Microsoft cherche un pirate

Le Ver Conficker continue à faire parler de lui. Il a infecté des millions de PC et notamment ceux de la Marine francaise.

Microsoft a décidé de faire comme au far-west. Il propose une prime de 250 000 dollars pour débusquer le créateur de ce virus.

Les chasseurs de primes devraient donc se tourner vers les pays de l’Est car selon nos informations, l’auteur de ce code malveillant très sophistiqué se trouverait soit en Russie, soit en Ukraine…

SCOOP : Doctor Web se paie une tranche de Kaspersky

Dans un communiqué officiel, “Doctor Web France annonce le recrutement de Marc Blanchard, l’un des scientifiques européens les plus reconnus en matière de recherche antivirale”.

Après etre passé chez TrendMicro, ce spécialiste des virus était chez Kaspersky, l’autre concurrent russe de Doctor Web…

« Mes axes de travail sont divers et complémentaires. Dans un premier temps, je vais m’appliquer à mettre en place une structure de support technique qui devra, à terme, fournir une grande réactivité et surtout un niveau d’expertise à même de répondre à l’ensemble des attentes des clients Dr.Web®. En parallèle, j’accompagnerai les équipes Doctor Web, Ltd dans l’amélioration des techniques de lutte antivirale », a précisé Marc Blanchard.

Avec cette nomination, Doctor Web entend bien accélérer son développement en France et inciter de nombreuses entreprises à installer son excellent antivirus…

Cybercriminalité : les failles humaines (2e partie)

Suite et fin de l’interview de Michel Iwochewitsch, Directeur associé de Strateco.

Selon vous, dans le cadre des tests de pénétration réalisés dans le cadre de la sécurité, peu d’actions développent une approche des “failles humaines”. Pourquoi ?

Les raisons principales selon mon expérience sont :

1. Peu d’opérateurs informatiques sont formés à l’exploitation systématique des failles humaines en dehors de leurs domaines de compétences

2. Les entreprises restent « frileuses » sur ce sujet pour ces raisons essentielles :

a. Les tests de pénétration reposant sur l’humain sont souvent déstabilisants pour les employés ! En effet, il s’agit en somme de provoquer des erreurs de ces employés pour en exploiter les résultats. Ils ne peuvent donc être réalisés que dans un cadre éthique strict comprenant au minimum l’anonymat des employés ciblés (sauf cas de détection d’un acte illégal évidemment !)

b. Les tests des failles humaines ne peuvent reproduire intégralement une séquence de recrutement de type espionnage industriel ! Il serait amoral de « provoquer » un employé au point de mettre en place une séquence de recrutement ! 1-parce que cela serait pousser à la faute un individu volontairement fragilisé ; 2-au-delà des conséquences juridiques d’un tel acte, comment l’entreprise et l’employé pourrait encore collaborer ensemble ?

c. Les croyances comme « cela n’arrive qu’aux autres » et « nous ne sommes pas un secteur sensible » qui est une hérésie pour de multiples raisons !

d. Le fait médiatique qui présente des cas extrêmes, souvent très éloignés de la réalité des opérations des prédateurs (quelques exemples présentés ci-dessus)

Maintenant, et contrairement à des images d’Épinal concernant les tests de failles humaines, il est parfaitement possible de tester les failles les plus courantes selon un protocole aussi rigoureux que pour les failles informatiques ! Une différence essentielle entre les deux familles de tests découle du fait que les tests de failles humaines restent ANONYMES pour protéger individuellement des employés provoqués, ET font l’objet de séances de sensibilisation auprès de l’ensemble des employés pour mettre en place un système de protection contre ces failles ! Il est d’ailleurs intéressant de constater que lors de ces séances de sensibilisation, de nombreux employés ont des anecdotes de coup de fils curieux mais qui n’ont JAMAIS été remontés à la direction de la sécurité.. Souvent parce qu’aucune hotline n’existe pour cela !

Là encore, et contrairement à un avis général, des contre-mesures simples – et peu coûteuses – permettent de « bloquer » la majorité des attaques via les failles humaines. Que ces dernières découlent de social engineering ou des approches plus sophistiquées mise sen œuvres par certains SR et spécialistes du renseignement industriel.

Avez-vous, néanmoins, noté une évolution (une prise de conscience des entreprises) ces dernières années ?

Il existe une nette prise de conscience des managers sur ces risques ! En particulier sur les cadres supérieurs qui sont généralement « sous microscope » officiel ou autres au cours des déplacements. Je note ainsi un fort développement des formations de « contre-elicitation » pour permettre aux cadres de détecter des actions préliminaires contre eux.

Nous notons également que certaines entreprises sont aujourd’hui demandeur de tests de failles humaines reproduisant l’action des différents prédateurs. Ces tests sont systématiquement accompagnés de mesures de formation, audit et mise en œuvre de contre-mesures permettant de mieux protéger l’entreprise cliente.

Néanmoins, je constate également que seules les entreprises dites « stratégiques » (défense, aéro, pharmacie, biotech, etc.) sont sensibilisées ! Je pense qu’il s’agit là d’une hérésie pour de multiples raisons :

- Plus l’entreprise a de concurrents plus elle a de risque qu’un individu peu scrupuleux face appel à des méthodes de renseignement industriel ;

- Une entreprise peut être « ciblée » simplement parce qu’elle est plus fragile à la pénétration et travaille en sous-traitance en N-2 N-3 pour un groupe sensible (méthodo typique des prédateurs les plus agressifs) ;

- Une entreprise peut être ciblée car elle donne accès à des informations sensibles sur des individus qui intéressent le prédateur ! Quelques exemples simples loin d’être exhaustifs :

o Le conseiller clientèle dans une banque qui dispose d’informations concernant l’utilisation des CB des individus cibles et de leurs trains de vie,

o La CPAM qui permet d’identifier certaines pathologies, des frais élevés de santé pour des enfants, etc.

o L’opérateur d’une agence de voyage qui sait ou et quand un individu se déplace ;

o Des PME ayant un produit outdaté mais pouvant intéresser les SR d’un pays du tiers-monde ;

o Des PME vendant des produits pouvant être exploités par des prédateurs pour de la collecte agressive. Par exemple :

§ Des systèmes de visioconférence,

§ Des installations téléphoniques en PABX,

§ L’outsourcing de la maintenance des PC,

§ Des produits événementiels (voilure et stand) : un exemple que j’ai personnellement audité a été celui d’une société fabriquant des stands et qui avait été ciblé simplement car le degré d’activité de production et le nom des clients permettaient de connaitre en « avance de phase » les manifestations d’un concurrent sensible,

§ Les pizzaiolos devenus célèbres lors de la guerre du Golfe car les journalistes analysaient l’augmentation des commandes de pizzas nocturnes vers le Pentagone et la Maison-Blanche, etc.

Les sociétés anglo-saxonnes sont-elles plus sensibilisées par ce genre d’attaque que les entreprises françaises ?

Oui parce qu’il existe plusieurs opérateurs privés organisant des tests dédiés de social engineering et ou de failles humaines. Non en ce qui concerne les entreprises n’entrant pas dans le champ jugé stratégique (Défense, Biotech, Aéronautique, etc.).

En France : les cadres sont sensibilisés à ces risques compte tenu du nombre de menaces dans ce domaine qui les concernent directement ! Ainsi, comme je le soulignais, de plus en plus de sociétés nous demandent de protéger les cadres en les éveillant aux méthodes des prédateurs. L’objectif numéro 1 est de les aider à détecter ces tentatives. Le second objectif est de les doter d’un corps de techniques de contre-elicitation les rendant nettement moins vulnérables tout en pouvant – ce qui est essentiel – maintenir des relations business. La discrétion dans la détection et la contre-élicitation est donc essentielle !

Rechercher et exploiter les failles humaines impliquent une importante organisation logistique (dans MISC 36, vous parlez de « l’agent acquisition process ») et beaucoup de temps (six mois environ). Mais, rechercher et exploiter des failles de logiciels prend moins de temps et le résultat peut être aussi efficace ?

Oui et non ! En effet, les failles logicielles et de réseaux peuvent être plus simples à exploiter ! Mais :

1-l’humain sait beaucoup plus de choses que les informations formalisées sur des supports électroniques ;

2-une source humaine dans le cadre du renseignement industriel est plus longue à développer mais permet d’obtenir un flux permanent de données à analyser !

3-l’avantage d’une approche humaine est sa redoutable discrétion ! Très peu de cas finissent par être connus ! Voir sont volontairement étouffés par l’entreprise par peur d’un risque d’image (ex : très peu de détournements de fonds dans le milieu financier font l’objet de déclaration sous ce nom ! Les établissements préfèrent généralement les considérer comme des « misdirections » plutôt que d’admettre une fragilité auprès de la clientèle.

Par ailleurs, attention à l’exemple du AAP présenté dans l’article : il s’agit d’un cas d’école (réel inspiré de 2-3 cas sur le terrain) démontrant la méthodologie habituelle de ces prédateurs ! La durée indiquée est une durée moyenne. Il est évident que dans un cas simple, une seule source aurait suffit !
De plus, il s’agit d’un process de recrutement sur le long terme de sources humaines au sein d’une entreprise. Ce process est celui utilisé par les SR, les groupes transnationaux de criminalités organisés, et les spécialistes du renseignement industriel LORSQUE le « jeu en vaut la chandelle » !

Accéder au password d’un individu, récupérer un numéro de carte bleue pour « suivre » les déplacements d’un individu, ou encore obtenir la copie d’un mémo interne, sont des actions de collecte qui ne nécessitent que peu de temps de préparation et d’exécution ! C’est par exemple, la spécificité du social engineering ou des approches d’élicitation des SR. Quelques jours à peine sont nécessaires pour ces genre d’opération « one-shot ».

Maintenant, à titre d’anecdote, il est considéré dans les milieux spécialisés que les opérateurs du SVR et du GRU (très actifs dans les entreprises), considèrent qu’un seul individu dans une grande société est suffisant pour compromettre l’ensemble des informations de celle-ci s’il est bien formé ! Par ailleurs, on considère que ces deux SR « possèdent » une source dans chaque grande entreprise transnationale …

Et ne parlons pas des SR chinois ! Ou de ceux de nos alliés politiques très actifs également …

Pour finir sur ce point, il me semble utile de rappeler que pour un prédateur informationnel, le support des données n’a aucune espèce d’importance ! Prenons un exemple simple ; le password du PC d’un employé peut-être :

· « piraté » à partir du PC et/ou du réseau,

· Récupérer par un opérateur humain (de multiples méthodes existent allant de la technique de l’éléphant des SR, à une analyse de fréquence des touches)

· Lu sur un post-it à côté du dit-PC (semble inconcevable et pourtant encore si fréquent : l’’exemple type est le password du cadre sur le bureau ou dans l’agenda de la secrétaire ! Sic !)

· Eliciter auprès de l’individu lors d’une virée dans un bar (parce que ce dernier utilise le même password pour tous ses comptes privés et pro)

· Eliciter auprès des membres de sa famille

· « Deviner » en créant une liste de mots clés concernant la biographie de l’individu et ensuite passer dans un outil de génération de password,

· Reconstruit à partir des touches et retrouver avec l’aide de générateur d’anagrammes,

· Etc .

En clair : la forme de l’information n’intéresse pas le prédateur ! ce qui l’intéresse c’est l’équation risque/ROI de son opération et de fait : « quel est le point le plus fragile pour porter mon action avec le maximum de chance de réussite et en respectant la règle numéro 1 : ne pas me faire prendre !»

- Selon vous, dans le cadre des tests de pénétration réalisés dans le

cadre de la sécurité, peu d’actions développent une approche des “failles humaines”. Pourquoi ?

Les raisons principales selon mon expérience sont :

1. Peu d’opérateurs informatiques sont formés à l’exploitation systématique des failles humaines en dehors de leurs domaines de compétences

2. Les entreprises restent « frileuses » sur ce sujet pour ces raisons essentielles :

a. Les tests de pénétration reposant sur l’humain sont souvent déstabilisants pour les employés ! En effet, il s’agit en somme de provoquer des erreurs de ces employés pour en exploiter les résultats. Ils ne peuvent donc être réalisés que dans un cadre éthique strict comprenant au minimum l’anonymat des employés ciblés (sauf cas de détection d’un acte illégal évidemment !)

b. Les tests des failles humaines ne peuvent reproduire intégralement une séquence de recrutement de type espionnage industriel ! Il serait amoral de « provoquer » un employé au point de mettre en place une séquence de recrutement ! 1-parce que cela serait pousser à la faute un individu volontairement fragilisé ; 2-au-delà des conséquences juridiques d’un tel acte, comment l’entreprise et l’employé pourrait encore collaborer ensemble ?

c. Les croyances comme « cela n’arrive qu’aux autres » et « nous ne sommes pas un secteur sensible » qui est une hérésie pour de multiples raisons ! (je détaille dans la question 4)

d. Le fait médiatique qui présente des cas extrêmes, souvent très éloignés de la réalité des opérations des prédateurs (quelques exemples présentés ci-dessus)

Maintenant, et contrairement à des images d’Épinal concernant les tests de failles humaines, il est parfaitement possible de tester les failles les plus courantes selon un protocole aussi rigoureux que pour les failles informatiques ! Une différence essentielle entre les deux familles de tests découle du fait que les tests de failles humaines restent ANONYMES pour protéger individuellement des employés provoqués, ET font l’objet de séances de sensibilisation auprès de l’ensemble des employés pour mettre en place un système de protection contre ces failles ! Il est d’ailleurs intéressant de constater que lors de ces séances de sensibilisation, de nombreux employés ont des anecdotes de coup de fils curieux mais qui n’ont JAMAIS été remontés à la direction de la sécurité.. Souvent parce qu’aucune hotline n’existe pour cela !

Là encore, et contrairement à un avis général, des contre-mesures simples – et peu coûteuses – permettent de « bloquer » la majorité des attaques via les failles humaines. Que ces dernières découlent de social engineering ou des approches plus sophistiquées mise sen œuvres par certains SR et spécialistes du renseignement industriel.

Cybercriminalité : les failles humaines (1ere partie)

Il n’y a pas que les logiciels qui présentent des failles, il y a aussi et surtout l’être humain. Michel Iwochewitsch, Directeur associé de Strateco, cabinet spécialisé dans le conseil en Intelligence stratégique et dans la sécurité informationnelle, l’a rappelé aujourd’hui (le 4 juin) lors d’une Le Symposium sur la Sécurité de l’Information et des Communications (SSTIC).

Voici la version longue d’une interview plus courte qui est publiée aujourd’hui sur 01net.com.

1-Quelles sont les principales failles humaines et celles qui sont les plus exploitées par les attaquants car elles sont les plus évidentes et faciles ?

Avant d’aborder les failles, j’aimerais préciser qui sont les prédateurs les plus courants : on parle dans les milieux de la sécurité informatique essentiellement des social engineers mais mon expérience dans les audits de sécurité me fait dire qu’il ne s’agit pas et de loin de la catégorie la plus dangereuses ! Globalement, ils sont peu formés et exploitent des failles basiques !

Nous utilisons dans notre cabinet la typologie suivante (en risque de dangerosité) :

- Social engineer : peu formé, méthode basique. Essentiellement des opérations « one-shot » (password par exemple)

- Escrocs : souvent nettement mieux formés. Plus expérimentés. Plus de ressources financières et de fait plus dangereux

- Opérateurs de renseignement industriel : en plein développement ! Exploitent de nombreuses failles en combinaison et pas seulement des failles humaines. Les cas répertoriés sont de plus en plus nombreux. Le spooke (selon la terminologie anglo-saxonne) est un opérateur redoutable et discret !

- Groupe de criminalité organisée : disposant de moyens financiers et techniques importants. Très bien formés. Exploitent souvent des opérateurs anciens des SR. Redoutables et en plein développement comme vous l’avez souligné dans votre ouvrage ! Exploitent en plus des pressions fortes sur les individus pour les intégrer dans leurs réseaux.

- Services officiels de renseignement : les mieux formés. Capable de pénétrer à peu prêt partout ! Ils ont dangereux en terme de méthodologie mais leurs objectifs sont essentiellement de « récupérer » une technologie. A l’inverse d’un concurrent peu scrupuleux, ils ne cherchent pas à endommager directement le fonctionnement de l’entreprise cible.

En ce qui concerne les failles, on peut les classer en plusieurs sous-ensembles :

- Les failles universelles résumées dans les acronymes comme MICE ou ASIE : elles existent depuis la nuit des temps ! Facilement mobilisables pour contraindre/motiver un individu. L’argent et l’Ego sont les deux facteurs sur lesquels jouent le plus souvent les prédateurs selon notre expérience. L’Ego est souvent exploité sous son angle négatif (employé frustré d’avoir raté une promotion selon lui mérité, « faire partie de ceux qui savent », etc.)

- Les failles exploitables de type heuristique et biais cognitifs : failles extrêmement courantes dans les approches des individus. Quasiment toutes les méthodes agressives reposent sur ces dernières. A titre d’exemple, l’élicitation (en direct ou par tél) d’information s’appuient dans son cœur méthodologique sur des approches cognitives destinées à limiter le passage de l’individu en mode systématique et de le « laisser » en mode heuristique (modèle ELM en psychologie de la persuasion). L’exemple type de ces failles : les grandes lois de psychologie sociale ! (cf. « le petit guide de manipulation à l’usage des honnêtes gens »). Le social engineer en a souvent une connaissance intuitive et sait créer l’illusion de la confiance, donner l’illusion de faire partie d’un groupe, etc. Les autres opérateurs sont généralement des spécialistes de l’exploitation de ces failles et les mettent en œuvre en permanence…

- Les vulnérabilités des traits de personnalités : plus rarement utilisées par les escrocs. Fréquent chez les spécialistes du rens industriel et les SR. Plusieurs cas ces dernières années prouvent qu’un « transfert de méthodologie » a permis aux groupes de criminalités organisées de disposer de ce « savoir-faire ». A ma connaissance : pas de cas connu d’exploitation par les social engineers de ce type d’approche

2-Avez-vous des exemples d’attaques reposant essentiellement sur une analyse des failles humaines ?

Oui ! Pour d’évidentes raisons de sécurité, je démarquerais ces exemples à l’exception de ceux ayant fait l’objet d’articles de presse. Et je classerais ces exemples en fonctions de la typologie d’attaques possibles :

En déplacement de cadres à l’étranger et/ ou sur « points d’eau » :

- Élicitation de la banque de la cible lors d’une discussion dans un salon pro. Achat des relevés CB à la banque auprès d’un « agent d’accès » recruté pour cette fonction précise (ex : un conseiller de banque). Analyse des localisation des factures avec la proximité de clients – actuels et futurs – de la cible.

- Groupe spécialisés de copie du contenu des portables dans les hôtels agissant sur le S de ASIE en mettant des prostituées dans les bars d’hôtels de certaines villes d’Asie du Sud-Est. Ces groupes sont fortement organisés et proches de la criminalité organisée

- Utilisation d’une call-girl pour tamponner des cadres cibles dans une ville étrangère sur la base du S et de l’habitude des cadres commerciaux de « profiter » des occasions. Une fois le cadre endormi dans la chambre d’hôtel, la call-girl accepte les SMS d’enregistrement d’un système de suivi du tél portable sur Internet réalisé par un autre opérateur. Une simple connexion sur le site internet permet ensuite de savoir avec précision les déplacements de la cible lorsqu’il visite des clients/fournisseurs.

Dans les « réseaux sociaux » de la cible :

- En jouant sur le A de ASIE = proposer à une cible dans un réseau social quelconque d’obtenir à très bas prix des portables téléphoniques dernière génération, sous Symbian qui contiennent des pisteurs d’appels, de sms, etc.

- Le cas d’un agent d’accès : une jeune femme qui travaille dans une agence de voyage rencontre un soir un JH étudiant bien sous tout rapport. Elle sort avec lui et tombe amoureuse. Le JH lui annonce plus tard, qu’il doit quitter la ville et abandonner ses études par manque d’argent ! (technique dite du chaud-froid), quelques jours plus tard, il lui propose un marché en lui faisant rencontrer le spooke qui propose de l’argent contre la liste des déplacements d’individus précis au sein du système de réservation SABRE…

- Une opération de collecte par élicitation est montée contre le service R&D d’une PME. L’opération se divise en 1-collecte de l’organigramme par social engineering (multiples méthodes) et identification des cadres clés sur les projets intéressants le client du spooke. 2-shell-company fait passer une annonce de recrutement dans un journal spécialisé. L’annonce correspond précisément aux caractéristiques des cadres identifiés. 3-réception des CV des ingénieurs intéressés. 4-Relance des ingénieurs n’ayant pas réagit par une « chasseuse de tête » du faux cabinets. 4-une salle est louée dans un Regus pour la semaine, les ingénieurs sont convoqués. 5-les entretiens permettent d’éliciter les informations nécessaires sur les projets intéressants le client, ils ont également filmés discrètement. 6-une offre financière « optimale » est proposée aux cadres les plus intéressants et les plus fragiles. Plusieurs débriefings sont réalisés sur les cibles les plus fragiles. 7-l’offre est annulée au bout de quelques temps car le poste est dans une société qui travaille sur un rachat de l’entreprise cible et que c’est incompatible avec les normes éthiques de recruter sur cette société. 8-Pour les plus fragiles, il leur est proposé d’aider le futur acheteur en donnant des informations sensibles en échange d’un contrat de consulting !

Au sein de l’entreprise par sources humaines :

- Le cas le plus célèbre est celui des SR russes avec Erickson : la documentation représentait environ l’équivalent papier de 10 camions 32T

- Le cas GM-Volskwagen par le recrutement de Lopez

- Un cas dans une PME disposant d’un bureau d’étude à Cuba. Le responsable de la R&D a été tamponné sur place et profilé. Une fois fait, le groupe local (jamais déterminé à ce jour), a « alimenté » ses besoins en filles et luxe (casino, etc.). Une fois pris dans l’engrenage (divorce, situation financière catastrophique), la cible s’est vu offrir une « porte de sortie » en validant des factures d’un montant important vers le bureau d’étude ! Résultats = la PME a failli couler. Plusieurs licenciements pour la maintenir à flot. Un commissaire aux comptes refusant de valider les comptes. Une rupture des contrats de couverture d’assurances crédits alors que la PME faisait 80% de son CA à l’international …

En one-shot via des attaques de type social engineering :

- Il existe des dizaines d’anecdotes sur le SE. D’un point de vue technique, toutes passent par une discrétisation des recherches (split en petits éléments d’information permettant de reconstituer la grande image), l’identification de la « surface utile » (en clair = les lieux/flux de l’entreprise les plus logiques pour trouver l’information ET les plus fragiles), et la mise en place d’un « rôle » permettant d’arriver à ses fins (comptable, jeune embauché, services techniques, de sécurité, etc.). Un simple exemple : le SE sait que la cible utilise le logisticien Alpha pour ses expéditions clients. Il va personnifier un comptable nouvellement arrivé chez le logisticien qui reprend des dossiers et ne retrouve pas les dernières factures. Il obtient les copies de ces dernières par fax ou email. Il réalise la même opération dans l’autre sens sur le logisticien.

- Pour l’anecdote – et parce que les méchants ne gagnent pas toujours lol – le NYPD a réalisé une opération de ce type il y a quelques années, en envoyant sous couvert d’un shell-company des lettres à des individus sous mandat d’arrêt. La lettre dans le pur style SE précisait que les individus avaient gagné un prix quelconque (voiture par ex.). Un bureau était loué au nom de la société fictive. Le prix devait être cherché en personne. Les arrestations avaient lieu dans la rue.

Typique de la criminalité organisée :

- Opération d’élicitation via téléphone et en direct des informations nécessaires pour comprendre le cheminement interne de validation des factures (limite en montant, signature autorisée, etc.). Intégration dans une phase II de fausses factures au nom d’un cabinet de consulting d’un montant sous la limite de vérification des autorisations. Reproduction des factures à un rythme élevé dans les sociétés ayant créé le compte fournisseurs dans les services comptables… Résultats = plusieurs centaines de milliers d’euros escroqués en respectant les procédures !

- Recrutement d’agents au sein de la CPAM de ce pays pour disposer d’un accès aux fichiers. Le recrutement se faisait soit par proposition d’argent (A), soit par coercition (C de MICE), etc.

- Il existe de multiples autres anecdotes sur le sujet de la criminalité organisée et des entreprises. Mais elles sont trop longues à développer ici

Mixte avec exploitation de failles techniques (communications, informatique, etc.) :

– Un détective privé US est recruté en Californie sous un faux prétexte (contrefaçons). Il équipe les camions du logisticien de la société cible de transpondeur GPS pour suivre les déplacements de ces derniers. Les stop des camions correspondent aux déchargements. Par recoupement, la liste des clients est identifiés. (illégal dans beaucoup de pays, autorisé en Californie)

- Le placement de tél portable sous symbian est aussi une opération mixte (cf. ci-dessus).

- Une opération de désinformation qui a désorganisé une filiale d’un grand cabinet de conseil : collecte par élicitation des numéros de tél portable des associés. Collecte des habitudes de communication de ces derniers. Collecte des portables des juniors et seniors. Sélection des individus utilisant les SMS. Faux SMS envoyés aux différentes personnes en changeant des lieux de réunions, des dates, des ordres, en mettant des messages personnels (liaison, personne se détestant, licenciement, démission), etc. Énorme pagaille durant plusieurs semaines au sein du cabinet !

- Par élicitation ou SE, le spooke identifie le nom de la société en charge de la gestion des ordinateurs auprès de la société cible. Cette société est située dans une zone industrielle. Il recrute ensuite au sein de la société de gestion une source en proposant de l’argent sous un prétexte quelconque. L’agent installe sur tous les PC, un keylogger et/ou un autre dispositif technique ou physique. Les PC sont livrés au fil du temps. La collecte d’information est lancée. Je connais un cas où le spooke a en plus recruté des jeunes casseurs pour forcer les bureaux et voler les PC non infectés… Afin d’accélérer la procédure de renouvellement des PC !

La deuxième partie de cette interview sera publiée jeudi 5 juin. En attendant, vous pouvez aussi lire les récents numéros de la revue MISC dans lesquels Michel Iwochewitsch a écrits de très bons articles.

Cybercriminalité : le rapport de Symantec

Symantec vient de publier son Rapport ISTR qui rend compte chaque semestre des dernières menaces pesant sur les activités internet. même s’il ne peut prétendre à une vision parfaite de la cybercriminalité, ce rapport est très intéressant car il s’appuie notamment sur les données récupérées par 40 000 sondes dans 180 pays, 120 millions de PC et passerelles mais aussi 20 000 vulnérabilités enregistrées et plus de 2 millions de boites aux lettres emails qui représentent 30% du traffic aux Etats-Unis. Ces infos concernent donc avant tout les pays anglo-saxons mais la France n’est pas en reste.

Voici les principaux points clés présentés ce matin lors d’une conférence de presse :

La vulnérabilité des sites est sans doute l’indication la plus probante de cette nouvelle tendance. Il s’agit surtout ici de vulnérabilités dans le code propriétaire et le code client d’un site Web spécifique. Au cours du dernier semestre 2007, on a relevé 11 253 vulnérabilités de script intersites sur plusieurs sites.

Au cours du dernier semestre 2007, Symantec a constaté que les données d’identité, les cartes de crédit et les coordonnées bancaires représentaient 44% des marchandises disponibles sur les serveurs de l’économie souterraine. Les comptes bancaires figurent en tête des « articles » mis en vente sur les serveurs surveillés par Symantec pour 22% des marchandises disponibles, un chiffre en légère augmentation par rapport au premier semestre 2007 où ils atteignaient 21%.

Au cours du dernier semestre 2007, Symantec a détecté 499 811 nouveaux programmes malveillants. Ce chiffre représente une augmentation de 136% par rapport à la période précédente, où 212 101 programmes avaient été détectés, et une hausse de 571% par rapport au second semestre 2006. Au total, Symantec a détecté 711 912 nouvelles menaces au cours de l’année 2007, soit une augmentation de 468% par rapport aux 125 243 menaces relevées en 2006. Ce chiffre porte le nombre total de programmes malveillants identifiés par Symantec à 1 122 311 à la fin de l’année 2007. Ce qui signifie que les deux tiers environ des programmes détectés ont été créés au cours de l’année 2007.

Au cours de la seconde moitié de 2007, les chevaux de Troie représentaient 71% des 50
programmes malveillants les plus détectés, un taux en baisse puisque ce chiffre s’élevait à 73% au premier semestre. Sur l’ensemble des programmes ciblant des informations confidentielles détectés au cours de cette période, 76% étaient dotés d’un enregistreur de frappe et 86% disposaient de capacités d’accès à distance ; au premier trimestre 2007, ce dernier taux était de 88%.

Entre le 1er juillet et le 31 décembre 2007, 71% des emails contrôlés par la passerelle étaient des spams, soit une hausse de 16% par rapport au second semestre 2006 où 61% des emails avaient été classés comme spams. Les spams vantant le mérite de produits commerciaux atteignent 27% du volume total de spams sur cette période, de loin la catégorie la plus présente et une hausse certaine par rapport aux 27% du premier semestre 2007.

Antivirus nuls et tests d’antivirus nuls

Les codes malveillants évoluent. Le petit monde des analyses d’antivirus aussi. Deux sites de comparatifs, Anti-Malware Test Lab (http://www.anti-malware-test.com/) et AV-Comparatives.org, (http://www.av-comparatives.org/) ont décidé de s’associer. Leur objectif est de proposer d’ici la fin de cette année des comparatifs plus complets afin de mesurer plus précisément l’efficacité des antivirus. « Je suis sûr que notre partenariat sera utile au développement de l’industrie », explique Sergey Ilyin, fondateur de l’Anti-Malware Test Lab en Russie.

Mais cette annonce laisse dubitatif un autre Russe, Boris Sharov, Pdg de l’éditeur de sécurité Doctor Web (http://www.drweb.fr/). « Derrière le terme « partenariat » il faut comprendre « business » : nous ne participons plus aux tests de ces deux sites car ils demandent aux éditeurs d’antivirus de rembourser les frais occasionnés par leurs comparatifs. Notre position est claire : à la différence d’autres concurrents, nous ne paierons jamais des testeurs, quels qu’ils soient. »

Cette opinion est partagée par d’autres sociétés qui estiment que les comparatifs menés par ces deux sites ne sont pas assez sérieux : utilisation de faux virus, protocole de test obscur… « Les antivirus ne peuvent s’améliorer que grâce aux travaux de nos chercheurs et aux échanges d’informations entre éditeurs. Pas grâce à ces testeurs ! », indique Boris Sharov.

Malheureusement, la détection virale n’a pas évolué depuis de nombreuses années. Elle se trouve aujourd’hui dépassée par les pirates qui multiplient les virus inconnus et donc indétectables par les antivirus. Le marketing a aussi pris le dessus constatent aussi quelques éditeurs qui s’inquiètent de l’intérêt donné aux sites de comparatifs.

C’est la raison pour laquelle différents acteurs de la sécurité (parmi lesquels F-Secure, Symantec, Doctor Web) ont décidé de s’associer cet hiver afin de créer un standard officiel, l’Anti-Malware Testing Working Group. Mais ce standard aura peut-être du mal à voir le jour car certaines sociétés voient d’un mauvais œil l’arrivée de AV-Comparatives.org dans ce groupe de travail…

L’industrie de la sécurité informatique hésite donc entre la recherche et le marketing. D’où une baisse de performance des logiciels. Résultat, certains se montrent « nerveux ». Ils ont décidé « d’inclure dans leur contrat une clause interdisant l’utilisation d’outils automatiques ou semi-automatiques afin d’extraire ou de construire toute signature ou dispositif de détection à partir des résultats », nous a révélé un spécialiste. Pour éviter tout procès, les organismes qui feront des tests comparatifs devront donc masquer le nom des éditeurs ou monter un partenariat avec eux…

Antivirus : pourquoi les tests actuels sont dépassés

Andreas Marx, collaborateur pour l’organisme de tests antivirus AV-test.org, a envoyé un email cet après-midi pour justifier la création de tests plus évolués et mieux adaptés au piratage actuel.

« Les résultats des tests actuels sont non seulement moins significatifs, mais ils induisent en erreur l’utilisateur. La plupart des tests ont été développés il y a une quinzaine d’années ».

Or, la situation a évolué.

« Prenons l’exemple de l’automobile, nous n’avons pas uniquement des ceintures de sécurité comme système de protection. Il y a aussi les airbags et l’ABS. Or, personne aujourd’hui ne pense qu’un test axé uniquement sur les ceintures de sécurité donnerait une information suffisante sur la sécurité de la voiture ».

Pour les antivirus c’est la même chose.

« Au cours d’un colloque sur les tests d’antivirus à Reykjavik (Islande), les éditeurs d’antivirus notamment ont discuté des tests comparatifs et la facon de les améliorer.

Des représentants de Symantec, Kaspersky, F-Secure et Panda, et de AV-Test.org, ont décidé de créer un groupe de travail. Cette entité devrait non seulement publier des directives et des documents de travail de façon régulière sur les tests des AV mais aussi éduquer les usagers et les testeurs. La protection de produits devrait être aussi améliorée. »

D’autres discussions ont eu lieu lors de la conférence Virus Bulletin 2007 à Vienne (Autriche). Des représentants de Avira, PC Outils et Trend Micro se sont joints à l’initiative ».

La vérité sur les antivirus

Les pirates font peur. Mais ils rapportent aussi beaucoup d’argent aux éditeurs d’antivirus. Régulièrement, des tests comparatifs sont publiés dans la presse ou par des sites. Et à chaque fois, les services marketing de ces éditeurs trouvent une astuce pour déclarer leur produit meilleur que les autres. Une méthode qui n’est pas propre à ces éditeurs.

Dans l’univers de la télévision que je connais bien c’est la même chose : à chaque fois qu’un comparatif d’audience est publié, toutes les chaînes crient haut et fort qu’elles sont premières !

Revenons aux antivirus. Ces tests comparatifs sont en fait dépassés et ne sont utilisés que comme support marketing. D’ailleurs, pour obtenir une détection à 100% lors du test suivant, des éditeurs n’hésitent pas à ajouter à leur base de signatures virales tous les codes malveillants qu’ils n’avaient pas reconnue la première fois. Peu importe que parmi ces codes malveillants il y ait des codes qui ne soient pas… malveillants.

Ils sont dépassés car les pirates ne se contentent plus depuis belle lurette de balancer un virus connu de tous les antivirus. Encore que : on voit régulièrement d’anciennes versions de codes malveillants resurgir et mettre à mal quelques logiciels.

Aujourd’hui, les pirates (du moins les vrais « pros ») utilisent des méthodes sophistiquées pour ne pas être repérés. Ni par l’utilisateur de l’ordinateur (ou de l’entreprise) ni par l’antivirus.

Bref, les tests sont dépassés.

C’est la raison pour laquelle, quelques éditeurs d’antivirus ont décidé de mettre au point de nouveaux tests tenant compte de l’évolution des attaques virales. Nom de ce programme : l’Anti-Malware Testing Working. Les antivirus ne seront plus classés selon leur capacité à détecter ou non des virus mais aussi selon leur comportement face à des attaques ciblées.

Un programme intéressant, voire très ambitieux. Tous les experts reconnaissent que les tests actuels sont obsolètes. Mais cette annonce des éditeurs soulève aussi de nombreuses questions comme le fait remarquer Renaud Feil, Consultant Sécurité (HSC) :

« Ce type de résultat ne peut qu’encourager les grands éditeurs à choisir eux-mêmes le protocole de test devant faire autorité ! Cela peut se comprendre, car la plupart des jeux de tests utilisés contiennent des virus “périmés”, ou fonctionnant sur d’autres systèmes d’exploitation que celui sur lequel l’antivirus est installé.

Mais le problème est ailleurs. Cette obsession du 100% de détection des virus connus cache l’échec de la détection comportementale des programmes hostiles. Bloquer les virus “standards” qui forment le bruit de fond de l’Internet est aujourd’hui une problématique maîtrisée par la plupart des organisations et des particuliers. Il n’en est pas de même pour la détection des programmes hostiles utilisés dans des attaques plus ciblées et plus discrètes. Actuellement, n’importe quel antivirus du marché détecte un programme hostile connu… et laisse passer un programme hostile inconnu ou modifié pour échapper à cet antivirus, et ce malgré les promesses et les nombreux slogans marketing.

Le véritable défi qui attend les éditeurs d’antivirus est de bloquer les programmes hostiles inconnus. En ce sens, le protocole de test à définir devrait mettre à l’épreuve chaque antivirus face à des programmes de test réalisant des actions ostensiblement malveillantes et qui serait programmés pour l’occasion et de façon indépendante. Le challenge pour les équipes de R&D des éditeurs est de taille, mais il serait temps que les recettes générées par les ventes d’antivirus soient utilisées à bon escient ! »

Le discours de Renaud Feil a le mérite d’être clair et surtout indépendant.

Rendez-vous donc en 2008 pour voir les premiers tests et résultats…

Apple et les virus

Apple est victime de son succès. Séduites par l’iPod, beaucoup de personnes ont acheté un Mac à la place d’un PC. Les pirates ont bien sûr repéré cette évolution.

Résultat : les virus visant les MAC devraient se multiplier au fur et à mesure de l’augmentation du parc d’ordinateurs affichant le célèbre logo de la marque californienne.

Depuis quelques jours, un cheval de Troie s’attaque d’ailleurs au MAC OS X. C’est ce que prétend en tous les cas la société spécialisée dans la sécurité Intego. Ce code malveillant a été découvert sur plusieurs sites pornographiques sollicitant l’installation d’un codec vidéo particulier pour QuickTime.

Cette information n’est en fait pas une surprise. Tous les spécialistes en sécurité savent que les risques d’infection sont proportionnels au succès d’une application ou d’une technologie.

Donc, si demain de plus en plus de personnes utilisent un ordinateur sous Linux ou, à plus long terme, un smartphone pour faire leurs achats en ligne ou dans un magasin, il y aura de plus en plus de virus visant ces nouvelles cibles.

Des virus bientôt sur les iPhone ? Pas impossible…

Des antivirus qui ne protègent pas des virus

Le marché de la sécurité informatique est en plein boom. A force de crier au loup et d’annoncer qu’un méchant pirate se cache derrière le moindre site ou email, les internautes se sont équipés en masse.

Revers de la médaille : ce marché attire de nombreux éditeurs. Comme s’en sortir quand on n’a pas les énormes moyens de Symantec pour communiquer régulièrement dans la presse ?

En critiquant indirectement les autres. C’est ce que fait Panda qui vient de sortir une étude basée sur 1,5 million de PC de particuliers et 1200 réseaux d’entreprises. Une technique facile et toujours efficace. Tous les services marketing et les agences de com’ ont compris que pour attirer les journalistes il fallait pondre une étude… même creuse (comme se fut le cas pour moi récemment…).

Cette étude révèle donc que la plupart des entreprises et des particuliers étaient infectés alors qu’ils avaient un antivirus correctement mis à jour !!!

Quoi ? Les antivirus ne sont pas efficaces ? Mais c’est un scandale… En réalité, l’étude de Panda n’est pas un scoop. On sait depuis longtemps qu’on ne peut repérer que ce qu’on… connaît. Résultat, les antivirus ne peuvent détecter que des codes malveillants dont les signatures sont dans leurs bases.

Evidemment, les éditeurs nous sortent de nouvelles techniques – plus fumeuses qu’autre chose – pour affirmer qu’ils peuvent repérer des fichiers ou des comportements suspects.

Pour comprendre que c’est souvent du bidon, lisez le livre d’Eric Filiol* « Les techniques virales avancées » (Ed. Springer). Certes, son ouvrage n’est pas à la portée de tout le monde. Je n’ai d’ailleurs pas compris plus d’un tiers des pages ! Mais les propos sont suffisamment clairs et précis pour comprendre que les éditeurs d’antivirus ne sont pas prêts à combler leur retard.

Mais le résultat est toujours le même : comme aux échecs, les pirates ont toujours un coup d’avance.

Et l’étude de Panda (mais les autres éditeurs font la même chose) ne vise qu’un seul but : vendre ses produits sous prétexte que ceux des autres n’ont pas tout détecté.

* Petite auto publicité : il a écrit avec moi le livre « Cybercriminalité : enquête sur les mafias qui envahissent le web » paru en novembre 2006 aux Editions Dunod.