La Cybercriminalité Eric WIES. Luniversité Paul VERLAINE - METZ Université pluridisciplinaire 14...

La Cybercriminalité

Eric WIES

L’université Paul VERLAINE - METZ• Université pluridisciplinaire

• 14 000 étudiants• 11 composantes• 6 sites

• Formations en informatique• UFR Mathématiques Informatique Mécanique

• Formation Master 2• Sécurité des systèmes d’informations et de communications

• Vers l’Université de Lorraine (UDL)• http://www.univ-metz.fr

Le CLUSIF• Club de la Sécurité des Systèmes d’Informations Français• Composition

• 600 membres (50 % Offreurs, 50 % Utilisateurs)• 10 administrateurs

• Fonctionnement• Groupes de travail

• Panorama de la Cybercriminalité, Sécurité physique• Méthodes et Normes (MEHARI, ISO 27 000)

• Livrables• Documents disponibles immédiatement aux adhérents• Délais de 6 mois pour les autres

• http://www.clusif.asso.fr 3

Cyber crimes ?

Crime ou délit Utilisant les technologies de l'information

Comme moyen et but pour créer un préjudiceCyber crime dans le monde virtuel

Comme média pour créer un préjudiceCyber crime dans le monde réel

Cyber crime ?Préjudices réelsVictimes réelles

Cyber crimes ?

A qui profite le crime ?Actes isolés ?

Une personneUn groupe de personnes

Actes commandités ?Faire de l'argentBlanchir de l'argentUtiliser une puissance financière occulte

Groupes mafieux, terroristes, extrémistesGroupes de pressions (éco-terroristes)

Intérêts économiques (intelligence économique)

Cyber crimes ?• Quelle réalité ?

• Des exemples• Impacts virtuels• Impacts réels• Quand l’utilisateur croit bien faire ?

• Quels impacts sur nos systèmes d’informations• On se posera la question à chaque fois

CYBER CRIMES : QUELQUES EXEMPLES

Les nouvelles technologies comme but !

Usurpation d'identité numérique

Demander avec « gentillesse » Le nom d'utilisateurEt son mot de passePhishing

Dans la plupart des casC'est un ami qui vous invite à le rejoindreC'est une offre de service gratuit

Retrouver ses amisSavoir qui nous a « bloqué » sur une messagerie

Usurpation d'identité numérique

Buts recherchésSe connecter à votre placeObtenir de meilleures informations sur vous

Utiliser l'adresse « msn » pour obtenirLes identifiants bancaires

Transmettre des spamTransmettre des virusTransmettre des invitationsEt tout ça, grâce à vous !

Usurpation d'identité numérique : Phishing

Phishing (pêche aux informations)Obtenir l'informationEn envoyant un mail

Qui semble provenir d'une institutionBanque, Entreprise (Ebay, PayPal, La Fnac)

Qui vous demande de changer vos informationsEn suivant un lien

Si vous cliquez sur le lienLa page affichée a tout de l'originaleMais c'est une copie !

Usurpation d'identité numérique : Phishing

Cher client,

Bonjour

A cause des inventaires de cette annee, nous vous prions de nous excuser de vous demander de bien vous identifier afin que nous puissions completer notre inventaire, en plus chaque compte non identifie d'ici 48h sera desactive automatiquement.

Veuillez-vous identifier mesdames et messieurs en cliquant sur le lien ci-dessous, si le lien ne marche pas, essayez de le copier tout simplement dans une nouvelle fenкtre :

www.banquepopulaire.fr

Avertissement!! : Ce lien ne fonctionnera plus d'ici 48h.

Nous vous remercierons de votre collaboration et comprehension, mais l'amelioration de nos services vous interesse aussi.

Aucune somme d’argent ne sera retiree de votre compte, c'est juste un simple inventaire necessaire pour vous assurer un bon avenir.

Diffamations, Dénigrements

Ou comment se défoulerGrâce aux blogs, Ou simplement par mail

Les blogsSouvent considérés comme « journal intime »Sert de défouloirOn y trouve

N’importe quelle image, texte ou vidéo

Dans la plupart des casPersonnes mises en cause à leur insuNon respect du droit à l'image, de la protection des mineurs

Parfois on aboutitA la diffusion de photos voléesA la réputation virtuelle d'une personne

Faux Antivirus

Une pageVous indique que votre système est infectéVous propose de télécharger un antivirus

L'anti-virusVous indique l'infectionEt vous invite à acheter la version payante

En réalitéVotre système n'avait rienMais maintenant il est bien contaminé !

Faux Antivirus

Faux Programmes

Vol de données

Un virus s'installe sur votre machineLes fichiers deviennent chiffrés et illisiblesOn vous demande

D'acheter un programme pour rétablir les donnéesDe payer une rançon pour rétablir les données

On vous déconseilleDe tenter une réparation vous-mêmeD'appeler les forces de l'ordre

On vous proposeUne aide par mél si nécessaire !

Vol de données

Espionnage

Dispositif logiciel ou matérielPour enregistrer ce que vous tapezA votre insuPeut enregistrer aussi bien

L'écranLe clavierL'image de votre webcam

AttentionDétection du dispositif matériel très difficile

Espionnage : Logiciels

Espionnage : Matériel

Réseaux Sociaux• Les réseaux sociaux sont très installés

• Recherche d’anciens amis (Copains d’avant)• Micro blogging (twitter)• Groupes professionnels (linked in)• Groupes de connaissances (facebook)

• On y raconte sa vie personnelle• Mais aussi professionnelle !

• Impacts• Sur la vie privée• Sur la vie professionnelle• Organisations de vols en réunion

• Rappels• Ce ne sont pas des sites caritatifs !

Réseaux Sociaux :Impacts sur la vie privée• Tout ce que vous mettez, est partagé avec

• Vos amis• Les amis de vos amis• Et tous les autres aussi !

• Dépends des réglages sur les sites• Mais dans tous les cas

• Le contenu appartient désormais au site• Il peut le réutiliser, Il peut le revendre• Il ne le détruira jamais !

• Ce contenu• Vous définit !• Vous localise ! 24

Réseaux Sociaux :Impacts sur la vie pro.• Comportement des recruteurs

• 45 % consultent les réseaux sociaux• 35 % renoncent à une embauche après cette consultation

• Cas d’écoles• On découvre qu’un collaborateur recherche un autre emploi

• Alors qu’il vient de demander une augmentation !• Fonction dans l’entreprise

• Alors que le contrat de travail demande de la discrétion• Arrêt maladie et réseau social

• Arrêt stipule travail sur ordinateur interdit• Dénigrement de collègues

• Sur un mur facebook• Affaire Domino Pizza 25

Réseaux Sociaux :Organisation de réunion• Permet de contacter un grand nombre de personnes

• Qui vont effectuer la même action au même moment• Cas d’écoles

• Tout le monde se fige• Rendez vous dans un lieu, et à l’heure dite, Plus personne ne bouge !

• Apéritif géant• Dans un lieu public, Chez un particulier

• Rendez-vous au Monoprix de RODEZ• 150 personnes arrivent à la même heure, Vols et dégradations

• Manifestation contre la suppression d’un mois de vacances

BotNet

Réseau de machinesUtilisé pour une attaque informatiquePeut regrouper des milliers de machinesLes machines sont des zombies

On ne sait pas qu'elles font partie du réseauJusqu'au moment de l'attaque

Vous pouvez être membre d'un botnetSans le savoirJuste après avoir installé un programme

BOTNET

BOTNET :Exemple

Cartes bancaires

Technologies d'une carteNuméro, Piste magnétique, Puce

Copier une carte1 des 3 éléments suffitPas forcément technologique

Ce problème a un nom : CARDINGPar simple lecture

On recopie à la main, On utilise un sabotPar simple demande

PhishingPar naïveté

Un site pour vérifier que votre numéro n'est pas volé ! 30

Cartes bancaires : Numéro

Cartes bancaires : Pistes magnétiques/Puces

Pour lire la piste/ la puceS'interposer avec un lecteur standard

L'utilisateur ne remarque pas le changement

Utiliser un lecteur/copieurAttention

Pour utiliser la puce il faut le codeCapturer le code

Par caméraPar faux clavier

Cartes bancaires : Pistes magnétiques/Puces

Attaques en réputation

Grâce aux blogs, Photos et vidéos voléesLa réputation peut être entachéeMême si c'est de la désinformation

Textes faussésPhotos TruquéesVidéos remontées

Plus subtilOn vous verse des dons provenant

De comptes bancaires piratés !

Attaques en réputation

Comment faire tomber un tombeur de spam (Castle Cops) ?On lui verse de l'argent issu de comptes piratésOn l'oblige à s'expliquer publiquementOn l'accuse de fraudeOn l'attaque en justice

Ceux qui ont eu leur compte débité !

Castle Cops obligé de refuser des dons !Il ne vit que par des dons !

Manipulation de cours de bourses

Il existe des forums de spécialistesOn peut prendre conseil et avisPour gérer son portefeuille boursier

Dans un forumUn nouveau spécialiste donne des infosEt il a acheté des actions d'une sociétéIl affirme que la société va faire beaucoup de bénéfices

Tout le monde lui rachète ses actions

Et finalement la société ne fait pas de bénéfices !

Les architectures scadaCommandent les machines outilsJusqu'à la distribution d'eau et d'énergie

Jusqu'à maintenantLes « Scada » n'étaient pas reliées au NetMais les machines qui les contrôlent le sont

Attention les systèmes ScadaSont basés sur des systèmes connusMais ne peuvent pas être mis à jour

2003Vers sur un site nucléaire (USA)Vers sur les GAB (USA)Vers sur la signalisation des trains (USA)

2005Vers causant l'arrêt de 13 usines

2007Bombe logique dans la distribution d'eau

2008Déraillement d'un train (Pologne)

QUAND LA BONNE VOLONTÉ NE SUFFIT PLUS

Quelques cas réels pour augmenter la réflexion !

Cas réel : Changement de photocopieur• Le fournisseur de photocopieurs demande

• Login et mot de passe de l’administrateur• Pour permettre au technicien d’intervenir

• L’opérateur remplit le document• Mais ne le renvoie pas

• Il demande le support du service informatique• Car il ne connait pas le mot de passe !

Cas réel : Banque de France• Contrat de travail de BDF

• Demande de la discrétion• Utilisation de l’internet dans la BDF

• Interdiction d’utiliser les réseaux sociaux• Mais sur les réseaux sociaux

• Très grands nombres de personnes• On trouve leurs données personnelles

• Adresse, famille, loisirs• Et leur progression dans la BDF

Cas réel : Cour d’appel de Metz• L’entrée est restreinte

• pour les visiteurs• Mais non contrainte

• pour les personnels• On peut trouver

• Les personnels, • Leur adresse, • Leurs hobbies, • Leurs fonctions dans la cour d’appel

• Comment entrer dans la cour d’appel ?• Comment faire entrer un matériel ?

Cas réel : Visite d’une usine• Usine d’un grand constructeur informatique• Tous les travailleurs sont contraints

• Portiques, • Fouilles, • Vidéo surveillance

• Mais les visiteurs gardent leur téléphone• Enregistrement de son• Photos, • Vidéos• Et le tout sur internet en temps réel !

Cas réel :Vie d’entreprise / privée• Téléphone d’entreprise

• Ligne d’entreprise• Mais terminal personnel !• Mélange des données !

Cas réel :Utilisation de Yahoo Groupes• Les plates formes d’entreprise

• Sont réglementées• Sont contraintes• Nécessitent des accords

• Les plates formes communautaires• Utilisables facilement• Sans contrainte• Sans limite !

• Appartenance des documents?

Cas simulé : Collecte d’informations• Action Discrète – 21 nov 2010• Groupe humoristique de Canal +

• Propose une vidéo (en caméra cachée)• http://www.canalplus.fr/c-humour/pid1780-c-action-

discrete.html• Google Inside

• Cartographie de l’intérieur des bureaux• Mesure d’hygrométrie

• Place un enregistreur dans une salle de réunion• Père Noël

• Offre une clé USB à chaque journaliste !46

QUESTIONS ?

eric.wies@univ-metz.freric.wies@clusif.asso.fr

La Cybercriminalité Eric WIES. Luniversité Paul VERLAINE - METZ Université pluridisciplinaire 14...

Documents

Criminalité organisée, terrorisme et CyberCriminalité

Cybercriminalité: comment agir dès aujourd'hui

LUniversité Mc Guill (prononcer Mégil) Entrée de lUniversité

La cybercriminalité: Enjeux et Pespectives

Cybercriminalité et contrefaçon

Les deux « arts poétiques » de Paul Verlaine · 3. Paul Verlaine, les Poètes maudits. Première série, dans Œuvres com-plètes de Paul Verlaine. Tome premier. Introduction d'Octave

483 Verlaine

UNIVERSITÉ PAUL VERLAINE-METZ BAO Lei … · THESE Présentée à UNIVERSITÉ PAUL VERLAINE-METZ Par BAO Lei Pour l’obtention du grade de: Docteur de l’Université Paul Verlaine-Metz

VERLAINE RIMBAUD

Présentation pdf sur la cybercriminalité

Panorama 2010 de la cybercriminalité

Ppt Verlaine

Verlaine Documents

Paul Verlaine - Poèmes Saturniens

Verlaine Poemes Saturniens

Cybercriminalité college & lycee

Fêtes Galantes Paul VERLAINE

Cybercriminalité, experience judiciaire ivoirienne

LUniversité Rennes 2 Présentation de luniversité

L'INSPIRATION DIABOLIQUE DE VERLAINE