mardi 21 octobre 2008

Commodity hacking

Depuis la fin de 2007, il arrive fréquemment que des périphériques standard munis d’un système d’exploitation simple ou comportant un espace mémoire (commodities) soient vendus alors qu’ils sont vulnérables ou même infectés. Ces appareils vont des clés ou lecteurs USB aux équipements d’interconnexion, comme les routers classiques ou sans fil (router), en passant par les cadres photos numériques USB.
Ils sont commercialisés comme de banals articles de consommation en série («common off-the-shelf», COTS), généralement destinés à une utilisation immédiate, sans installation de logiciel ou de matériel. Si certains ont été infectés par inadvertance, d’autres sont fabriqués comme vecteurs de diffusion de maliciels. Cette forme de cybercriminalité porte le nom de «commodity hacking». Une distinction s’impose entre les appareils de stockage et les appareils réseau. Ces deux catégories de périphériques ont en commun d’inspirer aux consommateurs la confiance implicite de pouvoir s’en servir immédiatement (plug and play), sans contrôles de sécurité préalables. Une telle confiance en fait un moyen idéal pour la diffusion de maliciels.

Appareils de stockage

Les appareils usuels de stockage de données sont définis de manière très large. En font partie, d’une part, les clés USB ou les disques durs externes spécialement achetés pour la sauvegarde de données supplémentaires. D’autre part, cette catégorie comprend les cadres photos numériques, les téléphones, les lecteurs médias et beaucoup d’autres appareils dotés d’une puce de mémoire flash. De nombreux ordinateurs sont configurés pour ouvrir automatiquement les répertoires ou les fichiers lors du raccordement d’un tel périphérique USB. Or ces actions définies dans autorun.inf peuvent également servir à installer des logiciels malveillants.
Appareils réseau
la seconde catégorie de périphériques comprend les appareils reliés au réseau. Il peut s’agir d’appareils internes au réseau, comme les scanners et les imprimantes, ou alors de passerelles (gateway) et de routers classiques ou sans fil. Alors qu’un appareil interne est difficilement attaquable à partir d’Internet, les passerelles usuelles reliant le réseau local à Internet sont davantage exposées. Leur maintenance est assurée, dans les moyennes ou grandes entreprises, par des spécialistes des pare-feu et des routers. En revanche, les utilisateurs non professionnels se chargent généralement eux-mêmes de l’installation et de l’entretien de tels appareils. Or une fois installés, il est courant de les laisser fonctionner en permanence, sans contrôle. Cette accessibilité les rend intéressants pour les pirates. Le cas échéant, une attaque fructueuse permettra d’accéder à toute la bande passante dont ils disposent. Les consommateurs devraient garder à l’esprit que ces appareils possèdent généralement des systèmes d’exploitation (systèmes opérationnels) préinstallés. Ils sont produits en série avec des réglages standard, comme les droits d’administrateur que les pirates connaissent bien. La vulnérabilité des mots de passe par défaut est un problème connu de longue date.
Symantec a constaté en début d’année les premiers cas de «drive-by-pharming». Dans ce nouveau type d’attaque de maliciels, pour peu qu’un internaute ait visualisé une page Web incluant un code malveillant, son router domestique est manipulé pour le rediriger vers un faux site quand il introduit un lien URL donné. Cette méthode d’attaque épargne même au pirate le souci de deviner les mots de passe d’administrateur.
Tout porte à croire que les criminels s’en prendront toujours davantage aux appareils usuels dans le commerce. Des indices montrent qu’à côté des pourriels infectés et des infections par drive-by download, ils constituent un troisième moyen attrayant pour répandre des maliciels. Les consommateurs ne pourront donc plus se fier entièrement au fabricant. Lors de chaque achat, il faudra «préparer» l’appareil avant de s’en servir, en le soumettant par exemple à un contrôle antivirus ou en modifiant ses paramètres par défaut (mots de passe, etc.).
source: rapport MELANI 1er semestre 2008

mercredi 4 juin 2008

Fraudes à la téléphonie mobile - Seconde partie


En février dernier, je vous parlais du premier volet d'une étude co-écrite par Sébastien Bergier et Julien Cartier sur le thème des fraudes GSM. Entre-temps, la seconde partie a été publiée et je me fais un plaisir de recommander cette saine lecture à toute personne désireuse de mieux comprendre les défis et difficultés auxquels sont confrontées les instances de justice et police dans ce type de délit.


Grâce à la présentation d'un cas réel, les auteurs détaillent le processus de déclenchement des investigations, les méthodes utilisées dans le cadre de l'analyse criminelle ainsi que les limites du système judiciaire. Dans leur conclusion, et après avois mis en évidence les forces et faiblesses des organisations (providers télécoms) et des autorités de poursuites, ils plaident pour une meilleure collaboration et donnent quelques recommandations allant dans ce sens.
Merci à Sébastien pour m'avoir transmis ces informations et, pour tous ceux qui ne lisent pas règulièrement la RICPTS*, faites-moi signe si vous souhaitez obtenir plus d'informations.
*Revue Internationale de Criminologie et de Police Technique et Scientifique.

lundi 14 avril 2008

Cybercriminalité - Modèles économiques




Vous êtes-vous déjà demandé comment les hackers organisent financièrement leurs activités ? De quelle manière peut-on voler de l'argent sans que la victime ne s'en aperçoive ? Autrement dit, quel est le business model du parfait cybercriminel ?


Mardi 29 avril 2008 de 8h30 à 10h00
Hôtel Palaffite - Neuchâtel


C'est l'objet que nous traiterons dans le cadre d'un nouveau Business Breakfast qui reprend la formule à succès des nos précédent séminaires; à savoir un transfert de connaissances dans un court laps de temps afin d'assurer un maximum d'efficacité !

Après l'énoncé de quelques concepts criminologiques, nous vous présenterons par l'exemple les procédés auxquels recourent les hackers afin de rentabiliser au maximum leurs actions. Nous vous démontrerons pourquoi il est important de se préoccuper de la sécurité de nos données et celles de l'entreprise. Enfin, vous verrez quels sont les outils et les comportements à adopter afin d'arrêter de simplifier la vie des cybercriminels.


Inscription via le site de UDITIS

vendredi 14 mars 2008

4,6 millions de pigeons !


C'est le nombre de détenteurs de cartes M-Cumulus et Supercard. Migros et Coop, ces deux géants helvétiques de la distribution alimentaire, offrent à leurs clients un système de fidélisation des plus alléchants... Rendez-vous compte: 1 franc acheté et 1 point de fidélité ! Avec 2900 points, le client a droit à un magnifique service à thé ! Le super client qui aura dépensé CHF 9'800.- chez Coop se verra offrir une somptueuse trousse de toilette estampillée de la croix suisse! On croit rêver !!! On touche au nirvana...


Et ces clients, qu'ont-ils donné en échange de ces magnifiques récompenses ? - Tout simplement l'intégralité de leur vie privée ! Outre leurs données personnelles -telles que nom, prénom, âge, adresse et email - toutes leurs habitudes de consomation. Qui achète quoi ? Où et quand et pour combien de personnes ? A partir de là, il évidemment facile d'établir des profils et de suivre à la trace les aléas de la vie de chacun. M. Untel avait l'habitude de faire ses achats pour quatre personnes et un animal domestique. Voilà que depuis trois semaines, il ne se nourrit plus que de pizzas surgelées et a recommencé à acheter des préservatifs.... Y'aurait-il du changement dans son couple ? Pourrions-nous lui proposer un voyage en Thailande grâce à notre voyagiste attitré ?


Vous pensez que j'exagère ? Et bien non ! Pas le moins de monde. Pour preuve, il n'est pas inutile de lire les conditions générales détaillant les utilisations possibles des données par l'émetteur de la carte. Tout y passe:


  • Utilisation à des fins marketing (c'est le but me direz-vous)

  • Analyse de consommation et établissement de profils d'acheteurs

  • Suivi des transactions électroniques et des visites du site de l'entreprise

  • Transmission des données à des sociétés partenaires

  • Transmission des données à l'étranger

  • Transmission des données aux autorités pénales.

Ce dernier point n'est pas des moindres. Dans le cas, récement décrit dans ce blog, d'un fonctionnaire accusé d'avoir détourné l'argent pour des pupilles dont il avait la responsabilité, l'instruction pénale a demandé (et obtenu) les données liées à sa carte M-Cumulus. Celles-ci ont permis à l'accusation de retracer les achats que le prévenu a effectué avec l'argent subtilisé ! Ce cas n'est pas isolé puisque la direction de Migros affirme que de telles transmisions de données sont fréquentes (200 à 300 fois par année).


Certes, celui qui n'a rien à se reprocher ne risque évidemment rien de tout cela. Néanmoins, il est légitime de se poser la question de savoir si la quantité et la qualité d'informations transmises par les clients sont correctement rémunérées. A mes yeux, il est évident que non. Les distributeurs profitent de la naïveté des consommateurs pour lesquels le regroupement et l'analyse de cette masse d'informations restent très abstrait. L'échange n'est donc à mes yeux pas équitable. L'entreprise va pouvoir optimiser sa gestion de stock, l'approvisionnement de ses magasins et planifier ses promotions en fonction des habitudes de consommation. A l'échelle de ces deux mastodontes qui réalisent ensemble 38 milliars de chiffre d'affaires annuel, c'est peu cher payé que d'offrir quelques babioles pour obtenir une information aussi précieuse.

mercredi 20 février 2008

Tout savoir sur les fraudeurs à la téléphonie mobile !


Une brillante analyse de la situation actuelle en matière de fraudes GSM a été réalisée par MM Sébastien Bergier et Julien Cartier. Parue dans la "Revue internationale de criminologie et de police technique et scientifique", la première partie de cet étude nous dévoile les pratiques des fraudeurs en détaillant leurs objectifs et les modi operandi. A chaque tye de fraude sont également expliqués les moyens de détection et les contre-mesures.
Après une brève mais nécessaire introduction sur les schémas et produits GSM, on y découvre avec grand intérêt les pratiques de ces criminels parfois ingénieux mais en tout cas tous cupides ! Et les montants engrangés font froid dans le dos ! Que ce soit pour lutter face à la fraude à l'activation, celle liée aux numéros à valeur ajoutée ou encore la fraude au roaming, les opérateurs sont contraints d'allouer d'importantes ressources dans la mise en place de FMS (Fraud Management System).
Ce que cette étude met également en évidence, c'est l'importance cruciale de la collaboration entre les opérateurs privés et les autorités de poursuite. Faute de quoi, les fraudeurs auront toujours plus de latitude pour réaliser leurs méfaits en utilisant des technologies dont personne ne saurait aujourd'hui se passer et en profitant des nombreuses législations concernées (ne serait-ce que par l'internationalisation des délits commis).
Du reste, en co-signant cet article, les auteurs montrent par l'exemple les effets concrets d'une bonne collaboration entre secteurs privé et public puisque leur métier réciproque les place de chaque côté de la barrière.
Pour plus d'informations sur ce sujet ou pour obtenir une copie de l'étude, n'hésitez pas à me laisser un commentaire et vos coordonnées. Je ferai suivre !

jeudi 24 janvier 2008

Sale temps pour la Société Générale



Le moins que l'on puisse dire, c'est que la troisième banque de France traverse une phase difficile! Comme presque tous les établissements financiers, la Société Générale est confrontée à la crise du secteur immobilier américain. En ce qui la concerne, son résultat du quatrième trimestre 2007 a été amputé de 2 millards d'euros de dépréciations supplémentaires de ses actifs immobiliers. Mais ce n'est pas tout... Et de loin pas !

Une fraude d'une ampleur exceptionnelle a été découverte le 19 janvier dernier au sein de son personnel. Selon le communiqué de presse de la banque, un trader en charge d'activités de couverture de futures "plain vanilla" sur des indices boursiers européens a pris des positions directionnelles frauduleuses courant 2007 et début 2008. Outrepassant ses autorisations, il a su, grâce également à sa parfaite connaissance des procédures de contrôle, dissimuler ses positions au moyen d'un montage élaboré de transactions fictives. Résultat pour la banque: une fraude colossale de 4,9 milliards d'euros que le groupe a dû comptabiliser sur son exercice 2007 !

Il s'agit de la plus grande fraude dans l'histoire de l'économie mondiale. Apparamment, son auteur, qui a reconnu les faits, a agit seul. Il fait l'objet d'une procédure de licenciement et une plainte pénale a bien évidemment été déposée à son encontre. Daniel Buton, le directeur de la banque, a offert sa démission au Conseil d'administration qui l'a rejetée, lui renouvelant - ainsi qu'à l'équipe de direction - son entière confiance. Moins de tolérance par contre envers les responsables de la révision qui devront quitter le Groupe !

Malgré ses énormes pertes, la Société Générale devrait publier, le 21 février 2008, son résultat d'exercice en annonçant un léger bénéfice annuel d'environ 600 à 800 millions d'euros. Bien loin du résultat de l'exercice précédent qui s'élevait à 5.2 milliards !

mardi 8 janvier 2008

Cybercriminalité - vidéo LCI.fr


Un reportage intéressant sur les moyens de lutte engagé par Kaspersky Lab en Russie pour lutter contre la cybercriminalité. La vidéo comporte également une séquence explicative sur les botnets ou PC zombies.

Cliquez sur le titre de ce message pour visionner la vidéo.

La stratégie de sécurité de votre entreprise prévoit-elle le renseignement des données ?