En 2010, le FBI et d’autres services de police dans le monde ont travaillé conjointement pour mettre fin à l’activité de criminels qui avaient dérobé quelque 70 millions de dollars à des banques américaines.
L’arme choisie par le gang n’était ni la mitrailleuse ni le perceur de coffre‐fort. Le gang a eu recours au cheval de Troie ZeuS pour accéder aux comptes des clients. L’activité de ce gang renvoie à une tendance plus vaste dans le monde de la sécurité. L’époque où les pirates s’adonnaient à leur activité pour le plaisir est révolue. Aujourd’hui, dans le monde de la cybercriminalité, les pirates sont largement motivés par l’obtention de numéros de carte de crédit, d’identifiants de messagerie électronique, d’identifiants de connexion à des sites Web bancaires et de toute autre information monnayable rapidement.
Sur ce marché des informations obtenues de manière illicite, on a assisté à l’émergence d’une combinaison d’acteurs indépendants et de groupes organisés motivés par l’argent et, dans certains cas, la politique. Que la cybercriminalité soit le fait de militants ou de groupes de cybercriminels s’attaquant à des sociétés de courtage, deux choses sont sûres : ces groupes ont remis en question la sécurité des entreprises et il est indispensable de les connaître pour les arrêter.
Une cybercriminlaité protéiforme
Comprendre la structure de ces groupes permet aux experts de la sécurité de leur faire obstacle en ciblant divers maillons de la chaîne de leurs activités. Cela peut aller de la surveillance des sites où des numéros de cartes de crédit sont vendus au ciblage de FAI (fournisseurs d’accès Internet) malveillants connus pour leur complaisance à l’égard des groupes criminels lors d’opérations telles que les attaques contre McColo et 3FN/Pricewert.
Il faut savoir que les groupes de cybercriminels sont plus ou moins nombreux et prennent des formes très diverses. Certains se livrent même à des activités d’entreprises légitimes, telles que celles d’une équipe d’assurance qualité ou de chefs de projet. D’autres comptent parmi leurs membres des individus qui ont des compétences en marketing. Ils peuvent propager facilement des menaces et des informations sur les réseaux sociaux et forums, ainsi que leurs botnets et logiciels malveillants.
Bien souvent, ces différentes équipes travaillent indépendamment et sont menées par un individu qui supervise l’ensemble de l’activité. Cependant, tous les acteurs de cette économie souterraine ne font pas partie d’un groupe. Certains restent autonomes et louent des parties de botnets qu’ils ont assemblés. D’autres gagnent leur vie en exploitant leurs talents, à savoir, en découvrant de nouvelles failles et en proposant des outils d’attaque à d’autres pirates. Ces failles, connues dans le monde de la sécurité sous le nom de zero‐day, constituent de véritables mines d’or pour ceux qui les repèrent et les exploitent. Selon le logiciel ciblé et sa fiabilité, l’exploitation de ces failles peut rapporter de 10 000 à 500 000 dollars sur le marché noir.
Des failles zero‐day et moins récentes peuvent être exploitées dans des « toolkits » proposés sur des forums en ligne à partir de seulement 40 dollars, le prix des versions haut de gamme pouvant atteindre plusieurs milliers de dollars. Étant donné que de nombreux utilisateurs n’installent pas les nouvelles versions de leurs logiciels, ces kits exploitent des failles bien connues plutôt que les failles zero‐day.
Apprendre à repérer les courriels suspects
Parfois, les pirates ciblent des sites Web légitimes et redirigent les internautes vers des sites malveillants où le kit est installé. L’effet de ces kits d’attaque est considérable.
En général, les pirates recherchent des données monnayables. Toutefois, actuellement, les numéros de cartes de crédit se classent aux côtés des identifiants Facebook et de messagerie électronique dans les boutiques virtuelles des pirates informatiques. Cela vient en partie du fait que les banques ont recours à plusieurs formes d’authentification pour vérifier les transactions en ligne, ce qui contraint les pirates à disposer d’informations plus complètes. Sachant cela, les cybercriminels ont fait évoluer leurs logiciels malveillants. Ceux-ci prévoient des attaques par injection pour obtenir des informations telles que le numéro IMEI (International Mobile Equipment Identity, identité internationale d’équipement mobile) d’un téléphone portable. Il suffit alors aux pirates de contacter l’opérateur de l’abonné pour se faire envoyer une nouvelle carte SIM (Subscriber Identity Module). Avec cette carte SIM, les pirates peuvent intercepter les communications entre la banque et le client qui, initialement, visent à empêcher la fraude.
Il n’est donc pas surprenant que plus les pirates disposent d’informations sur une cible, plus leur attaque est personnalisée et plus leurs chances de succès sont élevées. Par exemple, un individu qui s’appelle John Smith est plus enclin à lire un e‐mail qui lui est adressé nommément qu’un e‐mail commençant par « Attention, Monsieur ». Cette technique appelée spear phishing a été employée ces dernières années dans certaines des plus importantes cyber‐attaques visant de grandes entreprises, notamment l’attaque très médiatisée dont a été victime RSA, la division sécurité d’EMC. La lutte contre la cybercriminalité nécessite, en partie, d’apprendre aux utilisateurs à repérer les e‐mails suspects, à commencer par ceux qui demandent des informations inhabituelles ou qui contiennent des mots‐clés incitant à télécharger une pièce jointe potentiellement malveillante.
Les pirates se concentrent sur les données ; il est donc impératif que les entreprises fassent de même. Elles doivent déterminer quelles sont leurs données critiques et les protéger avec des solutions appropriées, notamment des pare-feu, des systèmes de chiffrement et des technologies de surveillance de l’activité. Pour citer le célèbre stratège militaire chinois Sun Tzu, rappelons que « si vous ne connaissez ni votre ennemi ni vous-même, vous serez toujours en danger ».
Commentez