<a href="http://www.robert-schuman.eu/question_europe.php?num=qe-70">http://www.robert-schuman.eu/question_europe.php?num=qe-70</a> <br><h1 class="titre_1">Europe confronted by digital crime</h1><br><strong>Auteur</strong>
: <span class="souligne">Laurence Ifrah</span>
: Criminologist specialised in digital crime, researcher for the DRMCC
(Departement de Recherche des Menaces Criminelles Contemporaines)
Panthéon-Assas Paris II<br><br><br><strong>Résumé :</strong> <br>
La première cyber-guerre, menée contre l'Estonie en avril dernier, a
fait prendre conscience à bon nombre de gouvernements et de grandes
entreprises de l'importance de se prémunir contre les menaces
numériques. L'utilisation massive d'Internet à l'échelle mondiale en
fait une cible de premier choix pour les auteurs, individuels ou
membres d'organisations criminelles, de ces attaques qui restent
difficiles à identifier en raison même de leurs procédures d'action.
Celles-ci sont très variées (spam, extorsion, espionnage industriel,
etc.) et s'adaptent aux nouvelles fonctionnalités d'Internet (réseaux
peer-to-peer, etc.). Si la sécurité absolue est impossible, il apparaît
toutefois essentiel d'élever le niveau de protection au maximum et de
sensibiliser les internautes à cette criminalité numérique. <br>
<br>
L'Estonie, victime d'attaques massives sur ses systèmes d'information
en avril et mai 2007, a involontairement créé un sentiment
d'impuissance au sein de la Communauté européenne. Face à une réalité
alarmante, les autorités des Etats membres mesurent la vulnérabilité de
leurs structures technologiques. Largement sous estimée depuis des
années, la sécurité informatique devient une priorité absolue devant
les menaces existantes et émergentes.<br>
<br>
<strong>Rappel des faits</strong><br>
<br>
Le 27 avril 2007, les autorités estoniennes déboulonnent une statue de
bronze érigée à la gloire des soldats de l'Union Soviétique à la fin de
la Seconde Guerre mondiale et située en plein centre de Tallinn. La
réaction est fulgurante, des attaques Ddos <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_1" class="ancre_1">[1]</a>
massives sont lancées contre l'Etat balte pendant plusieurs semaines,
créant ainsi des interruptions de services des serveurs Internet du
gouvernement, dont celui du Premier ministre et du Parlement, des
principales banques et assurances ou de la bourse. Certains sites ont
souffert de défacement <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_2" class="ancre_1">[2]</a>, d'autres sont restés indisponibles de quelques minutes à plusieurs jours. <br>
<br>
Un désastre dont les répercussions économiques restent encore à évaluer
pour ce pays qui est l'un des plus connectés d'Europe. Les équipes de
sécurité des systèmes d'information mobilisées ont dû interrompre les
accès des principaux sites estoniens depuis l'extérieur du pays pour
bloquer les innombrables requêtes envoyées depuis une soixantaine de
pays via des botnets <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_3" class="ancre_1">[3]</a> dont le plus important détenait un réseau d'un million d'ordinateurs corrompus. <br>
" Ici, Internet est aussi vital que l'eau courante, nous l'utilisons
pour voter, faire nos déclarations d'impôts, des achats ou encore payer
le stationnement des véhicules à l'aide des téléphones portables "
annonce Hillar Aarelaid, directeur du CERT <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_4" class="ancre_1">[4]</a> estonien.<br>
<br>
<strong>Identifier les auteurs.</strong><br>
<br>
D'innombrables articles ont été rédigés sur le sujet. Certains
affirment que les auteurs d'attaques de Déni de Service Distribué sont
des membres d'organisations criminelles, d'autres prétendent que ce
sont des individus agissant de leur propre initiative à l'aide d'outils
disponibles en ligne. Qu'en est-il réellement ? <br>
Dans le cas de l'Estonie, il y a bien plus d'individus mus par un élan
patriotique et/ou séduits par l'opportunité de commettre un acte
délictueux (qui restera probablement impuni) que d'organisations
criminelles pour lesquelles l'appât du gain est la seule motivation.
Cependant, si un internaute peut, à lui tout seul, lancer un Ddos, il
peut difficilement se passer des moyens (outils et tutoriaux)
disponibles sur Internet.<br>
<br>
<strong>Analyse des outils destinés aux attaques Ddos et Botnets</strong><br>
<br>
L'attaque Ddos consiste à envoyer simultanément, depuis le plus grand
nombre d'ordinateurs vers le serveur de la victime, un volume de
données d'une telle importance qu'il lui sera impossible de les
traiter. La cible, submergée par les requêtes, s'arrête de fonctionner
jusqu'à ce qu'il soit possible de la remettre en marche, une fois les
attaques arrêtées ou détournées par les responsables de la sécurité
informatique. <br>
Pour cela, il faut d'abord détenir un réseau d'ordinateurs (Botnet)
corrompus par des programmes destinés à les maintenir en veille
jusqu'au jour où le pirate décidera de lancer une attaque ; cela
s'appelle des zombies. Ce surnom vient du fait qu'ils sont infectés par
différents procédés comme des emails piégés, des pages Web contenant
des scripts malveillants, etc. Dans tous les cas, l'utilisateur n'a pas
conscience de l'état de sa machine et les attaques menées le sont
toujours à son insu. La création d'un Botnet se fait en deux étapes au
minimum, la première étant d'infecter quelques dizaines de PC (les
Maîtres), qui à leur tour se chargeront de corrompre plusieurs dizaines
de milliers, voire millions, d'autres ordinateurs (les zombies). Ce
processus permet au pirate de conserver un anonymat absolu, plus il y a
de machines entre la victime et l'instigateur de l'attaque, plus il est
difficile de retrouver sa trace.<br>
<br>
<span class="souligne">Figure 1 - Schéma d'un Botnet</span> <br>
<br>
<div class="img_centre"><img src="http://www.robert-schuman.eu/images/questions/70-1.jpg" alt=""><br></div> <br>
<br>
<strong>Analyse des Botnets</strong><br>
<br>
Ces réseaux, communément dénommés " armées de zombies " dans le milieu
underground, sont destinés à plusieurs activités, dont le spam, qui se
situe loin devant les virus et les scams <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_5" class="ancre_1">[5]</a>.
Ces pourriels, qui encombrent les boîtes aux lettres des utilisateurs,
représentaient 94% des messages échangés fin 2006 et risquent fort
d'atteindre 97 à 99 % en 2007 <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_6" class="ancre_1">[6]</a>.
L'évolution technologique et les moyens financiers considérables
employés par les organisations criminelles qui gèrent les Botnets
représentent un niveau de corruption par cheval de Troie d'environ 40
millions d'ordinateurs dans le monde <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_7" class="ancre_1">[7]</a>.
Ce fléau est, à ce jour, le plus préoccupant ; la puissance
démultipliée de ces réseaux est telle qu'elle permet de déstabiliser
l'économie d'un pays, d'interrompre les systèmes les plus sensibles
(centrales nucléaires et électriques, institutions financières au
travers de la Bourse ou des banques, hôpitaux, communications Internet
et téléphoniques, assurances, entreprises privées, etc.). Il est très
difficile, voire impossible, de lutter contre un million de machines
qui se connectent simultanément sur un même serveur. <br>
<br>
Les spammeurs protègent leurs bases de données chez des " Bulletproof
Host " ou hébergeurs " à l'épreuve des balles ", c'est-à-dire des
entreprises qui hébergent des serveurs dans des zones grises échappant
à toute réglementation et, de ce fait, insaisissables. Bien entendu,
ces entreprises sont aussi des spammeurs qui louent leurs services pour
quelques dollars. Ces sociétés, majoritairement situées en Asie, le
plus souvent en Chine, en Russie et dans certains pays d'Europe de
l'Est comme la Pologne ou en Amérique du Sud (Brésil), offrent à leurs
clients la possibilité d'envoyer massivement des emails au contenu
fréquemment illicite (pari en ligne, pornographie, vente de
médicaments, opérations boursière, etc.). En 2006, le nombre de PC
zombies a augmenté de 11% par rapport à l'année 2005 et atteint 63 000
nouvelles victimes par jour <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_8" class="ancre_1">[8]</a>.<br>
<br>
<span class="souligne">Figure 2 - Recherche Google sur les Bullet proof Hosts</span><br>
<br>
<div class="img_centre"><img src="http://www.robert-schuman.eu/images/questions/70-2.jpg" alt=""><br></div><br>
<br>
Des tarifs alléchants, un marketing hors-pair, des sites avec des
offres promotionnelles, des arguments persuasifs, une garantie de
service et, cerise sur le gâteau, des modèles prédéfinis pour
simplifier la communication des clients. <br>
<br>
<span class="souligne">Figure 3 – Bulletproof Host.</span><br>
<br>
<div class="img_centre"><img src="http://www.robert-schuman.eu/images/questions/70-3.jpg" alt=""><br></div><br>
<br>
<div class="img_centre"><img src="http://www.robert-schuman.eu/images/questions/70-4.jpg" alt=""><br></div><br>
<br>
Il suffit d'à peine 10 minutes pour s'inscrire, élaborer un message
grâce aux nombreux modèles disponibles et tester gratuitement son SPAM
sur 25 victimes sélectionnées parmi celles du répertoire du
fournisseur. Les coûts varient ensuite selon les offres de 1 centime
par email à une facturation limitée au clic. Bien sûr, le client est
encouragé à entrer sa propre liste de destinataires qui viendront
alimenter la base du spammeur. Des outils de statistiques élaborés
permettent de visualiser quasiment en temps réel l'impact de sa
campagne de communication. <br>
<br>
<span class="souligne">Figure 4 – Utilisation de modèles prédéfinis pour créer son propre SPAM.</span><br>
<br>
<div class="img_centre"><img src="http://www.robert-schuman.eu/images/questions/70-5.jpg" alt=""><br></div><br>
<br>
<span class="souligne">Figure 5 – Support marketing</span><br>
<br>
<div class="img_centre"><img src="http://www.robert-schuman.eu/images/questions/70-6.jpg" alt=""><br></div><br>
<br>
<span class="souligne">Figure 6 – Support marketing et formation en ligne pour l'apprenti spammeur.</span><br>
<br>
<div class="img_centre"><img src="http://www.robert-schuman.eu/images/questions/70-7.jpg" alt=""><br></div><br>
<br>
<br>
Des organisations aussi sophistiquées sont à même de lancer des
attaques massives Ddos sur la cible de leur choix et si elles ne le
font pas directement, elles proposent la location de leur force de
frappe à moindre coût pour une durée limitée. <br>
L'Estonie a donc été l'une des nombreuses victimes de cette méthode. Le
9 mai 2007, jour de la commémoration de la victoire de l'armée rouge
sur les nazis, Arbor Networks a recensé 128 attaques dont 10 (de plus
de 90 Mbps <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_9" class="ancre_1">[9]</a>)
se sont perpétuées pendant plus de 10 heures. Des connexions atteignant
5 millions de clics par seconde sur un même site ont pu être détectées.
58 sites Web submergés par les assauts ont été inaccessibles pour les
utilisateurs <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_10" class="ancre_1">[10]</a>. <br>
Malgré des soupçons justifiés par la présence de messages virulents à
l'encontre de l'Estonie sur des forums russes, il n'est pas possible
d'impliquer le gouvernement de la Fédération de Russie qui souffre
lui-même de nombreuses tentatives de piratage (2 millions entre 2005 et
2006) <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_11" class="ancre_1">[11]</a>.
Cela reviendrait à dire que parmi les millions de machines infectées,
toutes sont indirectement responsables des attaques menées ou encore
que n'importe quel utilisateur dans le monde peut être considéré comme
étant l'un des auteurs d'une attaque Ddos, même s'il n'est pas
conscient que son ordinateur est compromis par un programme
malveillant. <br>
Toutefois, au vu de l'amplitude des attaques ayant impliqué
l'utilisation de Botnets, il a pu y avoir l'intervention de groupes
d'individus suffisamment motivés pour investir temps et argent contre
l'Estonie. Mais cela ne suffit certainement pas à émettre des
accusations envers le Kremlin. Les Russes sont réputés pour leur
compétence informatique ; s'ils avaient décidé de s'en prendre à
l'Estonie, il n'y aurait plus un seul serveur en état de fonctionnement
et ce, depuis le premier jour des attaques. De plus, si une partie des
attaques était en provenance de la Russie, une soixantaine d'autres
pays étaient identifiés : les Etats-Unis, la Chine, le Vietnam et le
Pérou. Nous imaginons mal l'intérêt des péruviens pour une statue
soviétique en Estonie ! Nous devons seulement nous souvenir que les
machines infectées le sont par une mauvaise manipulation des
utilisateurs, par une vulnérabilité du système d'exploitation ou une
faille dans une application non " patchée " <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_12" class="ancre_1">[12]</a>.<br>
Le reste des agressions numériques, et c'est tout aussi inquiétant, a
été mené par des nationalistes isolés qui ont récupéré sur Internet
(forums, sites et blogs), instructions et logiciels de piratage. Il est
important de réaliser le fait qu'un seul individu peut gérer
directement des attaques Ddos, des défacements de sites Web, l'envoi de
virus ou de chevaux de Troie, ce n'est qu'une question de temps et de
connaissances informatiques. <br>
<br>
Les experts en sécurité des systèmes d'information envoyés à Tallinn
par l'OTAN, l'Union européenne, les Etats-Unis et Israël ont travaillé
avec les équipes estoniennes pour contrer les attaques. C'était aussi
l'occasion d'observer la première cyberguerre contre un Etat et de se
concerter afin de se prémunir contre les menaces numériques destinées à
couvrir les activités illicites d'organisations criminelles de plus en
plus puissantes et incontrôlables.<br>
<br>
<strong>Les activités criminelles liées aux Botnets et aux SPAMs</strong><br>
<br>
Les attaques Ddos sont les plus spectaculaires, cependant il en existe
bien d'autres, plus pernicieuses, dont les conséquences sont toutes
aussi dangereuses et dont nous dressons une liste non-exhaustive.<br>
<br>
<span class="souligne">Le Pump and Dump :</span> <br>
Des millions de spam sont envoyés aux internautes pour les inciter à
acheter des actions d'une société dont les organisations criminelles
possèdent la majorité des parts. Les prix sont attractifs et l'affaire
semble prometteuse. Les futures victimes font monter le cours de
l'action grâce aux nombreuses demandes jusqu'au jour où les malfaiteurs
vendent et se retirent en empochant une plus value conséquente. <br>
Le 7 août 2007, Sophos, éditeur d'antivirus, a détecté plus de 500
millions d'emails conseillant aux internautes d'investir dans la
société Prime Time Stores Inc., domiciliée à Puerto Rico. <br>
<br>
<span class="souligne">Figure 7 – Contenu du SPAM incitant les internautes à investir dans la société Prime Time.</span><br>
<br>
<div class="img_centre"><img src="http://www.robert-schuman.eu/images/questions/70-8.jpg" alt=""><br></div> <br>
<br>
<br>
<span class="souligne">Figure 8 – Evolution du cours de l'action de la société Prime Time</span> <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_13" class="ancre_1">[13]</a>.<br>
<br>
<div class="img_centre"><img src="http://www.robert-schuman.eu/images/questions/70-9.jpg" alt=""><br></div><br>
<br>
Cette campagne a généré en 24 heures une hausse spectaculaire de 30 %
du nombre de spam dans le monde. Le Pump and Dump représente désormais
25 % des spam, contre 0,8 % en janvier 2005 <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_14" class="ancre_1">[14]</a>.<br>
<br>
<span class="souligne">Le Phishing :</span><br>
De plus en plus sophistiquée, cette technique consiste à créer un site
identique à celui d'une banque ou d'une institution financière
(Paypal), pour leurrer les internautes et les inciter à saisir leurs
coordonnées personnelles et bancaires sur le formulaire affiché. Les
informations récoltées serviront aux organisations criminelles pour
effectuer des virements, des achats et toutes sortes de malversations
(création de fausses identités pour ouvrir des comptes bancaires,
etc.). Le phishing, à l'origine, proposait par email aux utilisateurs
de confirmer leurs coordonnées bancaires pour des raisons de sécurité.
Désormais, les techniques sont diverses et plus furtives. Des spywares <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_15" class="ancre_1">[15]</a> se déclenchent si l'internaute saisit une url <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_16" class="ancre_1">
[16]</a>
qui contient le nom d'une banque répertoriée dans les dictionnaires
qu'ils détiennent. Par exemple, une personne va saisir l'adresse
<a href="http://www.ma-banque.com">www.ma-banque.com</a>, le spyware détient dans sa liste le nom ma-banque,
il va aussitôt ouvrir une fenêtre pop-up en même temps que le vrai site
<a href="http://ma-banque.com">ma-banque.com</a>, avec les mêmes couleurs et le même graphisme. Le pop-up
incitera le client à entrer son login et son mot de passe pour accéder
à son compte bancaire. Les informations seront immédiatement transmises
sur le serveur des pirates.<br>
Le 26 juin 2007, 150 policiers ont procédé à l'arrestation d'une cinquantaine de personnes employées comme e-mules <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_17" class="ancre_1">[17]</a>
pour le compte d'entreprises étrangères fictives. Ce montage,
rapidement détecté par les autorités, n'a duré que quelques semaines,
mais a rapporté quelques centaines de milliers d'euro aux malfaiteurs.
Les e-mules risquent 5 à 7 ans d'emprisonnement pour complicité
d'escroquerie en bande organisée <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_18" class="ancre_1">[18]</a>.<br>
<br>
<span class="souligne">La vente de médicaments contrefaits :</span><br>
25 fois plus rentable que le trafic d'héroïne, la vente de médicaments contrefaits représenterait, selon la FDA <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_19" class="ancre_1">[19]</a>,
plus de 10% du marché mondial. En Afrique, ce trafic atteint 70%,
notamment pour les traitements contre le paludisme ou le sida. Le
Rimonabant <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_20" class="ancre_1">[20]</a>,
du laboratoire Sanofi-Aventis, était disponible sur Internet alors
qu'il était toujours en attente de son autorisation de mise en vente
sur le marché. Les organisations criminelles ont mis en place des
réseaux de production situés principalement en Chine. Les produits
sont, ensuite, vendus par des circuits de distribution, via des
pharmacies en ligne établies dans des zones offshore. Les spammeurs
inondent les boîtes aux lettres électroniques pour assurer les ventes.<br>
Christopher Smith, un Américain de 27 ans, a été condamné à 30 ans de
prison pour avoir vendu pour 24 millions de dollars de médicaments
contrefaits. Sa pharmacie virtuelle " Xpress Pharmacy " a été fermée en
mai 2005 à la suite de son arrestation. Le malfaiteur avait envoyé des
milliards de SPAM pour assurer la vente de ses produits <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_21" class="ancre_1">[21]</a>. <br>
<br>
<span class="souligne">Les détournements de comptes :</span><br>
Les établissements financiers sont la cible favorite des hackers, la
seule difficulté étant de pouvoir sortir l'argent du pays ciblé. Les
fonds détournés sont généralement transférés sur les comptes bancaires
de complices locaux, qui seront chargés d'envoyer l'argent aux
malfaiteurs par Western Union. Le 1er août 2007, deux hackers russes
ont été identifiés par le ministère de l'intérieur russe, l'un d'eux a
été arrêté, l'autre est toujours recherché. Entre février 2005 et avril
2007, ils auraient détourné 508 000 dollars de banques turques grâce à
265 transferts <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_22" class="ancre_1">[22]</a>.
Selon SecureWorks, les attaques dirigées vers les établissements
financiers ont augmenté de 81 % par rapport à l'année 2006.
L'entreprise spécialisée dans la sécurité informatique aurait ainsi
bloqué 167 millions d'attaques pendant le mois de juillet 2007.<br>
<br>
<span class="souligne">Les extorsions – le chantage :</span> <br>
Les attaques Ddos sont aussi utilisées pour le racket. Les bookmakers
britanniques ont été les premiers à subir ces pressions. Les rançons de
l'ordre de 50 000 dollars doivent être versées dans les 48 heures. Les
rares entreprises, qui ont tenté de résister au chantage, ont perdu des
sommes considérables, sans compter l'atteinte portée à leur image. En
2005, de nombreuses banques suisses et britanniques ont aussi été
victimes de ces extorsions. <br>
Par ailleurs, quelques variantes ont été décelées, il s'agissait
notamment de chevaux de Troie destinés à installer sur les ordinateurs
des victimes des fichiers compromettants et des images pédophiles.
L'utilisateur doit alors prouver son innocence, certains ont eu la
chance de bénéficier de la haute compétence d'expert en forensic <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_23" class="ancre_1">[23]</a>, mais la rumeur une fois lancée aura du mal à s'éteindre.
<br>
<br>
<span class="souligne">L'espionnage industriel :</span> <br>
Le vol d'informations sensibles peut être issu d'une commande. Les
Chinois, par exemple, sont réputés pour s'adonner à cette activité,
comme pour lancer des attaques Ddos vers leurs concurrents dans
l'espoir de rediriger les connexions vers leurs sites. <br>
Certaines organisations criminelles ont déployé un marché lucratif et
en pleine expansion. Des informations sensibles sont dérobées à des
entreprises ou des institutions gouvernementales et sont, ensuite,
proposées sur des sites de vente aux enchères comme E-bay. Les données
restent rarement plus de 2 heures en ligne, car les acheteurs sont
nombreux. <br>
En mars 2007, des entreprises européennes dont les serveurs ont été
ensevelis par des avalanches de données envoyées par des dizaines de
milliers d'ordinateurs ont contacté la société de sécurité Prolexic.
Celle-ci a constaté que si de nombreuses attaques constituaient du
chantage, les 3/4 concernaient exclusivement l'espionnage industriel <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_24" class="ancre_1">[24]</a>. Provoquer l'arrêt du système d'information d'un concurrent est moins coûteux qu'une campagne marketing aux issues incertaines.
<br>
<br>
<span class="souligne">Les communications codées :</span> <br>
Hackers, organisations criminelles ou terroristes, ces individus
communiquent entre eux et la plupart du temps, ils ne se sont jamais
rencontrés physiquement. Le meilleur moyen pour échanger des
informations entre eux sans risque est l'utilisation de SPAM.
L'expéditeur du message code son texte et envoie, via un Bulletproof
Host, un email dont le contenu semble n'avoir aucun sens. Parmi les
milliers de destinataires, des adresses créées sur des Webmails seront
celles des complices qui pourront lire et décoder le message depuis un
cybercafé ou sur un ordinateur portable connecté à un Hot-Spot <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_25" class="ancre_1">[25]</a>. Une méthode efficace qui garantie l'anonymat des parties.
<br>
<br>
<strong>Quelles sont les menaces émergentes ?</strong> <br>
<br>
L'intervention, même involontaire, de l'utilisateur a toujours été
nécessaire pour attaquer un système ou un réseau. Les techniques
employées permettent de se passer de toute forme de participation. <br>
<br>
<strong>Les réseaux parallèles </strong><br>
<br>
<span class="souligne">Les réseaux Peer-to-Peer</span> <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_26" class="ancre_1">[26]</a> :<br>
Ces réseaux, à l'inverse des Botnets, ne sont maîtrisés par personne en
particulier. En fait, tout le monde peut lancer une attaque Ddos via
l'utilisation d'un système Peer-to-Peer. Les logiciels installés pour
opérer le partage de fichiers (tels que eDonkey) utilisent le protocole
Direct Connect pour se connecter aux serveurs P2P appelés hubs. Ces
hubs regroupent environ 25 000 ordinateurs chacun. Lorsque des
internautes veulent télécharger un fichier, ils récupèrent l'adresse IP
de l'ordinateur qui le détient pour s'y connecter. Le pirate remplace
sur le hub l'adresse de l'ordinateur par l'IP de sa cible, de façon à
rediriger l'ensemble des utilisateurs, soit 25 000 PC, sur son
objectif. Si plusieurs hubs sont corrompus, cela multiplie d'autant la
force de frappe du malfaiteur. Cette faille a été patchée.
Malheureusement, il existe tellement d'utilisateurs qui ne mettent
jamais à jour leurs applications que des millions d'ordinateurs sont
encore vulnérables. <br>
<br>
<span class="souligne">MySpace – FaceBook :</span><br>
Les " Social Networks ", sont très appréciés de la communauté Internet.
Des millions d'utilisateurs inscrivent leurs profils et créent leurs
espaces personnels pour retrouver amis ou relations de travail,
partager leurs hobbies, etc. FaceBook rassemblait, en juillet 2007, 30
millions d'inscrits à travers le monde, tous lycéens, étudiants ou
militaires. Ces sites Web, de la catégorie " réseau social ", sont une
aubaine pour les organisations criminelles : installer un cheval de
Troie à l'aide de fausse barre de navigation ou inciter à télécharger
des fichiers compromis est nettement plus simple et la propagation plus
rapide des codes malveillants.<br>
<br>
<strong>Les rootkits :</strong><br>
Mpack est un cheval de Troie particulièrement performant. Il a
d'ailleurs été largement utilisé lors des attaques contre l'Estonie et
son prix de vente était alors de 700 dollars. La nouvelle version, plus
sophistiquée et encore moins décelable, est disponible pour 1000
dollars. Au mois de mai 2007, PandaSoftware avait recensé 41 servers
compromis, 366 717 sites Web piratés et 1 217 741 utilisateurs dont les
ordinateurs avaient été infectés. <br>
De nombreuses mises à jour ont été réalisées sur ce rootkit, qui offre
désormais la possibilité de sélectionner les pays à cibler, de
bénéficier d'une interface graphique intuitive, de récupérer les
informations dérobées (coordonnées personnelles et bancaires) en mode
crypté, d'accéder au module de gestion avec un login et un mot de passe
pour protéger son réseau de machine piratées, etc. <br>
<br>
<span class="souligne">Figure 9 – Mise en vente du rootkit MPack</span><a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_27" class="ancre_1">[27]</a><br>
<br>
<div class="img_centre"><img src="http://www.robert-schuman.eu/images/questions/70-10.jpg" alt=""><br></div> <br>
<br>
<strong>Storm :</strong><br>
Il s'agit d'un ver dont la vitesse de propagation est unique. Diffusé
par email, il se présente sous la forme d'invitation à consulter une
ecard prétendument expédiée par un ami ou à lire un fichier au format
pdf. Si l'utilisateur clique sur le lien indiqué, il installe le ver et
devient, à son tour, spammeur. Entre juin et juillet 2007, 1 700 000
machines étaient infectées contre 2 817 entre mai et juin 2007. 71 342
attaques ont pu être bloquées les 5 premiers mois de 2007 ; elles sont
passées à plus de 20 millions entre juin et juillet <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_28" class="ancre_1">[28]</a>.
Storm est devenu le plus énorme Botnet jamais conçu et les experts en
sécurité des systèmes d'information craignent à juste titre que ce
malware <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_29" class="ancre_1">[29]</a>
soit utilisé pour lancer une attaque Ddos d'une puissance imparable.
Les mises à jour sont automatiques et utilisent la technologie du P2P.
L'altération des fichiers exécutables lancés au démarrage de
l'ordinateur accentue la difficulté du décèlement et de la désinfection
du poste corrompu. Le 24 juillet, sur 46,2 millions de SPAM détectés,
plus de 99 % contenaient le ver Storm <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_30" class="ancre_1">[30]</a>.<br>
<br>
<strong>Mises en œuvre de protections</strong> <br>
<br>
La diffusion des malwares de toutes sortes se fait principalement grâce
à l'exploitation de vulnérabilités des systèmes et des applications.
L'installation régulière des mises à jour est donc indispensable pour
patcher les failles. Mais le plus important reste l'éducation des
dirigeants, qui n'ont toujours pas accepté de reconnaître l'importance
des protections, même élémentaires, des données qu'ils sont pourtant
tenus de protéger. Hermétiques à la technologie, ils confient souvent
l'organisation de la sécurité de leur système d'information à un
collaborateur qui fera appel aux compétences d'une relation qui possède
quelques connaissances en informatique et amateur de sécurité
informatique. Ils écouteront et appliqueront les conseils prodigués au
détriment de ceux des professionnels. <br>
<br>
C'est un peu comme si ils confiaient la gestion de leur patrimoine à
l'ami d'un collaborateur amateur de boursicotage. Les résultats sont à
la hauteur de l'investissement et les pertes comparables au degré
d'inconscience. Il existe encore des entreprises, parfois spécialisées
en intelligence économique, dont les clients sont prestigieux, posséder
des parcs informatiques éclectiques, sans mise à jour, ni protections
autres qu'un antivirus et un pare-feu mal ou non paramétré. Satisfaits
du fonctionnement de leur réseau, ils fournissent allègrement
l'intégralité des données sensibles de leur clientèle aux concurrents
ou aux Etats utilisant les techniques offensives de la guerre de
l'information et de l'espionnage industriel. <br>
<br>
Le minimum de protection doit prendre en considération les points suivants :<br>
<br>
- Les utilisateurs doivent être sensibilisés aux dangers du clic
compulsif et s'engager à participer à la protection et à l'intégrité
des données dont ils sont détenteurs pour leur compte ou celui de leur
employeur. <br>
- Les postes nomades, ordinateurs portables, PDA, Smartphones et les
périphériques tels que les clés USB et les disques durs externes
doivent être contrôlés.<br>
- Des chartes d'utilisation des systèmes d'information sont à intégrer
au règlement intérieur de l'entreprise et doivent être signées par
chaque employé.<br>
- Les accès aux sites de P2P doivent être interdits, de même que les messageries instantanées et les Webmails. <br>
<br>
<strong>Conclusion</strong><br>
<br>
Il n'existe pas de garantie de sécurité absolue. Cependant, il est
possible d'élever le niveau au maximum. L'observation des règles de
base ne suffit plus, il devient impératif pour chacun de prendre
conscience des risques et de comprendre comment les réduire. Les
politiques de sécurité sont évolutives et sont à renouveler autant de
fois que nécessaire. <br>
Les Etats sont autant vulnérables que les entreprises ; les
conséquences sont nettement plus graves. Les incidents ayant eu lieu en
Estonie sont les premiers d'une longue série. Certains pays ont déjà
mis en place des pôles de recherche et des cellules militaires prêts à
lancer une guerre numérique dès la première attaque. <br>
<br>
Si le décèlement précoce des menaces numériques permet de prévenir, il
ne permet pas de guérir. En cas d'attaque massive Ddos par Storm ou
MPack <a href="http://www.robert-schuman.eu/print_qe.php?num=qe-70#ancre_31" class="ancre_1">[31]</a>,
quelles seront les chances de survie d'un serveur ? L'augmentation
significative des tarifs de ces outils malveillants par le crime
organisé est un indicateur précis de l'évolution de la demande. Le
marché du malware peut, dès lors, être comparé à ceux du trafic
d'armes, de stupéfiants et d'êtres humains. Il est nécessaire de le
réprimer avant que son développement ne devienne incontrôlable. <br>
<br>
<br>
<a name="ancre_1">[1]</a> Distributed Denial of Service ou Déni de Service Distribué<br>
<a name="ancre_2">[2]</a> Modification de la page d'accueil du site par un pirate.<br>
<a name="ancre_3">[3]</a> Réseau de PCs corrompus par un programme malveillant.<br>
<a name="ancre_4">[4]</a> CERT : Computer Emergency Response Team<br>
<a name="ancre_5">[5]</a> Selon un rapport de MessageLabs du mois de mai 2007, un email sur 118,2 contenait un virus et un email sur 156,3 était un Scam.<br>
<a name="ancre_6">[6]</a> Source : Viruslist<br>
<a name="ancre_7">[7]</a>
Source : Vinton "Vint" Gray Cerf (né le 23 juin 1943), chercheur et
co-inventeur avec Bob Khan du protocole TCP/IP, est considéré comme
l'un des pères fondateurs d'Internet. En 2005, il est engagé par Google
Inc. comme Chef évangéliste de l'Internet (Chief Internet Evangelist).
Wikipedia<br>
<a name="ancre_8">[8]</a> Source : AFP<br>
<a name="ancre_9">[9]</a> (Mégabits par seconde). Taux de transfert des données qui atteint un million de bits par seconde.<br>
<a name="ancre_10">[10]</a> Source : Arbonetworks<br>
<a name="ancre_11">[11]</a> Source : FSB mars 2007 <br>
<a name="ancre_12">[12]</a>
Les patchs sont des corrections de failles appelés aussi " mises à jour
", lorsque celles-ci ne sont pas téléchargées par l'utilisateur,
l'ordinateur reste vulnérable et le risque d'infection est bien plus
important.<br>
<a name="ancre_13">[13]</a> Source des figures 8 et 9 : Sophos<br>
<a name="ancre_14">[14]</a> Source : Graham Cluley, spécialiste des technologies chez Sophos. <br>
<a name="ancre_15">[15]</a> Programmes malveillants.<br>
<a name="ancre_16">[16]</a> Adresse Internet (par exemple : <a href="http://www.site.com">http://www.site.com</a>)<br>
<a name="ancre_17">[17]</a>
Les e-mules sont chargées de faire transiter l'argent détourné depuis
des comptes bancaires piratés vers des banques établies dans des
paradis fiscaux ou par le biais de Western Union. Pour compliquer la
tâche des enquêteurs, certaines organisations criminelles font d'abord
transférer l'argent sur des comptes étrangers appartenant à d'autres
emules. Plus le nombre d'emules augmente, plus il devient difficile de
retracer les malfaiteurs.<br>
<a name="ancre_18">[18]</a> Source : Zdnet<br>
<a name="ancre_19">[19]</a> Food and Drug Administration<br>
<a name="ancre_20">[20]</a> Actuellement, le Rimonabant des laboratoires Sanofi-Aventis est en vente sous le nom Acomplia.<br>
<a name="ancre_21">[21]</a> Source : Star Tribune<br>
<a name="ancre_22">[22]</a> Source : Ria Novosti<br>
<a name="ancre_23">[23]</a> Recouvrement des données effacées et analyse des fichiers installés sur un ordinateur.<br>
<a name="ancre_24">[24]</a> Source : SecurityFocus<br>
<a name="ancre_25">[25]</a>
Raccourci pour Wireless Internet Hotspot dont l'équivalent en français
est borne Wi-Fi ou point Wi-Fi. Il s'agit alors d'un lieu public à
forte affluence et clairement délimité (par exemple : café, hôtel,
gare...) donnant accès à un réseau sans fil et permettant aux
utilisateurs de terminaux mobiles de se connecter facilement à
Internet. Wikipedia<br>
<a name="ancre_26">[26]</a> Les systèmes
Peer-to-Peer (pair-à-pair) permettent à plusieurs ordinateurs de
communiquer via un réseau, de partager simplement des informations, des
fichiers le plus souvent, mais également des flux multimédia continus
(streaming), le calcul réparti, la téléphonie (comme Skype), etc. sur
Internet.<br>
Le pair-à-pair a permis une décentralisation des systèmes en permettant
à tous de jouer le rôle de client et serveur. En particulier, les
systèmes de partage de fichiers permettent d'avoir des objets d'autant
plus disponibles qu'ils sont populaires, et donc répliqués.
L'utilisation d'un système pair-à-pair nécessite l'utilisation d'un
logiciel particulier. Source : Wikipedia<br>
<a name="ancre_27">[27]</a> Source : PandaSoftware<br>
28 Source : SecureWorks<br>
<a name="ancre_29">[29]</a> Programme malveillant ; les vers, les virus et les chevaux de Troie sont des malwares<br>
<a name="ancre_30">[30]</a> Source : Postini<br>
<a name="ancre_31">[31]</a> MPack est un cheval de Troie (voir le paragraphe " Les rootkits ").<br>
<br>