Upload
jehanne-drouet
View
116
Download
0
Embed Size (px)
Citation preview
La Cybercriminalité
Eric WIES
L’université Paul VERLAINE - METZ• Université pluridisciplinaire
• 14 000 étudiants• 11 composantes• 6 sites
• Formations en informatique• UFR Mathématiques Informatique Mécanique
• Formation Master 2• Sécurité des systèmes d’informations et de communications
• Vers l’Université de Lorraine (UDL)• http://www.univ-metz.fr
2
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Le CLUSIF• Club de la Sécurité des Systèmes d’Informations Français• Composition
• 600 membres (50 % Offreurs, 50 % Utilisateurs)• 10 administrateurs
• Fonctionnement• Groupes de travail
• Panorama de la Cybercriminalité, Sécurité physique• Méthodes et Normes (MEHARI, ISO 27 000)
• Livrables• Documents disponibles immédiatement aux adhérents• Délais de 6 mois pour les autres
• http://www.clusif.asso.fr 3
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Cyber crimes ?
Crime ou délit Utilisant les technologies de l'information
Comme moyen et but pour créer un préjudiceCyber crime dans le monde virtuel
Comme média pour créer un préjudiceCyber crime dans le monde réel
Cyber crime ?Préjudices réelsVictimes réelles
4
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Cyber crimes ?
A qui profite le crime ?Actes isolés ?
Une personneUn groupe de personnes
Actes commandités ?Faire de l'argentBlanchir de l'argentUtiliser une puissance financière occulte
Groupes mafieux, terroristes, extrémistesGroupes de pressions (éco-terroristes)
Intérêts économiques (intelligence économique)
5
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Cyber crimes ?• Quelle réalité ?
• Des exemples• Impacts virtuels• Impacts réels• Quand l’utilisateur croit bien faire ?
• Quels impacts sur nos systèmes d’informations• On se posera la question à chaque fois
6
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
CYBER CRIMES : QUELQUES EXEMPLES
Les nouvelles technologies comme but !
7
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Usurpation d'identité numérique
Demander avec « gentillesse » Le nom d'utilisateurEt son mot de passePhishing
Dans la plupart des casC'est un ami qui vous invite à le rejoindreC'est une offre de service gratuit
Retrouver ses amisSavoir qui nous a « bloqué » sur une messagerie
8
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Usurpation d'identité numérique
Buts recherchésSe connecter à votre placeObtenir de meilleures informations sur vous
Utiliser l'adresse « msn » pour obtenirLes identifiants bancaires
Transmettre des spamTransmettre des virusTransmettre des invitationsEt tout ça, grâce à vous !
9
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Usurpation d'identité numérique : Phishing
Phishing (pêche aux informations)Obtenir l'informationEn envoyant un mail
Qui semble provenir d'une institutionBanque, Entreprise (Ebay, PayPal, La Fnac)
Qui vous demande de changer vos informationsEn suivant un lien
Si vous cliquez sur le lienLa page affichée a tout de l'originaleMais c'est une copie !
10
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Usurpation d'identité numérique : Phishing
11
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Usurpation d'identité numérique : Phishing
Cher client,
Bonjour
A cause des inventaires de cette annee, nous vous prions de nous excuser de vous demander de bien vous identifier afin que nous puissions completer notre inventaire, en plus chaque compte non identifie d'ici 48h sera desactive automatiquement.
Veuillez-vous identifier mesdames et messieurs en cliquant sur le lien ci-dessous, si le lien ne marche pas, essayez de le copier tout simplement dans une nouvelle fenкtre :
www.banquepopulaire.fr
Avertissement!! : Ce lien ne fonctionnera plus d'ici 48h.
Nous vous remercierons de votre collaboration et comprehension, mais l'amelioration de nos services vous interesse aussi.
Aucune somme d’argent ne sera retiree de votre compte, c'est juste un simple inventaire necessaire pour vous assurer un bon avenir.
12
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Diffamations, Dénigrements
Ou comment se défoulerGrâce aux blogs, Ou simplement par mail
Les blogsSouvent considérés comme « journal intime »Sert de défouloirOn y trouve
N’importe quelle image, texte ou vidéo
Dans la plupart des casPersonnes mises en cause à leur insuNon respect du droit à l'image, de la protection des mineurs
Parfois on aboutitA la diffusion de photos voléesA la réputation virtuelle d'une personne
13
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Faux Antivirus
Une pageVous indique que votre système est infectéVous propose de télécharger un antivirus
L'anti-virusVous indique l'infectionEt vous invite à acheter la version payante
En réalitéVotre système n'avait rienMais maintenant il est bien contaminé !
14
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Faux Antivirus
15
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Faux Programmes
16
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Vol de données
Un virus s'installe sur votre machineLes fichiers deviennent chiffrés et illisiblesOn vous demande
D'acheter un programme pour rétablir les donnéesDe payer une rançon pour rétablir les données
On vous déconseilleDe tenter une réparation vous-mêmeD'appeler les forces de l'ordre
On vous proposeUne aide par mél si nécessaire !
17
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Vol de données
18
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Vol de données
19
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Espionnage
Dispositif logiciel ou matérielPour enregistrer ce que vous tapezA votre insuPeut enregistrer aussi bien
L'écranLe clavierL'image de votre webcam
AttentionDétection du dispositif matériel très difficile
20
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Espionnage : Logiciels
21
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Espionnage : Matériel
22
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Réseaux Sociaux• Les réseaux sociaux sont très installés
• Recherche d’anciens amis (Copains d’avant)• Micro blogging (twitter)• Groupes professionnels (linked in)• Groupes de connaissances (facebook)
• On y raconte sa vie personnelle• Mais aussi professionnelle !
• Impacts• Sur la vie privée• Sur la vie professionnelle• Organisations de vols en réunion
• Rappels• Ce ne sont pas des sites caritatifs !
23
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Réseaux Sociaux :Impacts sur la vie privée• Tout ce que vous mettez, est partagé avec
• Vos amis• Les amis de vos amis• Et tous les autres aussi !
• Dépends des réglages sur les sites• Mais dans tous les cas
• Le contenu appartient désormais au site• Il peut le réutiliser, Il peut le revendre• Il ne le détruira jamais !
• Ce contenu• Vous définit !• Vous localise ! 24
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Réseaux Sociaux :Impacts sur la vie pro.• Comportement des recruteurs
• 45 % consultent les réseaux sociaux• 35 % renoncent à une embauche après cette consultation
• Cas d’écoles• On découvre qu’un collaborateur recherche un autre emploi
• Alors qu’il vient de demander une augmentation !• Fonction dans l’entreprise
• Alors que le contrat de travail demande de la discrétion• Arrêt maladie et réseau social
• Arrêt stipule travail sur ordinateur interdit• Dénigrement de collègues
• Sur un mur facebook• Affaire Domino Pizza 25
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Réseaux Sociaux :Organisation de réunion• Permet de contacter un grand nombre de personnes
• Qui vont effectuer la même action au même moment• Cas d’écoles
• Tout le monde se fige• Rendez vous dans un lieu, et à l’heure dite, Plus personne ne bouge !
• Apéritif géant• Dans un lieu public, Chez un particulier
• Rendez-vous au Monoprix de RODEZ• 150 personnes arrivent à la même heure, Vols et dégradations
• Manifestation contre la suppression d’un mois de vacances
26
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
BotNet
Réseau de machinesUtilisé pour une attaque informatiquePeut regrouper des milliers de machinesLes machines sont des zombies
On ne sait pas qu'elles font partie du réseauJusqu'au moment de l'attaque
Vous pouvez être membre d'un botnetSans le savoirJuste après avoir installé un programme
27
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
BOTNET
28
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
BOTNET :Exemple
29
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Cartes bancaires
Technologies d'une carteNuméro, Piste magnétique, Puce
Copier une carte1 des 3 éléments suffitPas forcément technologique
Ce problème a un nom : CARDINGPar simple lecture
On recopie à la main, On utilise un sabotPar simple demande
PhishingPar naïveté
Un site pour vérifier que votre numéro n'est pas volé ! 30
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Cartes bancaires : Numéro
31
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Cartes bancaires : Pistes magnétiques/Puces
Pour lire la piste/ la puceS'interposer avec un lecteur standard
L'utilisateur ne remarque pas le changement
Utiliser un lecteur/copieurAttention
Pour utiliser la puce il faut le codeCapturer le code
Par caméraPar faux clavier
32
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Cartes bancaires : Pistes magnétiques/Puces
33
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Attaques en réputation
Grâce aux blogs, Photos et vidéos voléesLa réputation peut être entachéeMême si c'est de la désinformation
Textes faussésPhotos TruquéesVidéos remontées
Plus subtilOn vous verse des dons provenant
De comptes bancaires piratés !
34
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Attaques en réputation
Comment faire tomber un tombeur de spam (Castle Cops) ?On lui verse de l'argent issu de comptes piratésOn l'oblige à s'expliquer publiquementOn l'accuse de fraudeOn l'attaque en justice
Ceux qui ont eu leur compte débité !
Castle Cops obligé de refuser des dons !Il ne vit que par des dons !
35
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Manipulation de cours de bourses
Il existe des forums de spécialistesOn peut prendre conseil et avisPour gérer son portefeuille boursier
Dans un forumUn nouveau spécialiste donne des infosEt il a acheté des actions d'une sociétéIl affirme que la société va faire beaucoup de bénéfices
Tout le monde lui rachète ses actions
Et finalement la société ne fait pas de bénéfices !
36
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Scada
Les architectures scadaCommandent les machines outilsJusqu'à la distribution d'eau et d'énergie
Jusqu'à maintenantLes « Scada » n'étaient pas reliées au NetMais les machines qui les contrôlent le sont
Attention les systèmes ScadaSont basés sur des systèmes connusMais ne peuvent pas être mis à jour
37
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Scada
2003Vers sur un site nucléaire (USA)Vers sur les GAB (USA)Vers sur la signalisation des trains (USA)
2005Vers causant l'arrêt de 13 usines
2007Bombe logique dans la distribution d'eau
2008Déraillement d'un train (Pologne)
38
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
QUAND LA BONNE VOLONTÉ NE SUFFIT PLUS
Quelques cas réels pour augmenter la réflexion !
39
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Cas réel : Changement de photocopieur• Le fournisseur de photocopieurs demande
• Login et mot de passe de l’administrateur• Pour permettre au technicien d’intervenir
• L’opérateur remplit le document• Mais ne le renvoie pas
• Il demande le support du service informatique• Car il ne connait pas le mot de passe !
40
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Cas réel : Banque de France• Contrat de travail de BDF
• Demande de la discrétion• Utilisation de l’internet dans la BDF
• Interdiction d’utiliser les réseaux sociaux• Mais sur les réseaux sociaux
• Très grands nombres de personnes• On trouve leurs données personnelles
• Adresse, famille, loisirs• Et leur progression dans la BDF
41
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Cas réel : Cour d’appel de Metz• L’entrée est restreinte
• pour les visiteurs• Mais non contrainte
• pour les personnels• On peut trouver
• Les personnels, • Leur adresse, • Leurs hobbies, • Leurs fonctions dans la cour d’appel
• Comment entrer dans la cour d’appel ?• Comment faire entrer un matériel ?
42
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Cas réel : Visite d’une usine• Usine d’un grand constructeur informatique• Tous les travailleurs sont contraints
• Portiques, • Fouilles, • Vidéo surveillance
• Mais les visiteurs gardent leur téléphone• Enregistrement de son• Photos, • Vidéos• Et le tout sur internet en temps réel !
43
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Cas réel :Vie d’entreprise / privée• Téléphone d’entreprise
• Ligne d’entreprise• Mais terminal personnel !• Mélange des données !
44
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Cas réel :Utilisation de Yahoo Groupes• Les plates formes d’entreprise
• Sont réglementées• Sont contraintes• Nécessitent des accords
• Les plates formes communautaires• Utilisables facilement• Sans contrainte• Sans limite !
• Appartenance des documents?
45
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
Cas simulé : Collecte d’informations• Action Discrète – 21 nov 2010• Groupe humoristique de Canal +
• Propose une vidéo (en caméra cachée)• http://www.canalplus.fr/c-humour/pid1780-c-action-
discrete.html• Google Inside
• Cartographie de l’intérieur des bureaux• Mesure d’hygrométrie
• Place un enregistreur dans une salle de réunion• Père Noël
• Offre une clé USB à chaque journaliste !46
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11
QUESTIONS ?
[email protected]@clusif.asso.fr
47
6 o
cto
bre
20
11E
ric W
IES
-
Co
nve
ntio
n U
SF
20
11