Retour sur le Panorama de la Cybercriminalité 2016 – Morgane Palomo pour DOCaufutur

Nous avons assisté au panorama 2016 de la cybercriminalité présentée par le CLUSIF. A cette occasion, nous avons pu revenir sur les nouveaux enjeux et pratiques des cybercriminels qui ne manquent pas d’ingéniosité.  De la blockchain aux smartphones en passant par les objets connectés, revenons sur les cibles qui se sont multipliées.

Basé sur des sources ouvertes le panorama 2016 de la cybercriminalité, relève une hausse croissante de la malveillance. Emmanuel Germain, Directeur Adjoint de l’ANSS, assure un doublement des incidents avérés passant de 2 à 4 par semaine.  La pratique du phishing est en tête avec 42% de la cybercriminalité suivi des rançons et fraudes aux présidents (26%) et fraudes aux moyens de paiement (23%) selon l’étude MIPS 2016 (support de présentation de l’étude). Pourtant, selon lui, 80% des attaques peuvent être réglées et/ou évincées par la simple application des règles de l’ANSSI et par une rigueur de la part des réseaux. Selon lui, la coproduction de la sécurité des réseaux relève d’une responsabilité de chacun et s’apparente à une certaine citoyenneté.

Les blockchains, vraiment inviolables ?

Les blockchains (BC), technologies de stockage et de traitement de données décentralisées, sans aucune autorité centrale de contrôle, se basent sur 4 principes de fonctionnement :

  • La BC est distribuée : chaque membre du réseau possède une copie de la base
  • Elle est incorruptible : dès lors qu’une opération est inscrite dans la base elle ne peut plus être modifiée
  • Elle est autonome : aucune autorité centrale ne joue le rôle de tiers de confiance
  • Enfin, le smart contract décrète que « the code is law »

De plus, étant une technologie, il est possible de créer autant de blockchain qu’on le souhaite.

Réputées comme incorruptibles les blockchains présentent pourtant 3 faiblesses:

Des faiblesses technologiques

En effet, tout l’écosystème des blockchains est source de failles et de faiblesses. Accéder aux Service web (tel que les portes-feuilles en ligne et marchés d’échanges), aux services externes sous-jacents (les ordinateurs et sources de données utilisés pour les décisions smart contracts) ou encore aux clés privées donnant accès à la BC (stockée localement, dans le cloub, imprimée …) est chose aisée pour les cybercriminels.

Souvenez-vous, le 2 août 2016, Bitfinex déplorait une perte de 70 millions de dollars en seulement 3 heures via le piratage de leur plateforme.

Autre exemple, l’attaque 51%, alias l’attaque Goldfinger, est une attaque ayant touché par exemple le bitcoin. Comme son nom l’indique, le fonctionnement d’une BC repose sur le chaînage; une fois un bloc n validé, un bloc n-1 est ajouté. Le bloc n faisant référence au bloc n-1 toute modification d’un bloc entraîne automatiquement une modification de l’ensemble de la chaîne. L’attaque 51% repose sur le fait que dans le cas d’une majorité de nœuds de la chaîne malveillants, le système est alors compromis.

Le groupe 51 crew s’est spécialisé dans ce genre d’attaque et loue des ressources permettant d’obtenir la majorité de la puissance de calcul de la blockchain licite et ainsi d’en prendre le contrôle. Cependant, plus le nombre de nœuds du réseau est élevé plus la fraude devient compliquée. Ainsi, mettre la main sur les 51% de serveurs de plusieurs continents ne serait pas réalisable par exemple.

L’humain, maillon faible de la blockchain

L’erreur reste humaine! Gérome Billois a analysé les vulnérabilités découlant d’une possible erreur de programmation et a présenté le cas DAO, un système d’investissement participatif et mutualisé. Sur ce cas, un bug au niveau des technologies Ethereum offrait la possibilité de mener des actions de manière récurrente : les virements étaient effectués de manière perpétuelle, sans vérification préalable du solde du compte débité; il a permis de détourner plus de 50 millions de dollars.

Quels aspects juridiques ?

Mise en œuvre dans différents secteurs tels que la finance, la musique, l’industrie …  il n’en existe pourtant aucune définition juridique. Lors de la présentation, Garance Mathias a expliqué que le « smart contract » n’est en aucun cas un contrat juridique et qu’il soulève plusieurs interrogations :

  • recherche de responsabilité, de garanties, de preuves,
  • propriété intellectuelle
  • protection des données

En somme, quelle confiance accorder à cette technologie? Pour autant, la commission européenne ne souhaite pas, en l’état actuel, effectuer une réglementation stricte. Un groupe de travail a été mis en place et traite du blanchissement des capitaux et de la blockchain.

Les Objets connectés, faiblesses de sécurité flagrantes ?

Hervé Schauer et Fabien Cozic d’Arca Conseil ont abordé le cas de ces objets en pleine expansion, mais de disposant pas de réelle sécurité. Peu d’attaques ont encore été perpétrées contre ces objets mais de nombreux proof of concept ont émergé.

Des véhicules de plus en plus sensibles

En 2016, 75% des vols étaient réalisés par mouse jacking (interception/reproduction du code de la clé) utilisant la faible sécurisation des systèmes électroniques des véhicules. De plus, commis sans effraction, ces vols ne sont absolument pas couverts par les assurances. Outre les systèmes d’ouverture, mentionnons les TGU des véhicule, accessible par internet. Sur Nissan Leaf par exemple, il suffit de se munir du numéro de série du véhicule (sur le parebrise ou la carrosserie) et ainsi se connecter au site pour obtenir les données relatives aux trajets effectuées et à la position de la voiture. La Tesla S permettait une injection de code dans le navigateur via de faux point d’accès wifi.

Des objets communs à priori inoffensifs ?

Les ampoules LED, notamment celles permettant un changement de couleur, présentent une faible protection. Elles permettent une extraction de données d’un bâtiment protégé distant, ou encore le relais d’un signal malveillant pour favoriser son expansion.

Les enfants sont de plus en plus concernés par les objets connectés qui envahissent petit à petit les rayons jouets. Aucun code d’accès ou identification de connexion n’est demandé; il est alors possible d’écouter ou de communiquer directement avec l’enfant. Ce problème concerne principalement les jouets parlants comme les poupées ou robots. Mais il est également possible de collecter des données ou encore d’effectuer un matraquage publicitaire via des phrases ciblées.

Les dispositifs médicaux posent eux un problème d’accès potentiel aux données sensibles via le cloud. Les interphones, caméras, drones, télévisions et même les pigeons équipés de capteurs de pollution ne sont pas en reste.

L’expansion de la communauté underground

Adrien Petit présentait les nouvelles pratiques de la cyber-communauté underground.

Il n’y a pas de système de fonctionnement global mais diverses communautés :

  • Russe : spécialisée dans le carding et le développement de malwares
  • Allemande : petite sœur de la communauté russe mais visant les germanophones
  • Chinoise (hors pays) : auteur de prototypes hardwares et softwares
  • Brésilienne : spécialisée dans la finance, cette communauté est très ouverte et a une forte présence sur les réseaux sociaux notamment
  • Nord-Américaine : grand banditisme > drogue, sexe, papiers, médicaments…, on y accède grâce à des marketplaces!
  • Française : elle s’apparente aux pratiques américaines, cependant son accès est très difficile

La communauté underground utilise des marketplaces ou des forums restrictifs permettant l’échange d’informations et d’outils ou l’achat de solutions malveillantes.

Au sein de la communauté francophone, la « sécurité » a été renforcée suite à l’Exit Scam (fermeture de la plateforme et vole de l’argent qui y transite) d’une des principales plateformes. Suite à cela, la confiance envers les autres plateformes c’est délitée. Les conditions d’inscription ont été revues à la hausse et des espaces privés « VIP » segmentant ont été créés.

Adrien Petit constatait également une mutation de la communauté francophone avec le développement de plus en plus de malwares. Enfin, on souligne une interaction croissante entre les différentes communautés.

Les smartphones des cibles croissantes

Due à une part de marché plus faible et à des contrôles effectués sur l’AppStore, les principaux malwares et les premiers ransomwares ciblent principalement les terminaux Android.

 

Créé en 2014, le malware MAZAR a su s’adapter aux mises à jour de l’OS et améliorer ses capacités pour être toujours plus performant :

  • Surveillance et contrôle total du terminal
  • Envoi de sms surtaxés
  • Interception de sms
  • Mise hors service
  • Coupure son / vibrations
  • Blocage des antivirus ….

Présentée par Frédéric Fraisse, Viking Horde est une application de jeu à priori inoffensive. Elle génère pourtant de la fraude et peut également injecter le terminal au sein d’un botnet, en vue d’organiser une attaque par déni de service (DDoS). Si le smartphone a été rooté, il permet alors de compromettre des sites internet, d’extraire des données… et peut rejoindre un réseau wifi local en vue d’effectuer ces méfaits. Frédérique souligne que les cybercriminels ciblent avant tout les jeunes enfants ou adolescents. Cette population est en effet peu sensibilisée à ce genre de risques. En outre, les cybercriminels s’appuient sur les champs émotionnels afin de réduire les comportements méfiants.

Quelques indices d’une compromission :

  • Le téléphone est rooter
  • L’application incite à rooter le smartphone dans ces demandes de droits
  • La consommation de la batterie est anormalement élevée

Pour les utilisateurs d’Ios, veillez à vérifier les niveaux de droits demandés, les avis et la note de l’application.

 

En définitive, nous voyons fleurir de plus en plus d’objets connectés et solutions ayant pour but de nous simplifier la vie. Cependant sans une réelle protection et anticipation des risques, nous nous exposons à voir nos données et terminaux mis à mal par des utilisateurs malveillants de plus en plus créatifs.

Morgane Palomo, TiKibuzz, pour DOCaufutur

Related Topics
Author
By
@
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Retour sur le Panorama de la Cybercriminalité 2016 – Morgane Palomo pour DOCaufutur

5th février, 2017

Nous avons assisté au panorama 2016 de la cybercriminalité présentée par le CLUSIF. A cette occasion, nous avons pu revenir sur les nouveaux enjeux et pratiques des cybercriminels qui ne manquent pas d’ingéniosité.  De la blockchain aux smartphones en passant par les objets connectés, revenons sur les cibles qui se sont multipliées.

Basé sur des sources ouvertes le panorama 2016 de la cybercriminalité, relève une hausse croissante de la malveillance. Emmanuel Germain, Directeur Adjoint de l’ANSS, assure un doublement des incidents avérés passant de 2 à 4 par semaine.  La pratique du phishing est en tête avec 42% de la cybercriminalité suivi des rançons et fraudes aux présidents (26%) et fraudes aux moyens de paiement (23%) selon l’étude MIPS 2016 (support de présentation de l’étude). Pourtant, selon lui, 80% des attaques peuvent être réglées et/ou évincées par la simple application des règles de l’ANSSI et par une rigueur de la part des réseaux. Selon lui, la coproduction de la sécurité des réseaux relève d’une responsabilité de chacun et s’apparente à une certaine citoyenneté.

Les blockchains, vraiment inviolables ?

Les blockchains (BC), technologies de stockage et de traitement de données décentralisées, sans aucune autorité centrale de contrôle, se basent sur 4 principes de fonctionnement :

  • La BC est distribuée : chaque membre du réseau possède une copie de la base
  • Elle est incorruptible : dès lors qu’une opération est inscrite dans la base elle ne peut plus être modifiée
  • Elle est autonome : aucune autorité centrale ne joue le rôle de tiers de confiance
  • Enfin, le smart contract décrète que « the code is law »

De plus, étant une technologie, il est possible de créer autant de blockchain qu’on le souhaite.

Réputées comme incorruptibles les blockchains présentent pourtant 3 faiblesses:

Des faiblesses technologiques

En effet, tout l’écosystème des blockchains est source de failles et de faiblesses. Accéder aux Service web (tel que les portes-feuilles en ligne et marchés d’échanges), aux services externes sous-jacents (les ordinateurs et sources de données utilisés pour les décisions smart contracts) ou encore aux clés privées donnant accès à la BC (stockée localement, dans le cloub, imprimée …) est chose aisée pour les cybercriminels.

Souvenez-vous, le 2 août 2016, Bitfinex déplorait une perte de 70 millions de dollars en seulement 3 heures via le piratage de leur plateforme.

Autre exemple, l’attaque 51%, alias l’attaque Goldfinger, est une attaque ayant touché par exemple le bitcoin. Comme son nom l’indique, le fonctionnement d’une BC repose sur le chaînage; une fois un bloc n validé, un bloc n-1 est ajouté. Le bloc n faisant référence au bloc n-1 toute modification d’un bloc entraîne automatiquement une modification de l’ensemble de la chaîne. L’attaque 51% repose sur le fait que dans le cas d’une majorité de nœuds de la chaîne malveillants, le système est alors compromis.

Le groupe 51 crew s’est spécialisé dans ce genre d’attaque et loue des ressources permettant d’obtenir la majorité de la puissance de calcul de la blockchain licite et ainsi d’en prendre le contrôle. Cependant, plus le nombre de nœuds du réseau est élevé plus la fraude devient compliquée. Ainsi, mettre la main sur les 51% de serveurs de plusieurs continents ne serait pas réalisable par exemple.

L’humain, maillon faible de la blockchain

L’erreur reste humaine! Gérome Billois a analysé les vulnérabilités découlant d’une possible erreur de programmation et a présenté le cas DAO, un système d’investissement participatif et mutualisé. Sur ce cas, un bug au niveau des technologies Ethereum offrait la possibilité de mener des actions de manière récurrente : les virements étaient effectués de manière perpétuelle, sans vérification préalable du solde du compte débité; il a permis de détourner plus de 50 millions de dollars.

Quels aspects juridiques ?

Mise en œuvre dans différents secteurs tels que la finance, la musique, l’industrie …  il n’en existe pourtant aucune définition juridique. Lors de la présentation, Garance Mathias a expliqué que le « smart contract » n’est en aucun cas un contrat juridique et qu’il soulève plusieurs interrogations :

  • recherche de responsabilité, de garanties, de preuves,
  • propriété intellectuelle
  • protection des données

En somme, quelle confiance accorder à cette technologie? Pour autant, la commission européenne ne souhaite pas, en l’état actuel, effectuer une réglementation stricte. Un groupe de travail a été mis en place et traite du blanchissement des capitaux et de la blockchain.

Les Objets connectés, faiblesses de sécurité flagrantes ?

Hervé Schauer et Fabien Cozic d’Arca Conseil ont abordé le cas de ces objets en pleine expansion, mais de disposant pas de réelle sécurité. Peu d’attaques ont encore été perpétrées contre ces objets mais de nombreux proof of concept ont émergé.

Des véhicules de plus en plus sensibles

En 2016, 75% des vols étaient réalisés par mouse jacking (interception/reproduction du code de la clé) utilisant la faible sécurisation des systèmes électroniques des véhicules. De plus, commis sans effraction, ces vols ne sont absolument pas couverts par les assurances. Outre les systèmes d’ouverture, mentionnons les TGU des véhicule, accessible par internet. Sur Nissan Leaf par exemple, il suffit de se munir du numéro de série du véhicule (sur le parebrise ou la carrosserie) et ainsi se connecter au site pour obtenir les données relatives aux trajets effectuées et à la position de la voiture. La Tesla S permettait une injection de code dans le navigateur via de faux point d’accès wifi.

Des objets communs à priori inoffensifs ?

Les ampoules LED, notamment celles permettant un changement de couleur, présentent une faible protection. Elles permettent une extraction de données d’un bâtiment protégé distant, ou encore le relais d’un signal malveillant pour favoriser son expansion.

Les enfants sont de plus en plus concernés par les objets connectés qui envahissent petit à petit les rayons jouets. Aucun code d’accès ou identification de connexion n’est demandé; il est alors possible d’écouter ou de communiquer directement avec l’enfant. Ce problème concerne principalement les jouets parlants comme les poupées ou robots. Mais il est également possible de collecter des données ou encore d’effectuer un matraquage publicitaire via des phrases ciblées.

Les dispositifs médicaux posent eux un problème d’accès potentiel aux données sensibles via le cloud. Les interphones, caméras, drones, télévisions et même les pigeons équipés de capteurs de pollution ne sont pas en reste.

L’expansion de la communauté underground

Adrien Petit présentait les nouvelles pratiques de la cyber-communauté underground.

Il n’y a pas de système de fonctionnement global mais diverses communautés :

  • Russe : spécialisée dans le carding et le développement de malwares
  • Allemande : petite sœur de la communauté russe mais visant les germanophones
  • Chinoise (hors pays) : auteur de prototypes hardwares et softwares
  • Brésilienne : spécialisée dans la finance, cette communauté est très ouverte et a une forte présence sur les réseaux sociaux notamment
  • Nord-Américaine : grand banditisme > drogue, sexe, papiers, médicaments…, on y accède grâce à des marketplaces!
  • Française : elle s’apparente aux pratiques américaines, cependant son accès est très difficile

La communauté underground utilise des marketplaces ou des forums restrictifs permettant l’échange d’informations et d’outils ou l’achat de solutions malveillantes.

Au sein de la communauté francophone, la « sécurité » a été renforcée suite à l’Exit Scam (fermeture de la plateforme et vole de l’argent qui y transite) d’une des principales plateformes. Suite à cela, la confiance envers les autres plateformes c’est délitée. Les conditions d’inscription ont été revues à la hausse et des espaces privés « VIP » segmentant ont été créés.

Adrien Petit constatait également une mutation de la communauté francophone avec le développement de plus en plus de malwares. Enfin, on souligne une interaction croissante entre les différentes communautés.

Les smartphones des cibles croissantes

Due à une part de marché plus faible et à des contrôles effectués sur l’AppStore, les principaux malwares et les premiers ransomwares ciblent principalement les terminaux Android.

 

Créé en 2014, le malware MAZAR a su s’adapter aux mises à jour de l’OS et améliorer ses capacités pour être toujours plus performant :

  • Surveillance et contrôle total du terminal
  • Envoi de sms surtaxés
  • Interception de sms
  • Mise hors service
  • Coupure son / vibrations
  • Blocage des antivirus ….

Présentée par Frédéric Fraisse, Viking Horde est une application de jeu à priori inoffensive. Elle génère pourtant de la fraude et peut également injecter le terminal au sein d’un botnet, en vue d’organiser une attaque par déni de service (DDoS). Si le smartphone a été rooté, il permet alors de compromettre des sites internet, d’extraire des données… et peut rejoindre un réseau wifi local en vue d’effectuer ces méfaits. Frédérique souligne que les cybercriminels ciblent avant tout les jeunes enfants ou adolescents. Cette population est en effet peu sensibilisée à ce genre de risques. En outre, les cybercriminels s’appuient sur les champs émotionnels afin de réduire les comportements méfiants.

Quelques indices d’une compromission :

  • Le téléphone est rooter
  • L’application incite à rooter le smartphone dans ces demandes de droits
  • La consommation de la batterie est anormalement élevée

Pour les utilisateurs d’Ios, veillez à vérifier les niveaux de droits demandés, les avis et la note de l’application.

 

En définitive, nous voyons fleurir de plus en plus d’objets connectés et solutions ayant pour but de nous simplifier la vie. Cependant sans une réelle protection et anticipation des risques, nous nous exposons à voir nos données et terminaux mis à mal par des utilisateurs malveillants de plus en plus créatifs.

Morgane Palomo, TiKibuzz, pour DOCaufutur

By
@
backtotop