Evolution des motivations des pirates informatiques
Date : 03 Août 2005
Comme annoncé en début d’année (voir l’article du Bulletin Sécurité n°88 de janvier 2005), on assiste à une hausse très nette de la Cybercriminalité, reposant sur deux facteurs : d’un côté des motivations financières de la part des pirates ("hacking for money"), de l’autre une sophistication marquée des attaques. Il semble ainsi que les attaques virales massives, du type "Sasser" ou "Mydoom" soient en perte de vitesse (ou commencent à être passées de mode), au profit d’attaques plus insidieuses et plus ciblées.
De nos jours, il n’est pas rare qu’un pirate informatique se fasse payer pour réaliser certaines actions, comme :
- découvrir des vulnérabilités (les attaques visant les systèmes Microsoft Windows sont particulièrement "rentables"). Des sociétés comme "iDefense" (avec leur programme "Vulnerability Contributor Program") ou "3com" (avec son initiative " Zero Day") offrent en particulier ce genre de services.
- récupérer des numéros de cartes de crédit,
- fournir des réseaux de PC zombies ("botnets") : ces derniers sont ensuite utilisés pour relayer du spam, héberger des sites web malicieux (utilisés à des fins de "phishing" par exemple), ou lancer des attaques de type "Déni de Service Distribué".
L’actualité récente a ainsi souligné l’ampleur que peuvent prendre ces attaques avec l’exemple de la société "CardSystems" (voir l’article de "Vulnerabilite.com" du 24 juin 2005). Plus de 200 000 numéros de cartes de crédit auraient été divulgués dans cette affaire, vraisemblablement due à un manque de sécurité des serveurs de cette entreprise, cette dernière n’était en outre pas censée stocker ces informations, mais uniquement assurer leur transit.
Parmi ces attaques en recrudescence on retrouve également l’espionnage industriel (obtention de données confidentielles), qui prend désormais des formes diverses, en particulier celle de chevaux de Troie. Les pirates ont à leur disposition plusieurs méthodes afin de déposer ces derniers sur les systèmes visés, généralement ils essaient de convaincre les employés au sein d’une organisation d’installer le composant malicieux.
Un exemple d’espionnage industriel a eu lieu très récemment en Israël (affaire "Michael Haephrati" évoquée dans la "Une" du Bulletin "Juin 2005" du Cert-IST) : des propositions commerciales apparemment inoffensives et contenues sur des CD incluaient en réalité des chevaux de Troie. Ces derniers utilisaient des "keyloggers" pour envoyer les données collectées vers un système distant à Londres. Si dans ce cas, il s’agissait d’une rivalité industrielle, des menaces plus diffuses ont aussi été rapportées au Royaume-Uni et aux Etats-Unis durant les mois de juin et de juillet 2005 (voir la "Une" du présent Bulletin). Dans le cas du Royaume-Uni, ces attaques par chevaux de Troie avaient pour cible des réseaux gouvernementaux et privés anglais, qualifiés de "critical infrastructure" (voir à ce sujet le document du NISCC).
Il semble ainsi que les attaques virales, massives et médiatisées, du type "Sasser", soient désormais mieux appréhendées par les entreprises (temps de réaction pour l’application des mises à jour) et aussi mieux prises en compte juridiquement, ce qui expliquerait qu’elles soient quelque peu délaissées par les pirates. Les éditeurs d’anti-virus confirment cet état de fait, avec des rapports indiquant une hausse significative des attaques visant des données personnelles (chevaux de Troie essentiellement).
Face à ce phénomène, les éditeurs tentent de pallier ces attaques : Microsoft (cible privilégiée des pirates) a par exemple fait de nombreux efforts pour intégrer la sécurité au niveau de ses systèmes d’exploitation (avec XP SP2 et Windows 2003 Server notamment). Sur le front des attaques par "phishing" (voir l’évolution de ces techniques dans l’article du Bulletin Sécurité du mois de mars 2005), de nouvelles technologies (comme les barres d’outils des navigateurs, voir à ce sujet l’article de ZDNet) voient le jour afin de lutter contre ces attaques. Microsoft a également annoncé des fonctionnalités de lutte contre le "phishing" dans la nouvelle version de son navigateur Internet Explorer (IE version 7 prévu pour la fin d’année).
Afin de protéger les données d’une entreprise contre le vol, il est souhaitable de chiffrer les données sensibles mais aussi de mettre en place des outils permettant de surveiller les données qui quittent l’entreprise (pour empêcher par exemple la transmission de numéros de cartes de crédit) .
En conclusion, il est bon de rappeler que tous ces moyens de protection reposent sur une prise en compte générale de la problématique sécurité (les pirates ayant l’appât du gain comme raison supplémentaire pour développer de nouvelles technologies d’attaques). Cette prise de conscience passe bien sûr par la sensibilisation des utilisateurs, mais aussi des différents acteurs pouvant avoir un rôle à jouer dans ce domaine, comme les fournisseurs d’accès Internet (ISP). Les Etats-Unis en fournisse un exemple, avec une demande croissante faite aux ISP pour assainir leurs réseaux, infestés d’ordinateurs "zombies" (voir l’article de "CNET.com" concernant les ISP américains).
Pour plus d’information :
- Article de ZDNet du 6 juillet 2005 : "Hacking for dollars" : http://news.zdnet.com/2100-1009_22-5772238.html?tag=st.prev
- Article du "Wall Street Journal" du 18 juillet 2005 : "Information Security : Where the Dangers Are" : http://online.wsj.com/public/article/0,,SB112128442038984802-w4qR772hjUeqGT2W0FIcA3_FNjE_20060717,00.html