SCAM papier vers d’autres pigeons potentiels). Vous êtes un gars bien mais vous devez prouver que vous êtes bien celui à qui on pense. Il vous demande d’envoyer ces documents par Fax plutôt que par e-mail. Il ne vous le dira pas mais il ne veut pas chercher votre réponse dans sa boîte e-mail encombrée par le courrier intensif qui lui arrive. Ceux qui pratiquent le SPAM connaissent sans doute l’ampleur des retours engendrés par de grandes quantités de e-mails envoyés à l’aveuglette. Ces renseignements d’état civil ne sont pas grand chose et vous n’avez d’ailleurs rien à cacher. A ce stade vous êtes déjà un pigeon, mais vous ne le savez pas encore. Ces renseignements seront précieux au cybercriminel qui utilisera les divers éléments d’identité fournis pour amorcer d’autres tentatives de fraudes et les vendra aux acheteurs de listes d’adresses e-mail qualifiées. Vous êtes coopératif, c’est bien. Vous êtes cupide, c’est mal, et en plus naïf… et ça va vous coûter cher. 5.2.4. ENSUITE LE COFFRE À LOUER ET DES POTS DE VIN À DISTRIBUER Jusque là on ne vous a pas demandé vos coordonnées bancaires pour transférer le magot. Vous êtes un peu méfiant, bien sûr mais pas encore inquiet. Il y a un petit problème : l’argent est immobilisé dans le coffre d’une banque qui est loué 50 euros par semaine et votre correspondant n’a plus de quoi régler la location. La somme devrait être débloquée avant deux semaines, alors si vous pouviez envoyer 100 euros, cela garantira que la somme sera toujours disponible au moment où le transfert se fera. Qu’est-ce qu’investir 100 euros pour qui veut gagner des millions ? Il faudra aussi distribuer un pot de vin au directeur de la banque, bienveillant jusqu’à présent, qui accepte de fermer les yeux sur cette transaction pour le moins insolite. 400 euros suffiront car dans ce pays, c’est une grosse somme. On ne vous a toujours pas demandé vos coordonnées bancaires et vous envoyez ces 400 euros par mandat, car vous savez investir ! Comme vous êtes décidemment quelqu’un de bien, votre correspondant veut vous prouver que lui aussi est un honnête homme. Il va vous envoyer tous les documents qui vont vous prouver l’existence de cette très grosse somme et vous fournir toutes les garanties que vous allez bientôt être millionnaire. Les photocopies, les timbres fiscaux, les taxes pour obtenir ces documents coûtent cher, environ 1000 euros, mais ce sera la preuve de sa bonne foi et ainsi vous saurez que vous êtes déjà, quasi officiellement, un millionnaire. Ça vaut le coup d’investir cette somme qui est en quelque sorte le prix de l’assurance d’être un nouveau riche, et 1000 euros pour vous ne représentent désormais plus grand chose. 5.2.5. ET PUIS LES COORDONNÉES BANCAIRES À FOURNIR Vous avez reçu les papiers officiels qui établissent que vous allez être dépositaire de la grosse somme dont 20% sera votre commission. Peut-être à ce stade là aviez-vous même oublié que c’est seulement votre commission que vous allez garder, pas la totalité de la somme transférée ? Tout est prêt pour la transaction, mais sur quel compte bancaire votre correspondant doit-il opérer ? Inutile de dire que votre discrétion absolue est requise pour ne pas faire capoter l’affaire et mettre en danger la vie de votre correspondant. Le mieux est de lui fournir tous les renseignements pour qu’il opère directement lui-même avec la complicité du directeur de la banque locale et en toute discrétion, la transaction sur votre compte. Comme vous avez été si coopératif, ce n’est pas 20% mais 22% de la somme que vous pourrez garder. A ce stade là, votre correspondant est devenu votre ami. Un ami que vous allez sauver et qui va faire votre fortune. Alors login, mot de passe et tout ce qu’il vous demande pour qu’il opère la transaction vers votre compte, vite vous les lui envoyez. Un ami ne peut trahir votre confiance. Penser qu’il pourrait profiter des renseignements que vous lui avez fournis sur votre compte en ligne pour le vider ? Autant penser que des martiens vont atterrir ce soir sur votre pelouse et que le Phishing n’est pas que pour les autres ! Un livre blanc 17 / 23 5.2.6. ET FINALEMENT DE RÉELS SOUCIS ET BIEN DES TOURMENTS QUAND ÉCLATE LA BULLE Nous y voilà, la somme est disponible mais se trouve toujours bloquée dans le pays. Plutôt que d’effectuer la transaction par e-mail, car certes les progrès de l’authentification forte et du chiffrement ont rendu les transactions très sécurisées, mais cette transaction là qui sort de l’ordinaire, sera encore plus sûre et plus discrète si vous allez chercher vous-même cette grosse somme sur place, avec la complicité des douaniers. Leur complicité est garantie si vous envoyez tout de suite 3000 euros qui leur seront remis avant votre arrivée. Et avec ces 3000 euros, ne vous inquiétez pas pour le visa d’entrée dans le pays, il ne vous sera pas demandé et on viendra vous chercher à l’aéroport. Décidemment il y a de par le monde des pays bien corrompus ! Enfin si on peut aider son prochain et en plus gagner des millions, tout le monde y trouvera son compte, douaniers compris… et on ne lèse personne bien au contraire. Et vous voilà débarqué sans visa dans ce pays inconnu et vous voilà passé du cybermonde dans le monde bien réel. Oui on est venu vous chercher à l’aéroport, pas pour vous remettre la somme mais pour vous plumer de tout ce que vous avez emmené. La bulle de béatitude dans laquelle vous étiez entré vient d’éclater et vous n’êtes pas content ? Allez vous plaindre et n’oubliez pas que vous êtes entré sans visa sur ce territoire où l’on assassine… D’ailleurs vous ne repartez pas, vous êtes retenu en otage et c’est à votre famille ou à vos proches de payer une forte rançon pour votre libération. Ensuite comme vous êtes moins dangereux mort que vivant, plutôt que de vous relâcher… 5.2.7. QUELQUES CHIFFRES QUI FONT FRÉMIR Avec le SCAM 419 je vous ai accompagné jusqu’aux portes de l’enfer en brossant les contours d’un cas extrême. Tous les pigeons qui répondront à cette escroquerie en bande organisée n’en mourront pas mais tous seront atteints dans leur fierté et dans leur porte-monnaie. Alors mieux vaut ne pas donner suite à un e-mail qui laisse apparaître une tentative de fraude nigériane. Et pourtant, cette fraude est une arnaque très lucrative et fort répandue. Elle rapporterait par an plus de trois milliards de dollars et plus de 200 millions d’euros pour les arnaques qui concernent des Français. Plusieurs personnes ont même payé de leur vie le fait d’avoir été piégées. Inversement, en février 2003 à Prague, un consul nigérian, innocent, a été tué par vengeance par un Tchèque qui, suite à un SCAM 419, s’était retrouvé sans provisions. 5.2.8. QUE PEUT-ON Y FAIRE ? Le SCAM 419 est avant tout un SPAM. Il convient de le traiter comme tous les autres SPAM qui envahissent votre messagerie. Soit vous êtes aidé par un filtre anti spam qui vous le signale comme étant un message indésirable, soit c’est vous le filtre anti spam et vous agissez comme il convient : vous le supprimez sans vous donner la peine de le lire jusqu’au bout. Ne donnez jamais sur votre identité plus de renseignements que nécessaire, et seulement à ceux que vous jugez en avoir besoin, et méfiez-vous des vols d’identité pratiqués automatiquement par les programmes potentiellement indésirables que vous chargez à votre insu à partir de la toile. Si vous avez du temps et de l’humour, répondez au prochain SCAM par la tactique du pot de miel (appelé « SCAM Baiting » dans ce cas). Pas à partir de votre vraie adresse e-mail, mais à partir d’une adresse créée pour l’occasion. Rassurez-vous, parmi les centaines de milliers d’e-mails qu’il émet, votre correspondant ne fera pas la relation entre votre adresse et celles à qui il a envoyé son appel au secours. Bien évidemment ne donnez aucun renseignement réel sur vous et faites patienter votre correspondant entre vos e-mails. Lui est pressé de vous plumer mais il n’y a aucune urgence pour vous. L’avantage est donc dans votre camp. Si beaucoup engagent la conversation avec ces cybercriminels, ça augmentera le volume des e-mails inutiles mais ça rendra cette arnaque difficilement praticable. 5.2.9. AIDÉE-MOI JE VOUS EN CONJURE … Voici pour terminer un e-mail délicieux et authentique, que j’ai un peu raccourci mais conservé dans son intégrité et son orthographe pas toujours académique. Vous reconnaitrez tous les ingrédients du SCAM 419 qui maintenant n’ont plus de secret pour vous. Il est écrit en Français car on assiste à une migration de ces arnaqueurs vers les pays de l’Afrique francophone et bientôt sans doute vers l’Amérique du sud pour les SCAM 419 qui seront écrits en espagnol. VOTRE HONNEUR, Je vous prie de bien vouloir m'excuser pour cette intrusion qui peut paraître surprenante à première vue d'autant qu'il n'existe aucune relation entre nous. Je voudrais avec votre accord vous présenter ma situation et vous proposer une affaire qui pourrait vous intéresser. Je me nomme Mlle KABORE Alizeta D'origine Burkinabeé née et vivante en Côte D'ivoire, j'ai 20 ans et je suis la fille aînée, des 2 enfants (dont mon Petit-Frère 11 ans Malick ) de mon Père Mr KABORE Un livre blanc 18 / 23 PAGWENDE, qui était un négociant et producteur très riche en café et cacao et puissant, Assassiné lors des derniers évènements survenu à DUEKOUE (dans la guerre en Côte d'ivoire) parce que soupçonné de financer la rébellion. Après la mort de mon père, ma mère détenait une Attestation de Solde Bloquée et Sécuriser à mon nom dans une Compagnie de Sécurité de la place d'une valeur de (2.700.000. Euros) Deux Millions Sept Cents Milles EUROS. Ma mère ne pouvant plus supporter le décès de son mari (feu mon père) mourut 4 mois plus tard d'une hypertension artérielle dans une clinique privé à Abidjan. Ainsi 2 jours avant sa mort, elle m'informa de tous les documents relatifs justifiant l'existence d'un compte bloqué d'un montant de : (2.700.000 EUROS) Deux Millions Sept Cent Milles EUROS que mon père nous à laisser comme héritage sous forme d'effets de famille contenu dans une malle, dont LES ACTES NOTARIALES, sont chez un NOTAIRE et elle me confia le NOM ET LE CABINET, et elle me conseilla sagement d'ouvrir un compte fiable à l'étranger dans lequel ces fonds doivent être transférés selon le testament de mon défunt Père. Elle me recommanda aussi de chercher une personne à l'étranger qui pourrait honnêtement me faire bénéficier de son assistance pour sauver ma vie et assurer mon existence. Je vous donnerai 15% sur mes fonds pour l'aide que vous voudriez bien m'apporter. Ce que je voudrais pour mon petit frère c'est de lui trouver une ÉCOLE DE FOOTBALL une fois là bas. Il joue vraiment très bien. C'est pourquoi à la recherche de quelqu'un, je suis tombée sur vous et je vous écris, pour que vous m'apportiez votre aide. Du fond du cœur, Je vous en conjure si pouvez, aidez nous je vous en prie et nous vous en serons Gré. S.V.P veuillez garder la discrétion à cause des problèmes sociaux politique que nous vivons en ce moment en Côte d'Ivoire. Je compte sur votre bonne foi et votre honnêteté pour que mon héritage soit transféré le plus vite possible. Personne à part vous, le notaire et moi ne connaît l'existence de ces fonds. S'il vous plaît, contactez moi urgemment dès réception de ce courrier et surtout veuillez gardez la discrétion, la confidentialité et l'honnêteté. Dans l'espoir de vous relire et d'une suite favorable. Aidée-moi je vous en conjure. Mlle KABORE ALIZETA et KARIM [email protected] Tant qu’il y aura sur terre des gens cupides ou naïfs au point de penser que l’Internet ouvre un monde où la réalité ne s’applique plus, des papiers du genre de celui-ci pourront ne pas être inutiles. 6. LE PUMP AND DUMP Les moyens évoqués ci-dessus, mis en œuvre conjointement, peuvent donner lieu à une attaque particulièrement virulente qui est le « Pump and Dump ». Le Pump and Dump est une arnaque qui s'appuie sur les mécanismes boursiers, l'Internet, la messagerie et la possibilité d'effectuer des achats en ligne. Il utilise le spam et les botnets. Comme pour toutes les arnaques, le maillon faible qui permet à cette attaque de réussir est la crédulité de ses victimes. 6.1. UNE SOCIÉTÉ COTÉE ET QUI MÉRITE D'ÊTRE CONNUE L'arnaqueur choisit une société cotée sur le marché. Cette société existe déjà ou a été créée pour l'occasion. Il achète une bonne partie des actions. La société étant en général petite et inconnue, il est difficile de vérifier le montant de ses avoirs, sa santé financière et de connaître exactement quels sont ses produits ou ses services. Il est par contre facile de manipuler le cours de cette action. Ses actions sont cotées sur un marché appelé l’OTC « Over The Counter » ou encore le « Pink Sheet », moins connu que le Nasdaq, le NYSE ou l’Euronext mais qui s’en soucie ? Cette petite société, souvent dormante, n'étant pas connue, ses actions ne sont pas recherchées donc elles ne valent pas grand chose. Pour que la société prenne de la valeur, il faut que ses actions obtiennent les faveurs du marché et soient sous le feu de la rampe. Il faut donc en faire la promotion. C'est ici que l'Internet et en particulier le spam et les botnets vont aider l'arnaque à prendre forme. Vous recevez par messagerie une proposition d'achat d’une action miracle, une action à très bas prix, mettons 12 cents par action. L'action est toujours cotée au départ à quelques cents ou à quelques Un livre blanc 19 / 23 centimes d'euros d'où le nom de « Microcap Stock fraud » pour cette arnaque plus connue sous le qualificatif de « Pump and Dump » qui traduit mieux son mécanisme. 6.2. LE PUMP (LE GONFLAGE ARTIFICIEL) Le cours de cette action, vous promet l’e-mail, va monter et même présenter une ascension fulgurante, du rarement vu dans le monde de la bourse ! Des promoteurs et même des analystes financiers, vous informe par e-mail, qu'ils prévoient qu'elle va atteindre les 14 cents le lendemain et sans doute dépasser les 50 cents à la fin de la semaine. La semaine suivante, l'action dépassera les 1,2 $ et atteindra un record de 3 $ avant la fin de la quinzaine puis s'élèvera encore. Vous n'êtes pas convaincu par cette société car vous vous méfiez des transactions par l'Internet, avec tout ce qu'on raconte sur la cybercriminalité ? Vous avez raison ! Mais le lendemain, vous recevez un nouvel e-mail qui vous assure que le cours de cette action a atteint les 16 cents et le surlendemain, un autre e-mail vous annonce qu'elle est à 28 cents. Vous pouvez vérifier par le Web, sur les systèmes de cotation électroniques des marchés où cette action est cotée, c'est vrai ! L'action est réelle et son cours est bien celui qui est annoncé. Tiendriez-vous le bon filon pour rapidement vous enrichir sans prendre un risque excessif ? Non, vous êtes toujours méfiant mais jour après jour, vous constatez que cette action grimpe à la lumière des emails quotidiens que vous recevez et des recherches sur le Web que vous faites. Vous voilà rassuré, mais un peu attristé d’avoir tant tardé à exploiter ce filon. Quel dommage de ne pas en avoir acheté un gros volume alors que cette action était cotée à 12 cents, maintenant qu'elle dépasse les 2 $ ! D'autant que la parité euro / dollar vous est favorable alors n'attendez plus, vous en commandez 300 au cours du jour. Les jours suivants vous suivez avec gourmandise le cours de cette action qui monte, qui monte, qui monte. Fin financier que vous êtes et acquéreur impulsif qui sent l'évolution du marché financier, vous en achetez encore et encore. 6.3. POMPEZ, POMPEZ, IL EN RESTERA TOUJOURS QUELQUE CHOSE… Mais non, vous n'êtes pas seul sur l'Internet à recevoir ces alertes pour l'achat de cette action alléchante ! Des dizaines de millions d'internautes ont reçu les mêmes messages que vous et nombre d'entre eux ont acheté comme vous une quantité plus ou moins importante de cette action vraiment fabuleuse dont l'ascension peut être effectivement vérifiée, et même être inscrite au livre des records. Qui se soucie de la valeur réelle de la petite société ? Sa valeur n’est-elle pas celle de son action qui monte ? Ainsi est fait le monde capitaliste que vous avez si bien perçu ! Mais si tant d'internautes ont reçu les mêmes messages, ne serait-ce pas du spam ? Et donc ces messages ne devraient-ils pas être bloqués par les filtres mis en place par les fournisseurs d'accès, par les entreprises, peut-être par vous-même sur votre poste de travail ? Apparemment ils ne le sont pas puisque vous recevez ces e-mails. Ces e-mails sont des spams, en effet, mais dans le combat entre les spammeurs et les filtres antispams, toute l'ingéniosité des arnaqueurs est mise en œuvre. De spams initiaux sous forme de textes, facilement identifiables par les filtres antispams et donc bloqués, le texte est maintenant placé dans une image gif ou jpeg qui n'a bien entendu rien à craindre des logiciels d'analyse de texte. Mais une image isolée constituant un e-mail, et de taille fixe, envoyée à des millions d'exemplaires ne peut-elle pas être assimilée à un spam, la signature étant sa taille ? Oui, et c'est pourquoi les images n'ont pas une taille fixe. Chaque e-mail présente une taille différente, calculée aléatoirement, grâce notamment à des micropoints disposés dans l'image, que vous ne voyez pas mais qui conditionnent sa taille, ou encore on joue sur la bordure de l'image qui n'est jamais tout à fait la même d'une image à l'autre. L’important est que ces images portent toutes le même texte et c'est ce que vous lisez, sans même remarquer que le texte est en fait une image. Mais un e-mail constitué d'une image seule, quelle que soit la taille de cet e-mail, ne peut-il pas être assimilé à un spam ? Sans doute, c'est pourquoi le spammeur va parfois faire suivre son image, d'un texte aléatoire qui est souvent un poème ou n'a aucun sens mais peut importe puisque vous lirez le texte contenu dans l'image, pas le texte qui la suit. Et si les filtres antispams se mettent à analyser l'image pour détecter si elle contient un texte en identifiant des caractères ? Et bien le spammeur va incliner le texte dans l'image, et le filtre ne reconnaitra pas les caractères. Et l'on voit aujourd'hui apparaître des spams contenant des fichiers MPEG où un analyste vous raconte la progression du cours des actions. Après le texte pur, après le texte contenu dans une image, voici le son et parfois on croit mieux ce qu'on entend que ce qu'on voit. Imaginez ce que devient la taille des spams ! Et il est à prévoir qu'après la messagerie, ce genre de spams va envahir vos Smartphones. Un livre blanc 20 / 23 6.4. DE QUI RECEVEZ-VOUS CES E-MAILS… ET POURQUOI VOUS ? Si on ne peut se fier au filtre antispam pour bloquer le message, au moins un message envoyé à des millions d'exemplaires, à partir d'une même adresse e-mail, sera évidemment reconnu comme étant un spam. L'émetteur ne va t’il pas se retrouver dans des listes noires de spammeurs ? Oui, sûrement, et c'est pourquoi l'arnaqueur n'envoie pas ses e-mails à partir de son adresse mais utilise un ou plusieurs réseaux de milliers de PC, devenus « zombies » suite à une contamination par un logiciel malfaisant, un « bot ». Ce réseau de PC zombies qui obéit aux ordres d'un maître s'appelle un « botnet ». Peut-être d'ailleurs votre poste de travail fait partie d’un ou de plusieurs botnets. C'est le cas du PC qui vous a envoyé l'email, à l'insu du plein gré de son propriétaire, bien entendu. Vous remarquerez d'ailleurs que jour après jour, les e-mails d'alerte sur le cours de l'action ne proviennent jamais de la même adresse e-mail ; forcément il n'y a pas de corrélation entre les adresses d'envoi des messages et les adresses de ceux qui les reçoivent. L'arnaqueur loue l'utilisation d'un botnet pour envoyer les e-mails de Pump and Dump. Chacun des PC contaminés envoie une centaine d’e-mails à une liste d'adresses qui lui est communiquée par le maître du botnet. Votre adresse en fait partie, c'est pourquoi vous êtes destinataire. Et comme les botnets peuvent être composés de milliers de PC, des millions de messages, à raison de quelques dizaines par PC, partent sans qu'on puisse se douter d'un fonctionnement anormal et remonter à la source de cette cybercriminalité. Mais plus il y aura d’internautes qui recevront ces e-mails, plus il y aura d'acheteurs et donc plus le cours de l'action va monter et maintenant que vous êtes possesseur d’un gros volume de cette action, cela va dans le sens de vos intérêts donc tout va bien jusqu'à présent. 6.5. LE DUMP (LA LIQUIDATION ET LA FIN DU RÊVE) Maintenant que l'on sait que malgré tous les filtres antispams qu'ils rencontrent, les messages passent, revenons au modèle économique du Pump and Dump. L'action existe et grimpe réellement obéissant à la loi de l'offre et de la demande. Une fois la frénésie d'achat de cette action amorcée, portée par le bruit assourdissant des spams quotidiens, son cours s'envole car immense est la demande et fréquents sont les achats impulsifs sur le net. Quand l'action a atteint un certain seuil, soudain toute publicité sur son cours cesse. L'arnaqueur a vendu aux acquéreurs en folie les actions qu'il détenait depuis le début, c'est-à-dire la majeure partie du volume des actions disponibles. Le cours de cette action a pris beaucoup de valeur et bien entendu l'arnaqueur empoche la plus-value qui est bien réelle. Sans publicité, aucune demande d'achat ne se fait plus sur le Net. Son cours accuse alors une pente négative, les actionnaires affolés vendent et brusquement le cours s'effondre jusqu'aux alentours de ce qu'il valait au début de l'arnaque, c'est-à-dire quelques cents. De toute évidence, cet e-mail est l'amorce d'une escroquerie en Pump and Dump Des milliers de naïfs, spéculateurs du dimanche et financiers en herbe, se sont ainsi fait arnaquer et ont perdu leur investissement. Seul l'arnaqueur, qui avait toutes les cartes en main, a vendu au bon Un livre blanc 21 / 23 moment et quitte le cybermonde emportant le pactole qu'il utilisera dans le monde réel. Il laisse sur le carreau du Net les arnaqués qui n'ont plus que les forums de discussion pour exprimer leur désarroi, si du moins ils n'ont pas honte de reconnaître qu'ils se sont fait avoir. Où est exactement la malhonnêteté ici ? C'est simplement l’utilisation des mécanismes boursiers et personne n'est obligé de croire ce qu'il lit dans ses e-mails et de penser que le cours d'une action est juste une question d'offre et de demande et n'est pas corrélé avec la valeur réelle de la société cotée. 6.6. QUE FAIRE CONTRE CETTE ARNAQUE ? Les filtres antispams qui éliminent une partie des e-mails indésirables et les antivirus qui éliminent une partie des bots qui servent à envoyer les spams diminuent le risque de recevoir des messages d'incitation à s'enrichir sans prendre de risques en utilisant la bourse. Mais rien ne peut diminuer la naïveté du cybernaute, si ce n'est la connaissance des diverses facettes de la cybercriminalité qui devrait le mener vers plus de sagesse et en particulier vers plus de méfiance vis-à-vis des messages provenant de sources qu'il ne connait pas, surtout quand il y a un enjeu financier. Parfois une société honnête constate que le cours de son action décolle sans raison et redescend pour se stabiliser à sa valeur initiale. Une explication est que son action a été utilisée dans une arnaque de Pump and Dump. Parfois ce sont des sociétés elles-mêmes qui organisent l'envol artificiel du cours de leurs actions en pratiquant le Pump and Dump. Parfois elles payent des promoteurs pour le faire à leur place. Certains « analystes financiers » peuvent être payés par une entreprise pour annoncer que son action est mirifique, ce qui n'est pas illégal en soi, à condition que l'entreprise déclare cette transaction entre elle et l'analyste et le montant payé pour ce service, ce qu'elle oublie le plus souvent de faire ! Si ce « dopage du cours d'une action » est prouvé, la société peut être inquiétée par la législation du pays dans lequel son action est cotée, si législation il y a. On cite une banque en Lettonie qui s'est fait coincer pour avoir utilisé cette arnaque. Devant ces pratiques douteuses, des autorités de contrôle veillent. Une action dont le cours s'envole, sans raison valable, peut attirer l'attention de cette autorité et c'est le combat entre le gendarme et le voleur. La SEC (Securities and Exchange Commission), le gendarme de la bourse aux États-Unis, équivalent de notre AMF, a suspendu pour quelques jours la cotation de plusieurs dizaines de sociétés convaincues de l'escroquerie de Pump and Dump. Des éditeurs, tels que Verisign, proposent aux organismes et analystes boursiers un kit logiciel pour traquer les arnaqueurs. 6.7. FIN DU RÊVE L'action miracle d'une société inconnue, proposée par l'Internet, qui fera de vous un richissime et heureux financier est de toute évidence un leurre et ne se rencontre pas que dans le cas du Pump and Dump. S'il était si facile de s'enrichir, en prenant si peu de risques, ça se saurait. Pourtant beaucoup de pigeons se font avoir et ce type de cybercriminalité rapporte plusieurs centaines de millions d'euros par an aux cybercriminels. Gardez à l'esprit que si une occasion d'achat d'une action qui s'envole est trop belle pour être vraie, c'est sans doute que cette occasion est fausse ; et si un inconnu s’adresse à vous pour vous faire entrer dans le monde des nantis, c’est probablement un arnaqueur. Nous voyons à ce sujet l'importance de l'information et des médias qui la porte dans notre société et les dégâts qu'elle peut causer quand elle est manipulée pour aider la fraude. 7. EN CONCLUSION : RETOUR VERS LE MONDE RÉEL Il y a déjà quelques prémices et ce phénomène va hélas sans doute s’amplifier. L’Internet va être utilisé pour repérer ou attirer les victimes potentielles dans le monde réel. Les clubs de rencontres cachent parfois de bien grands dangers, surtout pour celles et ceux sans expérience qui croient que tout le monde est gentil et correct. Surveiller l’utilisation du Web, des forums par vos enfants est loin d’être un conseil à écarter. On a vu déjà des cybernautes qui ne font plus la différence entre le monde virtuel et le monde réel. On cite un Japonais qui a tué son ami parce qu’il avait vendu sur le net l’identité virtuelle que ce Japonais s’était attribuée. Il y a aussi une dame qui s’est fait violer par un voisin qui avait reçu un courriel semblant provenir de sa future victime et qui lui demandait de le faire. Un livre blanc 22 / 23 Le monde est plus que jamais un espace dangereux, mais il existe des contre-mesures juridiques et techniques pour se protéger. Mieux vaut donc les connaître et les utiliser. 8. A PROPOS DE L’AUTEUR Gérard PELIKS est expert sécurité chez Cassidian CyberSecurity, groupe EADS. Il préside l'atelier sécurité de l'association Forum ATENA, et anime l'activité sécurité du Cercle d'Intelligence Économique du Medef Ile-de-France. Il est membre de l'ARCSI et du Club R2GS. Gérard Peliks est chargé de cours dans des écoles d'Ingénieurs, sur différentes facettes de la sécurité. gerard.peliks (at) cassidian.com Les idées émises dans ce livre blanc n’engagent que la responsabilité de leurs auteurs et pas celle de Forum ATENA. La reproduction et/ou la représentation sur tous supports de cet ouvrage, intégralement ou partiellement est autorisée à la condition d'en citer la source comme suit : © Forum ATENA 2013 – La cybercriminalité Licence Creative Commons - Paternité Pas d’utilisation commerciale Pas de modifications L'utilisation à but lucratif ou commercial, la traduction et l'adaptation sous quelque support que ce soit sont interdites sans la permission écrite de Forum ATENA. Un livre blanc 23 / 23