Contacter l'auteur / Contact the author

Recherche dans ce site / Search in this site

 

La cybercriminalité

La sécurité informatique est un enjeu sociétal et un défi technologique. L'exploitation de ses vulnérabilités éventuelles peut avoir de graves conséquences socio-économiques et politiques. Document Getty Images/mf3d.

La sécurité informatique (I)

Le dossier Farewell

En juin 1982, nous aurions assisté à la première cyberattaque de l'histoire. En effet, si on en croit les rares documents secrets de la CIA et des commentaires des proches du président Ronald Reagan ayant filtré sur cette affaire, à cette époque, les satellites-espions américains ont détecté une puissance explosion équivalente à celle d'une petite bombe atomique dans le nord de la Sibérie. Selon plusieurs sources américaines et soviétiques mais qui n'ont malheureusement pas directement assisté à l'accident, un pipeline de gaz russe, peut-être le plus important alimentant l'Europe aurait explosé suite au déclenchement d'un "cheval de Troie", un logiciel malveillant.

Pour quelle raison les Américains auraient-ils fait sauter un gazoduc sibérien ? Lasséde voir leur technologie passé à l'Est et les Russes économiser ainsi depuis la Guerre-Froide du temps en recherche et développement, le président Reagan aurait décidé de mettre à genoux l'économie russe qui n'avait et n'a toujours pas grand chose à exporter que ses matières premières.

Le président Reagan aurait validé une mission de sabotage à distance. Des ingénieurs aurait installé un logiciel malveillant dans un processeur de Motorola équipant une carte électronique volée dans une usine américaine par des espions russes et destinée à contrôler la pression d'un pipeline de gaz. Au moment venu, le logiciel déclencha une fausse alerte (une baisse de pression), forçant l'opérateur à provoquer une erreur humaine en élevant manuellement la pression, à l'origine de l'explosion (cf. T.Reed, "At the Abyss", 2005). Comme le dit implicement la CIA dans son ddossier Farewell consacré à cette affaire, "Le programme eut un grand succès et il n'a jamais été détecté", une manière diplomatique de dire sans éveiller les soupçons que leur cheval de Troie a bien joué son rôle !

Toutefois, près d'un demi-siècle plus tard, aucun président, secrétaire d'État, expert de la CIA, scientifique ou journaliste ne peut confirmer l'information. On ignore toujours si l'explosion toucha un petit ou un grand pipeline, était accidentelle ou le résultat d'une réelle cyberattaque des États-Unis contre la Russie. Si les faits étaient avérés, le dossier Farewell confirmerait en revanche que même en temps de paix, les États-Unis, un pays démocratique, est prêt à tout pour préserver son économie, même à tuer des civils et porter de graves préjudices à l'économie de toute l'Europe !

Nous verrons à propos des malwares que cette méthode qui n'est rien d'autre que de la cybercriminalité d'État fut réutilisée par la CIA entre 2008 et 2010 contre l'Iran (voir plus bas).

Internet, le terrain de chasse des cyberpirates

De nos jours, nul n'ignore qu'Internet est le terrain de chasse des cyberpirates (hackers), des pervers et la proie des virus, des logiciels espions et autre spam.

Vous avez peut être vu le film policier "Die Hard 4" de Len Wiseman sorti en 2007 avec Bruce Willis (John McLane) relatant une attaque terroriste dans le cyberspace américain. Des pirates parviennent à déjouer les sécurités informatiques des principaux réseaux numériques et sèment le chaos dans les réseaux de transport, de communications, ils piratent les réseau de TV et de signalisation, les réseaux de sécurité dont ceux des caméras de surveillance, puis s'attaquent au monde de la finance par le biais des cours de la bourse, aux organismes publics en y déclenchant de fausses alertes et enfin ils contrôlent le réseau de distribution d'énergie. Ce type d'attaque globale est appelé dans le jargon une "liquidation". Résultat : un chaos indescriptible s'est très vite installé !

Ce genre de scénario relève heureusement de la science-fiction. S'il peut faire peur à certains, il ne faut pas le redouter mais au contraire prendre la mesure de ce risque (en termes de probabilité et d'impact potentiel) et trouver les parades pour le réduire voire l'éliminer. En effet, chaque type de cyberattaque prise individuellement n'est pas surréaliste si d'aventure un groupe de cyberterroristes envisage de tirer avantage de toute la fragilité de notre monde moderne où de plus en plus d'industries et d'institutions sont gérées par l'informatique et des processus automatisés. D'ailleurs régulièrement la presse s'en fait l'écho (cf. le webzine Zataz) et les Etats-Unis comme la plupart des pays prennent ce genre de menace très au sérieux et ont mis sur pied des cellules de lutte contre le cybercrime. L'une des entreprises de sécurité informatique les plus sollicitées est Argos AI qui a déjà prodigué ses conseils techniques à de nombreuses entreprises et gouvernements.

Cela va même au-delà de la prévention, puisque la NSA en accord avec le président des Etats-Unis fait appel depuis des années à des pirates informatiques (hackers) pour espionner les infrastructures informatiques des groupes terroristes et des puissances étrangères ! Plus près de nous, les banques font également appel à des hackers éthiques pour améliorer la sécurité de leurs installations informatiques.

Mais rassurez-vous, si la NSA avoue publiquement certaines pratiques, c'est non seulement dans le but de recueillir des renseignements afin de protéger les citoyens américains mais aussi pour intimider ces personnes suspectes et les prévenir qu'elle a les moyens de les tracer sinon davantage. En effet, comme cela se fait en Russie ou en Ukraine, celui qui reçoit un SMS ou un e-mail privé anonyme disant clairement qu'il est surveillé, le rend très vulnérable et la victime a le sentiment d'être isolée du monde et que tous ses faits et gestes sont épiés. C'est une stratégie parfois payante qui peut calmer les plus révoltés.

D'un autre côté il ne faut pas sous-estimer la capacité des hackers et autres cybercriminels qui exploitent en général des techniques dont même les professionnels ne disposent pas ou qu'ils sont incapables de neutraliser, même la NSA dans le cas de l'utilisation de clés de chiffrement sophistiquées.

A voir : Simulation d'une cyberattaque massive aux USA

Everyday cybercrime - and what you can do about it, James Lyne, TED

Statistiques

Selon un sondage publié fin 2013 par le Ponemon Institute et financé par HP Enterprise Security, la cybercriminalité - pour faire court tout ce qui concerne les risques liés à la sécurité informatique - coûte une véritable fortune aux entreprises, un montant qui se chiffre en centaine de milliers voire en millions de dollars chaque année pour les plus grandes d'entre elles !

Une enquête de l'opérateur américain Verizon révèle qu'entre 2010 et 2011, le piratage informatique a augmenté de 4000%, atteignant 174 millions de brèches enregistrées en un an !

Une étude du Ponemon Institute basée sur un sondage réalisé par Symantec précise qu'en 2011 les brèches de sécurité ont coûté 5.5 millions de dollars par incident aux entreprises américaines.

Selon un rapport sur les fraudes et abus publié en 2012 par l'ACFE, à l'échelle mondiale la fraude informatique a coûté 3500 milliards de dollars par an aux entreprises, auxquels il faut ajouter les coûts de sécurité informatique afin que les entreprises se conforment aux exigences légales et notamment au caractère privé des données personnelles numériques (GDPR).

Document Ponemon Institute.

A titre privé, le cybercrime est tout aussi conséquent. Selon une sondage réalisé par Symantec en 2013 auprès de 16000 adultes dans 24 pays, bien que le nombre d'adultes ayant été victime de cybercrime ait diminué, le coût moyen par victime a augmenté.

Le prix global de la cybercriminalité privée est de 113 milliards de dollars par an, les frais pour la victime s'élevant à 298$ (218 €), une augmentation de 50% par rapport à 2012. C'est une valeur inquiétante considérant la crise économique globale.

Selon Symantec, en 2012, en France plus de 10 millions de personnes ont été victimes de cyberattaques, engendrant près de 2.5 milliards d’euros de pertes.

En moyenne, au cours des dernières années, en Belgique 334 entreprises ont été victimes quotidiennement de cyberattaques et 30% des internautes furent victimes de piratage !

Durant l'année 2020, la pandémie de Covid-19 offrit l'opportunité à 4.5 milliards d'internautes d'être plus actifs que jamais sur Internet, notamment les télétravailleurs et toutes les personnes contraintes de rester chez elles. Les cyberpirates ont évidemment profité de cette occasion.

Rien qu'en Belgique, en 2020 le centre de lutte contre la cybercriminalité (CCB) enregistra 2.8 millions de signalements soit 1 million de plus qu'en 2019. Cela concerne tous les utilisateurs d'ordinateurs et d'appareils mobiles, y compris en entreprise, notamment via les systèmes de messagerie ouverts sur le monde extérieur et les réseaux sociaux. Même un réseau social à vocation professionnelle comme Linked In a été la cible des cyberpirates via sa messagerie privée.

En parallèle, suite à la mise en application de la nouvelle directive européenne sur la sécurité des services de paiments (PSD2) - l'authentification par le système 3D Secure - à partir du 1 janvier 2021, les banques ont également renforcé leur système d'authentification à distance. Cela permet d'améliorer la sécurité des échanges en ligne et de réduire l'utilisation frauduleuse des cartes de crédit sur Internet.

Durant la pandémie, on observa également une recrudescence de sites marchands pirates qui n'attendent que la commande d'un client pour lui escroquer de l'argent. Moralité, n'achetez des produits sur Internet que chez des webmarchands réputés et ignorez les sites inconnus proposant des prix défiant toute concurrence. A défaut de connaître la qualité du site marchand, consultez les avis des clients, notamment sur le site Trust Pilote et lisez les conditions générales de vente avant tout achat.

Selon une évaluation publiée par Norton en 2018, dans le monde 12 internautes (d'autres sources citent 18 internautes) sont victimes chaque seconde d'actes malveillants en ligne, soit plus d’un million de personnes chaque jour !

Les exploits et vulnérabilités Zero Day

Ces dernières années on dénombre également une augmentation des vulnérabilités "Zero-day". Ce terme fait référence à des vulnérabilités ou de failles inconnues et non documentées (non corrigées) dans les logiciels que les cyberpirates découvrent et exploitent. Cette stratégie d'attaque est à l'origine du substantif "exploit" qui caractérise un programme malicieux exploitant une vulnérabilité Zero-Day ou "zero-day threat". Notons qu'originellement, un "0-day" est un jour durant lequel un logiciel ou un film est copié illégalement avant sa distribution.

En 2013, on a comptabilisé plus de 20 jours Zero-Day contre une seule journée en 2006, ce qui signifie que les failles dans les systèmes sont de plus en plus exploitées et donc que les sociétés comme le public sont de plus en plus victimes d'actes de piratage informatique.

En pratique, le NSS Labs estime que chaque jour les cybercriminels et les agences gouvernementales de renseignements disposent d'au moins 100 exploits dont ils sont les seuls à connaître l'existence.

Selon Symantec, en moyenne les hackers ont 10 mois pour exploiter une vulnérabilité dans un logiciel avant que le public ait conscience de la brèche.

A lire : Cyber-Attack Trends 2017 (PDF), Check Point Research

A gauche, une vulnérabilité ou menace "less-than-zero" représente la période de temps qui s’écoule avant que la vulnérabilité ne soit annoncée. Si la menace "zero-day" représente un véritable risque, la menace "less-than-zero" représente également un sérieux danger. A droite, la proprotion realtive des trois principales cyberattaques (serveur bancaire, systèmes mobiles et ransomwave). Documents ISACA et Check Point Research adaptés par l'auteur.

Mais les développeurs ne restent pas les bras croisés. Ainsi, rien qu'en décembre 2013, Microsoft publia 11 bulletins de sécurité afin de fixer 24 vulnérabilités dont 5 critiques sur ses applications serveurs.

Précisons que les hackers s'attaquent avant tout aux produits qui ne sont plus supportés par les développeurs (par exemple Windows XP qui n'est plus supporté depuis avril 2014) et qui deviennent donc vulnérables face aux nouvelles méthodes d'intrusions et l'utilisation de systèmes de pénétration de plus en plus puissants.

La NSA, plus que quiconque, a bien conscience de l'intérêt que représentent ces vulnérabilités non documentées. Ainsi, dans les documents divulgués en 2013 par Edward Snowden, on apprend que la NSA a investi plus de 25 millions de dollars en 2013 pour avoir la liste des vulnérabilités de plusieurs développeurs.

Comme le confirma Frank Shaw, porte-parole de Microsoft, lors d'une interview à un journaliste de Bloomberg en 2012, la NSA et d'autres agences gouvernementales connaissent même des bugs et des vulnérabilités Zero-Day avant que les développeurs ne communiquent les patchs et autres correctifs au public. Cela permet d'une part aux experts d'évaluer le risque et d'autre part de permettre aux agences de renseignements de conserver un peu d'avance sur les pirates pour mener à bien leurs missions.

La société française Vupen Security a d'ailleurs vendu le fruit de ses recherches à la NSA, ce qui a fait scandale, la France comme l'Europe considérant que la divulgation d'exploit est une infraction pénale ainsi que le décrit la directive 2013/40/EU du Parlement Européen.

Néanmoins, certains avocats jouent sur le sens des mots comme divulgation/collaboration, usage privé/public ou exploit/malware pour mieux contourner l'esprit de la directive et continuer à collaborer avec la NSA qui rétribue très bien ses informateurs, leurs permettant même d'accéder à des documents classifiés. Finalement, Vupen fut condamnée en Cour d'Appel et en Cassation.

De son côté, le géant de l'informatique Google annonça en 2014 qu'il avait pris la décision de lutter contre ces vulnérabilités ou des failles inconnues et non documentées (non corrigées) dans les logiciels. Google a baptisé cette initiative "Project Zero".

Ce projet complète ceux existants comme le ZDI d’Hewlett-Packard en allant plus loin que la simple élimination des vulnérabilités. En effet, selon Chris Evans, ingénieur sécurité chez Google, "les chercheurs de Project Zero traqueront et élimineront les vulnérabilités, mais ils feront aussi bien plus que cela. Notre objectif est de réduire significativement le nombre de personnes frappées par des attaques ciblées".

Le but de ce projet consiste donc également à réfléchir aux moyens et technologies permettant d’améliorer la sécurité informatique et de mener des actions préventives. Fidèle à son objectif consistant à partager les données qu'il recueille, dans le cadre du Project Zero, Google a décidé de mettre à disposition du public une base de données des vulnérabilités "zero-day", tout en réservant comme il est de coutume la primeur à l’éditeur concerné et ne révéler la menace qu'après correction.

Pour atteindre son objectif, Google a sollicité l'aide des meilleurs experts, y compris d'anciens pirates informatiques reconvertis, les ethical hackers, pour tester la sécurité de ses systèmes notamment des serveurs webs. Google rémunère même les personnes découvrant des failles dans ses applications et pouvant l'aider à les supprimer. Avec l'ampleur de la cybercriminalité, c'est un emploi à temps plein dont l'avenir est assuré ! Avis aux intéressés.

Conséquence de cette cybercriminalité croissance, aujourd'hui le marché de la sécurité informatique est en pleine expansion et représente à l'échelle mondiale 140 milliards de dollars par an (en 2013), selon Help Net Security. Si aujourd'hui les serveurs de e-commerce sont mieux sécurisés qu'en 2010 ou 2015, comme le révèle l'analyse de risque de Trustwave publiée en 2017 par Help Net Security, le risque de compromission est toujours en augmentation au sein des entreprises (sur les réseaux Intranet et Corporate) et des terminaux de paiment POS (système "Point of Sale"qui remplace les guichets des banques et les caisses enregistreuses) avec une progression qui dépasse 10% par an dans certains secteurs.

Ces chiffres sont faramineux et mettent en lumière toute la gravité du problème et l'importance des moyens mis en jeu pour éliminer ou neutraliser cette cybercriminalité qui nous concerne tous.

Distribution des risques

Pour bien comprendre le risque de cybercriminalité, décrivons brièvement comment agit un pirate informatique. Contrairement à ce qu'on pense, les cyberattaques n'ont pas nécessairement lieu sur l'ordinateur de bureau de la victime, via son portable ou son smartphone. Ces cas existent mais ils sont rares et servent le plus souvent de "Botnet" ou pour des tentatives de phishing (voir plus bas).

Les attaques sont soit massives soit individuelles. Une attaque massive vise à bloquer l'activité d'une entreprise ou d'une institution et parfois lui voler des données confidentielles que d'autres pirates utiliseront. L'attaque individuelle est plus surnoise. Elle vise surtout les serveurs Internet des entreprises sur lesquels les clients se sont authentifiés (par exemple un site financier comme une banque ou un dépositaire comme Boursorama, Paypal ou un webmarchand comme PriceMinister, etc) ou le serveur interne d'une petite entreprise qui aurait une vitrine publicitaire sur Internet mais dont le réseau interne serait vulnérable à une cyberattaque.

Document Help Net Security.

A titre individuel, pour réussir son mauvais coup, le pirate peut tout simplement tenter sa chance à partir de l'adresse email de sa victime en supposant a priori qu'elle s'en sert pour se connecter au réseau de l'entreprise (très facile à obtenir en contactant anonymement le secrétariat, en cherchant les coordonnées dans la page Contact de leur site Internet ou via un site d'annonces en ligne). Il peut aussi parfois obtenir son pseudonyme (login) après l'avoir contactée via un site de vente en ligne (c'est pour éviter ce risque que les sites d'annonces et les bons webmarchands exigent que tous les communications entre clients et acheteurs transitent par leur site afin que les données personnelles et les adresses emails ne soient pas divulguées et qu'ils puissent en cas de fraude ou de piratage savoir quelles informations furent échangées et déterminer les responsabilités). 

A partir d'un pseudonyme ou d'une adresse email, si en utilisant la force brute le pirate découvre le mot de passe de sa victime et connaît un site en ligne mal sécurisé ou vulnérable, sous certaines conditions d'anonymisation (car pirater n'est heureusement pas donné à tout le monde) il pourra réaliser son action malveillante. Enfin, le pirate peut également acheter une liste de comptes piratés via le Darknet ou d'autres filières du cybercrime ou envoyer un email de pishing à sa victime potentielle pour essayer d'obtenir ses données personnelles.

Et résumé, le cyberpirate a le choix du type d'attaque, du destinataire et des moyens sachant qu'il lui sera plus facile et plus rapide d'utiliser des logiciels malicieux que de tenter sa chance au petit bonheur en contactant individuellement sa future victime, même si cela peut lui rapporter gros si sa victime est naïve (cf. l'arnaque nigérienne).

Selon une étude du Ponemon Institute publiée en 2013, les risques liés au cybercrime sont distribués comme suit (par ordre d'importance, les pourcentages étant basés sur des sondages effectués auprès de 60 grandes entreprises américaines entre 2010 et 2013) :

- L'injection de codes malicieux : 21 à 26% selon les années

- Déni de services : 17 à 21%

- Les attaques par Internet : 12 à 15%,

- Le vol de matériel informatique : 9 à 17%

- Le phishing et le social engineering : 7 à 12%,

- Le personnel malveillant : 8 à 11%

- Les malwares : 4 à 7%

- Les virus, vers et Troyens : 5 à 10%

- Les Botnets : 4 à 5%.

Passant inaperçues, ce sont en fait les vulnérabilités Zero-Day liées à l'injection de virus et de codes malicieux dans les systèmes qui présentent les risques les plus critiques.

La remise en état d'un système varie en moyenne entre 3 jours pour éradiquer un virus, 2 semaines pour identifier et supprimer la source de phishing et de social engineering mais peut dépasser 65 jours pour identifier une personne malveillante. Dans le pire des cas, si le responsable informatique ou la direction n'a pas été suffisamment prévoyante en terme de sécurité et de backup, cela peut mal se terminer avec l'encryption complète des données du client. C'est ainsi qu'on découvre parfois qu'un site Internet a soudainement fermé son portail suite à un piratage informatique et n'a plus jamais réouvert (cf. itisphoto en 2017).

Vérifiez si votre adresse email a été piratée : Have I been pwned?

Le risque d'insider en augmentation

Selon un rapport de Kaspersky Lab publié en 2016, de plus en plus de cybercriminels recrutent des "insiders", c'est-à-dire du personnel interne malveillant, pour pénétrer les entreprises de télécommunications mais également pharmaceutiques et les organismes financiers. Ce personnel malveillant est sollicité à travers des petites annonces publiées par des pirates informatiques sur des forums spécialisés où ils trouveront un lien vers un site onion du Darknet comme on le voit ci-dessous à droite.

Un sondage réalisé en 2016 auprès de plus de 500 professionnels de la cybersécurité révéla que 56% d'entre eux estiment que les menaces dites d'initiés ont augmenté au cours des 12 derniers mois et 42% des organisations ont prévu d'augmenter leur budget sécurité en 2017. On en déduit que les entreprises chercheront de nouveaux services et technologies pour éliminer ce risque de piratage informatique qui peut leur coûter très cher.

Selon le sondages précité, ce sont les risques liés aux "insiders" qui sont en augmentation, constat confirmé par Symantec. Ainsi régulièrement et plusieurs fois par an, on apprend qu'une société financière a été victime d'une attaque informatique et qu'on lui vola 86 millions de dollars dans le cas de la Bank of Bangladesh en 2016 ou qu'on tenta de lui dérober plus de 1.1 milliard de dollars en dépôt sur ses comptes auprès la banque de la réserve fédérale américaine (cf. les échos du piratage informatique).

Les enquêtes sur la cybercriminalité ont montré qu'en développant une technologie toujours plus sophistiquée, les risques informatiques augmentent en parallèle à un rythme plus rapide que prévu.

A lire : Insider Threat Report 2016

Insider Threats to Financial Services (et lien direct), Recorded Future, 2017

ENISA Threat Landscape Report 2016 15 Top Cyber-Threats and Trends

A gauche, le nombre moyen d'utilisateurs quotidien de Tor sur le Darknet entre août 2012 et juillet 2013. Document Oxford Internet Institute. A droite, un membre du forum AlphaBay utilise les sites onion du Darknet pour publier des annonces criminelles. Dans ce cas-ci, il recherche un "insider" dans une banque anglaise, c'est-à-dire une personne malveillante qui effectuera du piratage informatique. Le commenditaire est prêt à lui offrir 120000$. En 2016, un insider de Citibank s'est ainsi fait attraper et passe actuellement 21 mois en prison assortis d'une amende de 77000$. Document extrait du rapport "Insider Threats to Financial Services" publié en 2017 par l'analyste John Wetzel de Recorded Future.

Selon Avivah Litan, une analyste de Gartner spécialisée dans la sécurité informatique, "les insiders sont recrutés activement par des criminels opérant sur le Darknet. Des employés mécontents travaillant dans des entreprises du secteur financier, de la technologie, des pharmacies, des détaillants ou travaillant pour le gouvernement (cf. l'affaire Snowden), vendent avec plaisir leurs services aux cybercriminels afin d'infliger des dommages d'ordre économiques ou d'image à leur employeur. Chercher un préjudice et se venger des employeurs est la principale motivation qui incite les insiders à voler de l'argent à leur employeur".

Les forums criminels comme AlphaBay, les sites onions du Darket et les marchés underground sont bien connus pour faciliter toutes sortes de transactions illicites et services criminels allant de la vente d'articles prohibés au vol de cartes bancaires en passant par le téléchargement de données privées à partir de comptes bancaires ou d'une base de donnée laissée sans surveillance par un employé peu consciencieux.

Malheureusement, les systèmes informatiques devenant très complexes, la plupart des annonces illicites sont publiées sur des forums fermés et il est difficile d'identifier les auteurs sans une vérification approfondie et manuelle des accès. De plus, de nombreux outils d'audit et de sécurité ne peuvent pas récolter (siphoner) automatiquement ces données car les connexions sur ces sites sources sont sécurisées à plusieurs niveaux et utilisent des systèmes d'accès blindés pour justement éviter d'être eux-même piratés. Pour les victimes potentielles et notamment les entreprises, la seule parade consiste à vérifier avec soin tous leurs fournisseurs et d'effectuer un screening de tous leurs employés.

Soyons rassurés, les "insiders" sont généralement démasqués car soit il y a des traces dans les systèmes soit ils finissent par relâcher leur vigilance et commettent des erreurs. Ainsi en 2016, Lennon Ray Brown, un ancien employé de Citibank au Texas fut condamné à 21 mois de prison ferme pour avoir piraté les routers de la banque et paralysé l'accès au réseau de 110 succursales. Sa peine fut assortie d'une amende de 77000$. Ailleurs, une femme de 32 ans employée par la société anglaise Sage fut arrêtée à l'aéroport d'Heathrow pour avoir divulgué des informations confidentielles de 200 à 300 clients. La morale est sauve.

Fréquence des cyberattaques et des brèches

Les grands organismes financiers et les institutions publiques font continuellement l'objet de cyberattaques mais il est évident que pour des raisons de sécurité et pour préserver leur réputation, ces organismes n'en parlent pas, pas même à leurs employés tant qu'ils ne sont pas concernés. Selon le sondage précité, on compte ainsi plus d'une tentative d'intrusion par jour chez JP Morgan Chase & Co., sans parler des éventuelles brèches de confidentialité plus ou moins involontaires provoquées par des employés (lors d'une publication sur Internet, d'information à un tiers par téléphone, etc), un phénomène qu'on observe dans toutes les banques par exemple avec un risque accru de fuite dans les PME où les protocoles de sécurité sont généralement plus faibles voire inexistants.

Données comptables du client d'une banque volée par un cyberpirate. Document extrait du rapport "Insider Threats to Financial Services" publié en 2017 par l'analyste John Wetzel de Recorded Future.

Devant les conséquences parfois graves que peuvent provoquer ces cyberattaques pour les entreprises en termes d'interruption de service, de frais de remise en état des systèmes et de réputation, toutes ces formes d'activités malveillantes sont considérées comme des crimes et punies comme tels. On y reviendra.

Tout utilisateur d'Internet ayant été ou pouvant un jour être victime d'un pirate informatique, nous allons insister dans cet article sur le fonctionnement et les méthodes de protection contre les virus, le phishing, le spam, les spywares et autre "social engineering".

Pour ne pas alourdir cet article, nous détaillerons les menaces, les vulnérabilités des systèmes et des logiciels et les risques (la probabilité d'un impact) qui planent sur les biens informatiques ainsi que la manière de s'en protéger dans l'article consacré à la prévention du piratage informatique.

Les virus

Parmi tous les risques qui menacent la sécurité de nos ordinateurs, le virus compte parmi les plus communs. Qu'est-ce qu'un virus informatique ? Il s'agit d'un programme indésirable qui s'installe à votre insu dans votre ordinateur. Ses lignes d'instructions lui disent comment agir, se multiplier et contaminer d'autres programmes et d'autres ordinateurs.

Ainsi que l'explique Microsoft, un virus informatique est un programme de quelques kilobytes. Les vers tel Slammer (alias Sapphire) font à peine 400 bytes soit à peine 400 caractères ou 67 mots.

Windows, un environnement fertile aux virus

Précisons immédiatement que les virus sont l'apanage de l'environnement Windows qui a toujours été la principale cible des créateurs de virus. En effet, sans qu'ils y échappent, les environnements Unix et apparentés tels que Mac OS X, iOS ou Linux sont rarement infectés par des virus ou des spywares. Pourquoi ?

Ce sont les vulnérablités du système d'exploitation gérant l'ordinateur qui attirent les virus, et non pas le hardware, la plate-forme Intel ou Mac PPC par exemple. Ainsi, le fait d'installer un microprocesseur Intel dans un Mac ne va pas le rendre plus vulnérable aux virus et autres actions malveillantes.

Le modèle de sécurité Unix, adopté par Mac OS X, est conçu par défaut afin de protéger le système contre les menaces visant habituellement les autres plate-formes. On peut affirmer que Mac OS X a été, dès l’origine, développé avec la sécurité en tête, tout en sachant bien que le "risque zéro" n'existe pas (rappelons que le noyau de Mac OS X est dérivé de NeXTSTEP qui respecte la norme de sécurité TCSEC du Département de la Défense américain).

Et de fait, il y a bien quelques virus qui s'attaquent aux Mac, tels que les "proof-of-concept", des virus d'essai comme "OSX.Macarena" mais ils ne sont pas vraiment là pour détruire (leur virulence est limitée à leur répertoire d'installation et ils s'effacent facilement), mais pour apporter la preuve aux concepteurs qu'il est possible de contaminer ces environnements.

Ceci dit, ainsi que l'a expliqué Kaspersky dans un rapport, Mac OS X n'est pas à l'abri des virus, il est seulement mieux protégé contre leurs attaques. Pour preuve, fin 2007, le premier Troyen (OSX.RSPlug.A) s'est attaqué aux Apple ainsi que l'explique cet article. Dorénavant, il faudra peut-être relativiser la sécurité du Mac OS X. Affaire à suivre.

En revanche, qu'il ne vous prenne pas l'idée d'installer une partition Windows sur votre Apple par exemple (via BootCamp), ce serait à nouveau ouvrir votre système aux virus et autres spywares.

Notons que votre système sera tout aussi vulnérable si vous utilisez une logiciel de virtualisation comme "Parallel Desktop" ou autre solution "Virtual PC for Mac" créant une machine Windows virtuelle sur Mac OS X. En revanche, la partition Mac OS X sera toujours protégée.

Notons qu'il existe quelques rares virus capables de s'attaquer à plusieurs systèmes d’exploitation malgré les différences inhérentes à chaque architecture logicielle. C'est notamment le cas du virus "Bi.a" écrit en assembleur qui peut être exécuté à la fois sous Windows et sous Linux. Mais ici également, il ne s’agit que d’un "proof of concept", pas d’un véritable virus malveillant. Toutefois, selon Kaspersky et SANS, dans le futur, de plus en plus de virus de cet acabit seront virulents. Cela a déjà commencé avec le virus Crossover, qui infecta les PC sous Windows et les PDA en février 2006. En conclusion, aucune plate-forme n’est invulnérable mais certaines le sont plus que d'autres...

Cette vulnérabilité congénitale de l'environnement Windows au sens large et le prix de certaines licences expliquent pourquoi en l'espace d'une génération (1981-2007), du monopole qu'il avait, Microsoft a perdu près de 10% de parts de marché au profit de Linux et autre Mac OS. A chacun d'en tirer la leçon.

Cette mise au point étant faite, décrivons en détail le mode de fonctionnement des virus informatiques et de leurs dérivés et la manière de les éradiquer.

Evolution

Des milliers de nouveaux virus informatiques sont disséminés chaque jour sur le web, la plupart provenant des nouvelles républiques de l’Est européen dont la population est souvent sans emploi mais qualifiée, ainsi que d'Europe occidentale (France, Sud de l'Angleterre, Flandre, Pays-Bas), des Etats-Unis et d'Extrême Orient. Bref la pandémie est mondiale.

En 1990, on avait répertorié entre 200 et 500 virus sous DOS avec une augmentation moyenne de 0.6 virus/jour. Depuis, le nombre de virus a suivi une courbe exponentielle; leur nombre a doublé chaque année avec une accélération à partir de 1992. En 1996, on franchit la barre des 10000 virus. En 2000, on dénombrait 50000 virus.

Aujourd'hui Kaspersky liste près de 550000 virus et dispose de plus de 213000 signatures auxquelles s'ajoutent quelque 200000 nouveaux logiciels malveillants (malwares) chaque jour. Le "Nanoscan" de Panda Software est capable d'identifier plus d'un million de signatures !

Les virus informatiques. Grâce à leur programme ils peuvent malgré tout se multiplier et contaminer votre ordinateur et vos programmes. Comme une infection, ils doivent être éradiqués au risque de provoquer des problèmes software et hardware.

On peut tout de suite se demander si ces deux anti-virus sont aussi complets l'un que l'autre, sachant que l'un dispose de deux fois plus de signatures que son concurrent ? La réponse est "oui, probablement", car il faudrait effectuer un comparatif pour en être certain. Nous allons y revenir.

En fait, certaines sociétés créent une seule signature par virus mais elle permet d'identifier plusieurs formes de virus. C'est ainsi que travaille Kaspersky notamment. En effet, certains vers (worms) mutent et existent sous plus de 400 variantes qui représentent autant de signatures supplémentaires ! Il s'agit des polymorphes tel "The Whales", un virus d'à peine 10 KB existant en 33 variantes.

D'un autre côté, une société concurrente peut, pour des raisons de stratégiques commerciales ou pratiques, créer autant de signatures qu'il y a de virus et mutants, ce qui va donner au total un nombre impressionnant de signatures, qui peut effectivement être deux à cinq fois supérieur à son concurrent.

Notons également que les encyclopédies de virus telle la viruslist tenue à jour par Kaspersky n'a rien d'encyclopédique et ne liste qu'une petite fraction de tous les virus existants. Vos meilleures sources d'information sont encore les forums. On y reviendra.

L'éradication des virus et autre malware est un combat permanent qui durera aussi longtemps qu'il existera des informaticiens criminels. Ce n'est pas pour rien que McAffee a choisi ce nom : n'avez-vous jamais remarqué que cela signifie "make a fee" : souscrivez, autrement dit acheter notre logiciel anti-virus. En effet, les mises à jour sont quotidiennes...

En novembre 1991, David M. Chess du High Integrity Computing Laboratory d'IBM rapportait dans le magazine "Virus Bulletin" que quelque 30 virus étaient responsables des attaques à travers le monde. Aujourd'hui elles sont l'oeuvre d'environ 180 virus tel que l'explique l'observatoire WildList qui surveille l'activité des virus sur le web.

Les types de virus

On regroupe les virus en 5 grandes familles. Les virus de boot se cachent dans le secteur d'amorce du disque qui est lu au démarrage de l'ordinateur. Ces virus remplacent le secteur de boot par une copie d'eux-mêmes, puis déplacent le secteur original vers une autre portion du disque. Il va sans dire que même après un formatage du disque, ils sont toujours là !

Puis vient la grande famille des virus applicatifs qui infectent les fichiers exécutables (.exe, .com, .sys, .inf, .dll, .vbs, etc). Ils remplacent l'amorce du fichier de manière à être lancé avant le programme infecté, puis ils lui rendent la main incognito, camouflant ainsi leur exécution en arrière-plan. C'est assez vicieux, mais c'est la façon d'agir des virus ! Actuellement les virus ne peuvent pas exploiter les images (.JPG, .GIF), les fichiers sons (.WAV, .MP3, etc) ni les fichiers vidéos (.MPEG, etc) mais c'est sans doute une question de temps.

Il y a également les virus de macro (macro virus) qui se logent dans les macros (un ensemble de commandes préprogrammées) des logiciels bureautiques comme WordPerfect ou Excel et les virus email qui perturbent les messageries électroniques.

Enfin, le ver (worm) est un virus se propageant à travers les réseaux et les messageries électroniques et donc sans support physique ou logique (ni disque dur, ni fichier, etc). Son but vise avant tout à saturer la bande passante du réseau pour provoquer une panne des ordinateurs, en particuliers des serveurs gérant le trafic.

Citons à part deux formes de "programmes espions". Le Troyen (Trojan) qui est en fait un "cheval de Troie", c'est-à-dire un programme malveillant (malware) que tout utilisateur peut télécharger par inadvertance, généralement en cliquant sur les liens d'une page piratée (spoofing) ou sur une bannière dédiée à cette activité et qui permet à un pirate informatique de soit accéder à distance à votre ordinateur soit d'en extraire des données personnelles.

A ce sujet, en 2019 des chercheurs en sécurité de Trend Micro ont découvert sur Google Play Store 85 applications Android infectées par le malware AndroidOS_Hidenad.HRXH. Ce malware viole les réglementations imposées par Google en affichant des annonces publicitaires sur le mobile de ses victimes, même lorsque l'écran est en veille. Rassurez-vous, Google a supprimées les applis concernées. Trend Micro conseilla aux utilisateurs de mettre à jour systématiquement leur tablette ou leur smartphone dès qu'une mise à jour est disponible (ce malware ne visait que les appareils équipés d'une version antérieure à Android Oreo).

C'est dans cette catégorie qu'on trouve les fameux ransomwares et les réseaux Botnet des PC zombies, sur lesquels nous reviendrons.

Enfin, il y a le mouchard (spyware), un programme qui, un peu à l'instar des Toyens et des "cookies" dont on reparlera, renvoie à son expéditeur des renseignements sur l'environnement installé sur l'ordinateur ou le profil de l'internaute.

Les Troyens, les mouchards et les ransomwares

Si les Troyens, les mouchards (spyware) et les ransomware ne sont pas des virus, ils produisent des effets tout aussi agaçants et indésirables pour sa victime.

Parmi les mouchards citons "VirusProtect Pro", un soi-disant logiciel anti-spyware qui s'installe grâce au troyen "Zlob.Trojan" et ses variantes. N'accédez pas au site (on ne vous indiquera donc pas son URL) sans avoir installé au préalable un logiciel anti-spyware ou anti-virus sur votre PC, sinon la contamination est assurée ! Consultez en revanche le site Remove Viruprotectpro pour plus de détails sur ce Troyen et comment l'éradiquer. En fait toute solution anti-spyware ou anti-virus en vient à bout.

Ce mouchard s'installe généralement lorsque vous accédez à un site litigieux (copies pirates, pornographique, peer-to-peer, etc), qui vous propose d'installer un Codec vidéo/audio pour visualiser les vidéos du site. En fait, si vous acceptez, il va exploiter un Troyen téléchargé antérieurement sur votre ordinateur ou va en installer une dizaine sur votre disque dur.

Pour éviter ce genre de mésaventure, vous devez donc toujours bien réfléchir *avant* de cliquer sur un lien que vous ne connaissez pas. N'accédez donc jamais à ce genre de requête si d'une part vous avez déjà la possibilité de lire des fichiers multimédia sur votre ordinateur et si la demande provient d'un site inconnu et qui plus est aux activités douteuses. Si de plus votre anti-virus vous met en garde, il sera idiot de tenter le diable ! En cas de doute, ouvrez une autre session Internet et passez quelques minutes à vous renseigner sur le site en question avec des mots clés comme "spyware" et "virus". Si cela répond positivement, oubliez ce site douteux !

A voir : Qu'est qu'un ransomware et comment s'en protéger ?

Ransomware on a DSLR Camera, Check Point, 2019

A gauche, ne faites jamais totalement confiance à ce que vous lisez sur Internet ! Sous un aspect sérieux et anodin, cette page cache en réalité un mouchard qui s'installe grâce au Troyen "Zlob.Trojan". Au centre, un ordinateur infecté par un ransomware. L'écran suivant demande à la victime de payer une rançon de 2 BTC en échange d'une clé de décryption que bien entendu il ne recevra jamais. A droite, lors d'un test de vulnérabilité, en 2019 un chercheur de l'entreprise Check Point a réussi grâce au port Wi-Fi à télécharger en moins d'une minute un ransomware dans un APN Canon EOS 80D grâce auquel il a crypté l'accès aux photos comme le montre la vidéo ci-dessus.

Si vous acceptez de télécharger ce genre d'application, ce mouchard va installer l'icône d'un bouclier ressemblant à celui du Windows Security Center dans la barre des tâches. Ensuite, le message d'avertissement suivant apparaîtra régulièrement en bas de votre écran "The system has detected a number of active spyware applications that may impact the performance of your computer. Click the icon to get rid of unwanted spyware by downloading an up-to-date anti-spyware solution." Il a l'air de vouloir vous aider, mais il vous ment, car c'est lui le mouchard ! Entre-temps il aura pris la peine de modifier la page d'accueil d'Internet Explorer et de modifier des dizaines d'entrées dans la registry. Il vous sera impossible de supprimer ce Troyen et tous les autres mouchards qu'il aura installé sans l'intervention d'un bon logiciel anti-spyware ou anti-virus. On y reviendra.

Depuis 2005 il existe un variant du cheval de Troie appelé le ransomware ou CrytpoLocker d'origine russe qui infecte les ordinateurs sous Windows. En fait ce type de virus existe depuis 1989, lorsqu'un certain Dr Joseph L. Popp, anthropologue de profession, distribua plus de vingt mille disquettes infectées et réclama 189 $ pour y remédier à envoyer à une boîte postale située au Panama. Le Dr Popp fut finalement arrêté par le FBI en 1990 (cf. ZDNet).

Le ransomware est un malware qui se propage soit par la messagerie électronique soit par l'accès préalable à un site douteux et l'installation à votre insu d'un Botnet (voir plus bas). Lorsque le malware est activé, il encrypte les fichiers via une technique de chiffrement à clés publique et privée puis, comme on le voit ci-dessus à droite, il demande une rançon - d'où son nom - à son propriétaire en échange d'une clé permettant de les déchiffrer mais qu'il ne recevra jamais.

Ensuite, lorsque tous les fichiers sont infectés, le malware va continuer son travail malveillant en se propageant à travers le réseau et la messagerie vers d'autres ordinateurs. Si votre ordinateur est connecté à Internet et n'est pas protégé par un anti-virus à jour, si vous êtes infecté par ce genre de malware vous participez à son expansion. Vous devez donc vous en protéger afin de protéger les autres internautes et vice versa.

Les malwares

Un malware est un logiciel malveillant au sens large, comprenant les virus, les vers (worms) dont les ransomwares, les chevaux de Troie ou Troyens, les rootkits et autres spams. Un exemple extrêmement virulant et complexe de malware est le virus Stuxnet.

Les centrifugeuses de purification d'urnanium installées au centre atomique de Natanz, en Iran. Document EPA.

Depuis les années 1950, l'Iran souhaite acquérir l'arme atomique. Pour cela et malgré l'embargo décrété par le Conseil de Sécurité de l'ONU (résolutions 687 et 700 de 1991), l'Iran développa un projet d'enrichissement d'uranium au centre de Natanz.

Devant le risque qu'elle parvienne à fabriquer de l'uranium très enrichi, le seul utilisable dans une bombe atomique, entre 2008 et 2010, la CIA refit le coup de Farewell de juin 1982 en déclenchant une cyberattaque. Elle tenta de détruire les centrifugeuses d'enrichissement en utilisant un virus informatique, le Stuxnet. Cela fonctionna car le virus se propagea discrètement et endommagea les installations les unes après les autres en l'espace de plusieurs mois (cf. A.Ghaleb et al., Science, 2018).

En parallèle, afin de faire pression sur l'Iran, la CIA laissa filter des informations dans les médias qui n'ont pas tardé à faire écho du sabotage, ajoutant à la pression déjà excercée par l'embargo.

Si cela a un peu retardé les projets de Téhéran, les experts de l'AIEA estiment aujourd'hui que l'Iran serait bientôt capable de fabriquer une bombe atomique, information qui reste toujours au conditionnel mais qui devient obscédante tant pour l'AIEA que pour les dirigeants des pays du Moyen-Orient.

Comme quoi un virus informatique, développé dans ce cas-ci par la CIA, peut avoir des conséquences non seulement physiques bien concrètes mais également politiques.

Les réseaux Botnet : des PC zombies

Tout aussi vicieux sont les réseaux "Botnet". Un virus ou un Troyen peut également en cacher un autre, à savoir qu'il peut télécharger un autre virus. Ainsi fonctionne certaines variantes du ver "Mydoom" qui transite par e-mail. Il vous salue par exemple d'un sympatique "Hi", "Remember me ?" ou vous envoie soi-disant des photos mais il tente en fait de télécharger le virus troyen backdoor Surila écrit en Visual C++.

Document Dimitri Vervits, http://www.jupiterimages.com/

Son "payload", sa charge utile ou sa fonction est de créer un proxy server sur votre PC, le rendant ainsi accessible au spammer par l'ouverture d'un canal sécurisé sous protocole IRC (Internet Relay Chat).

Installé dans un réseau, le virus agit comme un programme (un script automatique) et apparaît aux administrateurs système comme un utilisateur ordinaire. Bien sûr, installé sur un PC isolé, ses process apparaîtront en clair et pourront être identifiés.

En quelques jours, un pirate peut ainsi prendre discrètement le contrôle de milliers d'ordinateurs "zombies" distribués à travers le monde, formant ce qu'on appelle un "bottom network" ou "Botnet", un réseau parallèle "underground".

Les experts en cybercriminalité de l'Internet Security System d'IBM (cf. le blog de la X-Force Intelligence) ont ainsi découvert qu'il était possible de louer les service d'un réseau Botnet constitué de 150000 PC pour la modique somme de 350$ par semaine ! Ces PC servent de relais aux spammers et aux auteurs de ransomwares. Ainsi des cybercriminels peuvent louer ce réseau Botnet et conduire en toute impunité une campagne de spam (flooding) à l'insu de tous. Leur but est de "couler" les serveurs de messagerie des grandes entreprises sous l'importance du trafic.

Symantec a dénombré 6 millions d'ordinateurs Botnet dans le monde durant le second semestre 2006, ce qui représente 29% d'augmentation par rapport au semestre précédent. Toutefois, le nombre de serveurs utilisés pour relayer ces commandes aux PC zombies (les "bots") a diminué de 25%, indiquant que les propriétaires de réseaux Botnet ont renforcé leurs réseaux et augmenté la taille des réseaux existants.

Ainsi que l'explique cet article de Panda Software, l'iPhone d'Apple était à peine commercialisé (juillet 2007) qu'il faisait déjà l'objet d'une attaque par l'un des 7500 ordinateurs zombies du Botnet à travers le virus Troyen "Aifone.a" qui effectuait un phishing (usurpation) de la page d'iPhone.com. Vous trouverez plus de détails dans l'article consacré à l'iPhone.

A lire : Le FBI s'attaque aux réseaux Botnets (sur le blog, 2007)

Le réseau Botnet s'attaque à l'iPhone d'Apple (sur le blog, 2007)

Les utilisateurs qui souhaitent vérifier si leur ordinateur a été infecté par ce virus malveillant peuvent effectuer gratuitement un scanning de leur système à partir du site Nanoscan. Il dispose des signatures de près de 8 millions de virus et autres malwares, un record dans sa catégorie. Ne vous inquiétez pas s'il installe quelques fichiers localement (ini et dll) avant de lancer l'opération. Le scanning dure une bonne minute.

Prochain chapitre

Comment fonctionne un virus

Page 1 - 2 - 3 - 4 - 5 -


Back to:

HOME

Copyright & FAQ