2. Définitions
Constat
Criminologie
Victimologie
Produits, services et SAV
Communication
Solutions ?
Conclusion
Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 2
3. Définition de la cybercriminalité :
« Ensemble des infractions pénales commises sur les réseaux de
télécommunication, en particulier Internet » (Larousse)
Compte tenu des article 323-x du Code Pénal, de nombreuses
catégories d’attaquants sont concernées par cette définition :
▪ Organisations cybercriminelles dont l’objectif est purement financier …
▪ … mais aussi organisations dont la motivation est éthique (Anonymous) …
▪ … les organisations terroristes et enfin …
▪ … que dire des gouvernements ? (voir par ex. le piratage de l’Elysée).
Nous parlerons ici principalement de la première catégorie …
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 3
4. Définitions
Constat
Criminologie
Victimologie
Produits, services et SAV
Communication
Solutions ?
Conclusion
Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 4
5. Slide 5
les chiffres
Kaspersky Lab a
estimé que 60% des
contenus malveillants
étaient hébergés
dans trois pays
principalement : la
Russie, les USA et
Source
les Pays-Bas.
Augmentation sensible du coût de la cybercriminalité pour
l’économie mondiale … (110 milliards $ en 2011 selon Norton
voir même jusqu’à 750millards d’€ rien que pour l’Europe selon
Interpol)
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 5
6. Slide 6
les chiffres
Les banques américaines ont perdu 900 millions de dollars suite à
des vols classiques en 2011 ….
…. Et 12 milliards $ du fait des cyberattaques !
Israël est la cible de 1000 cyberattaques chaque minute !
Les chiffres varient … une chose est sûre : le cybercrime
coûte cher !
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 6
7. Slide 7
Au niveau juridique …
Pas de lois universelles sur l’Internet
Problèmes des juridictions
▪ Un attaquant d’un pays W utilise des serveurs malveillants dans plusieurs
pays X et Y et cible des victime dans un pays Z
Problèmes des vides juridiques
▪ Pays comme l’Algérie n’ont aucune règlementation réelle en la matière
Démarches lentes et complexes (quand elles aboutissent…)
▪ Débranchement de l’hébergeur Bulletproof McColo (San José) crée par
« Kolya McColo », sur le sol américain a pris 4 mois … mais a fonctionné
notamment grâce au travail de Brian Krebs (Washington Post).
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 7
8. Slide 8
Effet du démantèlement de McColo sur le
SPAM mondial
http://en.wikipedia.org/wiki/McColo
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
9. Définitions
Constat
Criminologie
Victimologie
Produits, services et SAV
Communication
Solutions ?
Conclusion
Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 9
10. Etat de la menace :
Quels profils d’attaquants ? Quelles motivations ?
Autrefois, les pirates étaient des personnes isolées (ex : Ver Morris en 1988),
amateurs, qui recherchaient principalement la notoriété ou la vengeance en
développant des preuves de concept (script kiddies),
Aujourd’hui, il s’agit de véritables organisations cybercriminelles
professionnelles (Russian Business Network etc.), servant leurs propres objectifs
(financiers, éthiques comme LulzSec ou Anonymous etc.). Elles travaillent
comme des MAFIAS sans forcément avoir de liens directs avec elles.
Certains estiment que la Russie et les pays voisins sont les pays les plus
dangereux en termes de cybercrime … car ils seraient à l’origine de 60% des
infections par contenu malveillant -- Effet de la pénurie d’emploi et de la crise
financière ? --
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 10
11. Etat de la menace :
Quels profils d’attaquants ?
Présentation de François Paget, McAfee, CLUSIF 2009
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 11
12. Etat de la menace :
Quels profils d’attaquants ? Quelles motivations ?
… mais peut-être aussi ceux de gouvernements ! (ex : incident
Russie/Estonie, la NSA, opération Aurora, virus
Stuxnet/Duqu/Flame etc.) on parle de Guerre de
l’Information ou GI et de Lutte Informatique Offensive ou
LIO,
Le gouvernement français précise dans le Livre blanc sur la
défense et la sécurité nationale le renforcement des moyens de
lutte,
Tous n’ont pas les mêmes moyens
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur.
13. Etat de la menace :
Quels profils d’attaquants ? Quelles motivations ?
http://blog.zoller.lu/
http://blog.zoller.lu/
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 13
14. Définitions
Constat
Criminologie
Victimologie
Produits, services et SAV
Communication
Solutions ?
Conclusion
Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 14
15. Certaines attaques ne sont généralement* pas ciblées :
Scan en masse de plages IP « au hasard » sur l’Internet avec des outils classiques comme scanners
de ports et/ou de vulnérabilités à la recherche de cibles vulnérables (beaucoup de discussions
autour des attaques WEB type injections SQL, failles des CMS etc. et des logiciels tierces type
Adobe Flash/Reader ou Java),
Envoi de mails en masse pour les attaques de type Phishing.
Chaque attaque réalisée à grande échelle connaît un certain taux de succès (Pierre Caron,
MISCMag)
Quand d’autres le sont beaucoup plus … * Quoique possible de choisir
ces cibles avec les kits
d’exploits par ex.
Par exemple le chantage au déni de service distribué
Botnets Bankers type Zeus, SpyEeye
L’objectif : avoir un retour sur investissement important et
rapidement (donc les techniques d’attaques ne sont généralement
pas très sophistiquées, on ne parle pas d’APT voir même de 0days)
Tout le monde est concerné !
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 15
16. Définitions
Constat
Criminologie
Victimologie
Produits, services et SAV
Communication
Solutions ?
Conclusion
Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 16
17. Etat de la menace :
Quels services disponibles ?
Réseaux sous-terrain C2C composés de forums et de chan IRC (RBN,CBN etc.) sur
lesquels sont commercialisés différents « produits » et « services » :
Carding (vente de données carte bancaire)
Nuisibles * exploit : code utilisé pour exploiter une vulnérabilité
Pack d’exploits* type Firepack, Icepack etc.
Vente d’identités réelles ou virtuelles (ex: jeux vidéos comme Diablo III, Facebook),
Fraude au clic
Kit de Phishing,
Location de Botnets,
Warez : contrefaçons de logiciels et films (avec une forte proportion pour le pornographique)
Services d’anonymisation
Etc.
Entreprises spécialisées :
Hébergement d’activités malveillantes « BULLETPROOF » (Bot Herders, relais de spam, sites
compromis …), par ex McColo et Troyak.org (25% C&C Zeus),
Vente de faux produits (scarewares etc.) ou compromis (produits légitimes qui embarquent
d’autres produits type spywares etc.
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 17
18. Les tarifs selon Undernews
▪ Chiffreur standard (Pour cacher du code malicieux dans un fichier inoffensif): $10-$30
▪ Bot SOCKS (Pour contourner les firewalls): $100
▪ Une attaque DDoS : $30-$70 pour la journée, $1,200 pour le mois
▪ Spam Email : $10 par tranche de 1 million d’emails
▪ Spam email en utilisant une base client : $50-$500 par tranche de 1 million d’emails
▪ Spam par SMS spam: $3-$150 pour 100 à 100 000 messages.
▪ Bots pour un botnet: $200 pour 2 000 bots
▪ Botnet DDoS : $700
▪ Code source du célèbre ZeuS : $200-$500
▪ Rootkit pour Windows (pour installer des drivers vérolés): $292
▪ Piratage de compte Facebook ou Twitter : $130
▪ Piratage de compte Gmail : $162
▪ Piratage de boite mail pro : $500
▪ Scans de vrais passeports : $5 pièce
▪ Ransomeware (logiciel qui verrouille l’accès à vos fichiers et qui demande une rançon pour les libérer) : $10-20
▪ Pack d’exploits non ciblés : $25
▪ Pack d’exploits ciblés : $10-$3000
▪ Trafic web : $7-$15 pour 1 000 visiteurs en provenance des États-Unis et d’Europe.
Moralité : on peut pratiquement tout acheter sur les réseaux alternatifs ….
Autre constat : l’attaquant n’est pas obligé d’être un expert en informatique
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 18
19. Autre exemple :
Ces prix varient … En effet, selon Krebs, la société Group-IB a
découvert un nouvel exploit fonctionnel sous Adobe Reader 10 et
11 et qui serait vendus sur les réseaux sous-terrains pour 50,000$ !!
(en même temps l’exploit fonctionnerait avec Javascript désactivé
+ Enhanced Mode Security Actif) ..
Même peut-être jusqu’à 100k$ pour un exploit sur Java !
C’est quand même plus intéressant que les bug bounty ?? Ci-après les
chiffres issus du blog Exploitability :
▪ 500$ pour facebook
▪ de 500$ à 3000$ pour firefox
▪ de 500$ à 3133.7$ pour Google
▪ de 500$ à 3133.7$ pour Barracuda Networks
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 19
20. Phénomène de SPECIALISATION des attaquants : chacun
participe à un écosystème global sans forcément en maîtriser la
totalité.
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 20
21. La spécialisation illustrée
Machine infectée
Ex:Conficker
Bot
Infectée
Bot
Infectée
Bot
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 21
22. Exploits Kits : Automatisation des attaques
Constat : évolution des
Exploits depuis 2006.
Détournement de
Windows vers des
logiciels tiers comme
Flash, Adobe Reader
et Java
Marché lucratif pour
les 0-days ! (même si
la majorité des
attaques n’en utilisent
pas)
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 22
23. Exploits Kits : Automatisation des attaques
L’exploit Kit est
déployé sur un serveur
Web (généralement
chez un hébergeur
« BulletProof » ou sur
un serveur
compromis)
Il fonctionne de
manière autonome.
Les victimes s’y
connectent suite à une
attaque drive-by-dl,
Le kit embarque une interface de pilotage intuitive qui attaques iframes ou
permet par exemple de sélectionner des cibles en encore Black-Seo.
fonction de leur provenance géographique.
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 23
24. Botnets : attaques DDOS / réplication / SPAM / Vols de données / fraude
au clic / etc.
Plusieurs types : utilisation par le « owner », location, vente des bot codes (ex: Zeus)
En chiffres (wikipedia) :
Concerne aussi les mobiles ! (voir présentation Summercon Jon Oberheide 2010)
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 24
25. Botnets
En chiffres (Krebs, Kaspersky)
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 25
26. Botnets : attaques DDOS et extorsion de fonds
Offre de location de botnet
Constat : le prix est très faible, 120$
pour une journée
Exemple de chantage au DDOS
http://www.net-
security.org/secworld.php?id=11174
Ou
Paul Ferguson et l’affaire de la Banque
Estonienne
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 26
27. Carding : vente de carte bancaire
• Phénomène d’industrialisation du processus de vente (plus besoin
d’être en relation directe avec le vendeur),
• Touche de nombreux pays, dont la France,
CERT XMCO
• Méthodes de compromission multiples :
-Intrusions
-Bankers
-Skimming
-Etc.
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 27
28. Carding : vente de n° de carte bancaire skimming
Imprimante MSR206
Intrusions : exemple de Sony pour le vol de
données CB Source : Krebs
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 28
29. Hébergement bulletproof
Aujourd’hui, les malwares ne sont plus diffusés en pièces jointes de mails …
il faut donc pouvoir les stocker/héberger quelque part!
Une solution : les hébergeurs Bulletproof (autre solution -> machines compromises mais
moins fiable)
Hébergeurs plus ou moins laxistes et regardants sur les requêtes des autorités judiciaires.
Généralement, plus cher que de l’hébergement classique
Différent des hébergeurs actifs : les hébergeurs n’agissent pas pour eux-mêmes mais
pour leurs clients
C’est le cas du Russian Business Network, démantelé suite au travail notamment de
David Bizeul (CERT Société Générale)
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 29
30. Hébergement bulletproof
http://hostexploit.com/
Source : Krebs
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 30
31. Les autres :
Malwares et rogue softwares
Croissance continue (15K nouveaux malwares répertoriés par
Kaspersky sur le T2 2012)
Utilisation du mécanisme d’affiliation : acquisition d’un malware par
une personne X et campagne d’infection lancée par des « affiliés »
rémunérés en fonction du nombre de machines compromises. Très
difficile à contrôler la rémunération étant basée sur le volume.
Vol d’identité (virtuelle ou réelle)
SPAM
Phishing
Mule-as-a-service
Etc.
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 31
32. Définitions
Constat
Criminologie
Victimologie
Produits, services et SAV
Communication
Solutions ?
Conclusion
Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 32
33. Les relations entre groupes cybercriminels
▪ Communication
▪ Avec des forums
▪ Par IRC
▪ Service Après Vente via un n° ICQ
▪ Transfert de compétences
▪ Rédaction de tutoriels
▪ Aide en ligne (beaucoup de questions actuellement sur les SQLi)
▪ Sur un forum, l’attitude est la méfiance permanente : un membre actif qui
aide les « nouveaux venus » verra son profil monter en crédibilité et il
pourra ainsi accéder à des forums plus « intéressants » (accessibles sur
invitation seulement)
Ex de UpLevel, développeur de Zeus connus pour ses défauts de
paiement
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 33
34. Définitions
Constat
Criminologie
Victimologie
Produits, services et SAV
Communication
Solutions ?
Conclusion
Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 34
35. Coopération entre autorités et ISP/IXP (échangeurs)
« Débranchement » de DNS Changer par le FBI …. Après l’arrestation de 6
personnes en Estonie.
Travail des CERT
Etude des menaces, travail d’alertes
Sensibilisation et éducation du public (Long Run)
Problème : la plupart des initiatives sont d’ordre privé
Exemple de McColo, RBN, Atrivo
Renforcement du dispositif juridique ?
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 35
36. Définitions
Constat
Criminologie
Victimologie
Produits, services et SAV
Communication
Solutions ?
Conclusion
Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 36
37. Nous vivons dans un monde dangereux …
Le cybercrime augmente et surtout se
professionalise
Tout le monde est concerné, administrations,
entreprise, particuliers
Moralité : faites de la veille, sensibilisez et prenez
le en compte dans vos analyses de risques …
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 37
38. Problématique soulevée par Jart Armin (suite au
démantèlement d’Atrivo) et reprise par Gabriel Campana, MISC
Magazine 41 :
« Soit les acteurs de l’Internet seront capables de
s’autoréguler ; soit un renforcement du contrôle par les Etats
sur Internet est à prévoir, pour le meilleur ou pour le pire ».
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 38
39. Merci de votre attention.
Des questions ?
http://www.clusir-aquitaine.fr/
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 39
40. Définitions
Constat
Criminologie
Victimologie
Produits, services et SAV
Communication
Solutions ?
Conclusion
Annexe : ressources
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 40
41. Ressources principales utilisées pour cette présentation :
Panoramas de la cybercriminalité, CLUSIF
Blog de Brian Krebs
MISC Magazine n°41
Etude Russian Underground, Trend Micro 2012
Sex, Lies and Cybercrime Surveys, Microsoft
Undernews
Net-Security.org
Blog de Thierry Zoller
Blog de Cédric Blancher « Sid »
Blog Dancho Danchev
Blog Pseudonyme
Blog Exploitability
Analyse du RBN par David Bizeul (CERT Société Générale)
François Sopin, ADACIS - CLUSIR AQUITAINE - Cybercriminalité . Toute reproduction de ce document est interdite sans l'accord explicite de son auteur. 41
42. Outils de travail :
Malware Domain List
Robtex
Domaintools.com
PhishTank
SpamHaus
ShadowServer