La Cybercriminalité Eric WIES. Luniversité Paul VERLAINE - METZ Université pluridisciplinaire 14 000 étudiants 11 composantes 6 sites Formations en informatique

La Cybercriminalité

Eric WIES

L’université Paul VERLAINE - METZ• Université pluridisciplinaire

• 14 000 étudiants• 11 composantes• 6 sites

• Formations en informatique• UFR Mathématiques Informatique Mécanique

• Formation Master 2• Sécurité des systèmes d’informations et de communications

• Vers l’Université de Lorraine (UDL)• http://www.univ-metz.fr

2

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Le CLUSIF• Club de la Sécurité des Systèmes d’Informations Français• Composition

• 600 membres (50 % Offreurs, 50 % Utilisateurs)• 10 administrateurs

• Fonctionnement• Groupes de travail

• Panorama de la Cybercriminalité, Sécurité physique• Méthodes et Normes (MEHARI, ISO 27 000)

• Livrables• Documents disponibles immédiatement aux adhérents• Délais de 6 mois pour les autres

• http://www.clusif.asso.fr 3

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Cyber crimes ?

Crime ou délit Utilisant les technologies de l'information

Comme moyen et but pour créer un préjudiceCyber crime dans le monde virtuel

Comme média pour créer un préjudiceCyber crime dans le monde réel

Cyber crime ?Préjudices réelsVictimes réelles

4

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Cyber crimes ?

A qui profite le crime ?Actes isolés ?

Une personneUn groupe de personnes

Actes commandités ?Faire de l'argentBlanchir de l'argentUtiliser une puissance financière occulte

Groupes mafieux, terroristes, extrémistesGroupes de pressions (éco-terroristes)

Intérêts économiques (intelligence économique)

5

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Cyber crimes ?• Quelle réalité ?

• Des exemples• Impacts virtuels• Impacts réels• Quand l’utilisateur croit bien faire ?

• Quels impacts sur nos systèmes d’informations• On se posera la question à chaque fois

6

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

CYBER CRIMES : QUELQUES EXEMPLES

Les nouvelles technologies comme but !

7

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Usurpation d'identité numérique

Demander avec « gentillesse » Le nom d'utilisateurEt son mot de passePhishing

Dans la plupart des casC'est un ami qui vous invite à le rejoindreC'est une offre de service gratuit

Retrouver ses amisSavoir qui nous a « bloqué » sur une messagerie

8

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Usurpation d'identité numérique

Buts recherchésSe connecter à votre placeObtenir de meilleures informations sur vous

Utiliser l'adresse « msn » pour obtenirLes identifiants bancaires

Transmettre des spamTransmettre des virusTransmettre des invitationsEt tout ça, grâce à vous !

9

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Usurpation d'identité numérique : Phishing

Phishing (pêche aux informations)Obtenir l'informationEn envoyant un mail

Qui semble provenir d'une institutionBanque, Entreprise (Ebay, PayPal, La Fnac)

Qui vous demande de changer vos informationsEn suivant un lien

Si vous cliquez sur le lienLa page affichée a tout de l'originaleMais c'est une copie !

10

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11


11

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11


Cher client,

Bonjour

A cause des inventaires de cette annee, nous vous prions de nous excuser de vous demander de bien vous identifier afin que nous puissions completer notre inventaire, en plus chaque compte non identifie d'ici 48h sera desactive automatiquement.

Veuillez-vous identifier mesdames et messieurs en cliquant sur le lien ci-dessous, si le lien ne marche pas, essayez de le copier tout simplement dans une nouvelle fenкtre :

www.banquepopulaire.fr

Avertissement!! : Ce lien ne fonctionnera plus d'ici 48h.

Nous vous remercierons de votre collaboration et comprehension, mais l'amelioration de nos services vous interesse aussi.

Aucune somme d’argent ne sera retiree de votre compte, c'est juste un simple inventaire necessaire pour vous assurer un bon avenir.

12

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

http://populaire2secure-data.com/pps/data/system/infos/database/www.banquepopulaire.fr/

Diffamations, Dénigrements

Ou comment se défoulerGrâce aux blogs, Ou simplement par mail

Les blogsSouvent considérés comme « journal intime »Sert de défouloirOn y trouve

N’importe quelle image, texte ou vidéo

Dans la plupart des casPersonnes mises en cause à leur insuNon respect du droit à l'image, de la protection des mineurs

Parfois on aboutitA la diffusion de photos voléesA la réputation virtuelle d'une personne

13

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Faux Antivirus

Une pageVous indique que votre système est infectéVous propose de télécharger un antivirus

L'anti-virusVous indique l'infectionEt vous invite à acheter la version payante

En réalitéVotre système n'avait rienMais maintenant il est bien contaminé !

14

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Faux Antivirus

15

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Faux Programmes

16

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Vol de données

Un virus s'installe sur votre machineLes fichiers deviennent chiffrés et illisiblesOn vous demande

D'acheter un programme pour rétablir les donnéesDe payer une rançon pour rétablir les données

On vous déconseilleDe tenter une réparation vous-mêmeD'appeler les forces de l'ordre

On vous proposeUne aide par mél si nécessaire !

17

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Vol de données

18

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Vol de données

19

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Espionnage

Dispositif logiciel ou matérielPour enregistrer ce que vous tapezA votre insuPeut enregistrer aussi bien

L'écranLe clavierL'image de votre webcam

AttentionDétection du dispositif matériel très difficile

20

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Espionnage : Logiciels

21

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Espionnage : Matériel

22

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Réseaux Sociaux• Les réseaux sociaux sont très installés

• Recherche d’anciens amis (Copains d’avant)• Micro blogging (twitter)• Groupes professionnels (linked in)• Groupes de connaissances (facebook)

• On y raconte sa vie personnelle• Mais aussi professionnelle !

• Impacts• Sur la vie privée• Sur la vie professionnelle• Organisations de vols en réunion

• Rappels• Ce ne sont pas des sites caritatifs !

23

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Réseaux Sociaux :Impacts sur la vie privée• Tout ce que vous mettez, est partagé avec

• Vos amis• Les amis de vos amis• Et tous les autres aussi !

• Dépends des réglages sur les sites• Mais dans tous les cas

• Le contenu appartient désormais au site• Il peut le réutiliser, Il peut le revendre• Il ne le détruira jamais !

• Ce contenu• Vous définit !• Vous localise ! 24

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Réseaux Sociaux :Impacts sur la vie pro.• Comportement des recruteurs

• 45 % consultent les réseaux sociaux• 35 % renoncent à une embauche après cette consultation

• Cas d’écoles• On découvre qu’un collaborateur recherche un autre emploi

• Alors qu’il vient de demander une augmentation !• Fonction dans l’entreprise

• Alors que le contrat de travail demande de la discrétion• Arrêt maladie et réseau social

• Arrêt stipule travail sur ordinateur interdit• Dénigrement de collègues

• Sur un mur facebook• Affaire Domino Pizza 25

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Réseaux Sociaux :Organisation de réunion• Permet de contacter un grand nombre de personnes

• Qui vont effectuer la même action au même moment• Cas d’écoles

• Tout le monde se fige• Rendez vous dans un lieu, et à l’heure dite, Plus personne ne bouge !

• Apéritif géant• Dans un lieu public, Chez un particulier

• Rendez-vous au Monoprix de RODEZ• 150 personnes arrivent à la même heure, Vols et dégradations

• Manifestation contre la suppression d’un mois de vacances

26

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

BotNet

Réseau de machinesUtilisé pour une attaque informatiquePeut regrouper des milliers de machinesLes machines sont des zombies

On ne sait pas qu'elles font partie du réseauJusqu'au moment de l'attaque

Vous pouvez être membre d'un botnetSans le savoirJuste après avoir installé un programme

27

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

BOTNET

28

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

BOTNET :Exemple

29

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Cartes bancaires

Technologies d'une carteNuméro, Piste magnétique, Puce

Copier une carte1 des 3 éléments suffitPas forcément technologique

Ce problème a un nom : CARDINGPar simple lecture

On recopie à la main, On utilise un sabotPar simple demande

PhishingPar naïveté

Un site pour vérifier que votre numéro n'est pas volé ! 30

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Cartes bancaires : Numéro

31

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Cartes bancaires : Pistes magnétiques/Puces

Pour lire la piste/ la puceS'interposer avec un lecteur standard

L'utilisateur ne remarque pas le changement

Utiliser un lecteur/copieurAttention

Pour utiliser la puce il faut le codeCapturer le code

Par caméraPar faux clavier

32

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Cartes bancaires : Pistes magnétiques/Puces

33

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Attaques en réputation

Grâce aux blogs, Photos et vidéos voléesLa réputation peut être entachéeMême si c'est de la désinformation

Textes faussésPhotos TruquéesVidéos remontées

Plus subtilOn vous verse des dons provenant

De comptes bancaires piratés !

34

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Attaques en réputation

Comment faire tomber un tombeur de spam (Castle Cops) ?On lui verse de l'argent issu de comptes piratésOn l'oblige à s'expliquer publiquementOn l'accuse de fraudeOn l'attaque en justice

Ceux qui ont eu leur compte débité !

Castle Cops obligé de refuser des dons !Il ne vit que par des dons !

35

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Manipulation de cours de bourses

Il existe des forums de spécialistesOn peut prendre conseil et avisPour gérer son portefeuille boursier

Dans un forumUn nouveau spécialiste donne des infosEt il a acheté des actions d'une sociétéIl affirme que la société va faire beaucoup de bénéfices

Tout le monde lui rachète ses actions

Et finalement la société ne fait pas de bénéfices !

36

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Scada

Les architectures scadaCommandent les machines outilsJusqu'à la distribution d'eau et d'énergie

Jusqu'à maintenantLes « Scada » n'étaient pas reliées au NetMais les machines qui les contrôlent le sont

Attention les systèmes ScadaSont basés sur des systèmes connusMais ne peuvent pas être mis à jour

37

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Scada

2003Vers sur un site nucléaire (USA)Vers sur les GAB (USA)Vers sur la signalisation des trains (USA)

2005Vers causant l'arrêt de 13 usines

2007Bombe logique dans la distribution d'eau

2008Déraillement d'un train (Pologne)

38

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

QUAND LA BONNE VOLONTÉ NE SUFFIT PLUS

Quelques cas réels pour augmenter la réflexion !

39

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Cas réel : Changement de photocopieur• Le fournisseur de photocopieurs demande

• Login et mot de passe de l’administrateur• Pour permettre au technicien d’intervenir

• L’opérateur remplit le document• Mais ne le renvoie pas

• Il demande le support du service informatique• Car il ne connait pas le mot de passe !

40

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Cas réel : Banque de France• Contrat de travail de BDF

• Demande de la discrétion• Utilisation de l’internet dans la BDF

• Interdiction d’utiliser les réseaux sociaux• Mais sur les réseaux sociaux

• Très grands nombres de personnes• On trouve leurs données personnelles

• Adresse, famille, loisirs• Et leur progression dans la BDF

41

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Cas réel : Cour d’appel de Metz• L’entrée est restreinte

• pour les visiteurs• Mais non contrainte

• pour les personnels• On peut trouver

• Les personnels, • Leur adresse, • Leurs hobbies, • Leurs fonctions dans la cour d’appel

• Comment entrer dans la cour d’appel ?• Comment faire entrer un matériel ?

42

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Cas réel : Visite d’une usine• Usine d’un grand constructeur informatique• Tous les travailleurs sont contraints

• Portiques, • Fouilles, • Vidéo surveillance

• Mais les visiteurs gardent leur téléphone• Enregistrement de son• Photos, • Vidéos• Et le tout sur internet en temps réel !

43

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Cas réel :Vie d’entreprise / privée• Téléphone d’entreprise

• Ligne d’entreprise• Mais terminal personnel !• Mélange des données !

44

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Cas réel :Utilisation de Yahoo Groupes• Les plates formes d’entreprise

• Sont réglementées• Sont contraintes• Nécessitent des accords

• Les plates formes communautaires• Utilisables facilement• Sans contrainte• Sans limite !

• Appartenance des documents?

45

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

Cas simulé : Collecte d’informations• Action Discrète – 21 nov 2010• Groupe humoristique de Canal +

• Propose une vidéo (en caméra cachée)• http://www.canalplus.fr/c-humour/pid1780-c-action-

discrete.html• Google Inside

• Cartographie de l’intérieur des bureaux• Mesure d’hygrométrie

• Place un enregistreur dans une salle de réunion• Père Noël

• Offre une clé USB à chaque journaliste !46

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

QUESTIONS ?

[email protected]@clusif.asso.fr

47

6 o

cto

bre

20

11E

ric W

IES

-

Co

nve

ntio

n U

SF

20

11

mailto:[email protected]