Panorama de la Cybercriminalité 2018 du CLUSIF : Encore une année riche en événement

Cette année le panorama de la Cybercriminalité du CLUSIF a mis en évidence que les pirates n’ont pas chômé. Entre les rasomwares, les vulnérabilités sur les PC, Smartphone et autres outils, les IoT… leur terrain de jeu s’est agrandi entrainant des attaques en tout genre. La police n’est toutefois pas restée les bras croisés et grâce à la collaboration internationale quelques arrestations ont pu avoir lieu…


Loïc Guezo a rappelé que le groupe qui élabore le panorama de la
cybercriminalité du Clusif est constitué d’une trentaine de membres qui
travaillent durant un an en collectant et sélectionnant les faits les plus marquants.
Pour rappel, le principe du panorama est élaboré uniquement sur des sources
ouvertes.

Les « Attaques destructives » à l’affiche

Hervé Schauer revient sur WannaCry et NotPetya, les deux logiciels malfaisants non-ciblés qui ont fait l’actualité en 2017 par leurs destructions massives.

Pour les comprendre Hervé Schauer a fait un léger retour arrière.

"Petya sont une série de rançongiciels apparus depuis mars 2016, ils ont changé la donne en chiffrant bas-niveau contrairement à leur prédécesseurs qui chiffraient les documents."

"Egalement en 2016 durant l’été, un groupe de pirates dénommé Shadow Brokers annoncent avoir dérobé à l’Equation Group des outils d’attaque." Equation Group est le centre cyber-espionnage de haut-niveau de la NSA. "Le 13 août 2016 les Shadow Brokers mettent en téléchargement une liste d’outils de piratage, la plupart obsolètes, et mettent en vente les meilleurs outils pour un million de bitcoins."

Poursuivant l’historique "En 2017 apparait un nouveau rançongiciel PetWrap, une profonde amélioration faite à partir de Petya qui est commercialisée en mode "ransomware as a service" où le distributeur partage les bénéfices avec les auteurs." en notant "Le plus intéressant est que PetWrap utilise aussi un service RDP vulnérable pour se propager."

Puis en avril 2017 les Shadow Brokers diffusent une nouvelle série d’outils "qui auront une forte incidence sur l’avènement d’une nouvelle génération de rançongiciels, avec les outils exploitant les failles de sécurité sur le partage de fichier sur tous les Windows, permettant une exécution fiable de commandes à distance" explique Hervé Schauer.

Pour rappel Microsoft avait publié les correctifs de sécurité pour le partage de fichiers (SMB), mais il poursuit : "c’est là qu’est apparu WannaCry, un ver qui se propage grâce à l’exploitation de la faille sur SMB, appelée EternalBlue". WannaCry cherche notamment à se propager sur les adresses IP locales, Hervé Schauer rappelle "une fois qu’il est dans un réseau il va très vite, il fait peur, au point de se retrouver en plein week-end au journal de 20h du dimanche soir !". Dès le samedi l’ordre d’arrêt d’urgence (killswitch) a été activé fortuitement, et Hervé Schauer rappelle que "pas grand monde n’a de partage de fichier windows ouvert en direct sur internet donc les conséquences ne sont pas aussi importantes que la médiatisation le laissait entendre". Par contre, il se félicite de l’effet sur les professionnels : cellules de crises et déploiement des correctifs de sécurité plus rapide que jamais.

Il poursuit "Un mois et demi après le 27 juin nous avons NotPetya, introduit par un des deux logiciels de comptabilité ukrainien. NotPetya combine la stratégie de propagation de PetWrap, le chiffrement de la dernière version de Petya, plus deux codes d’exploitation issus du vol des Shadow Brokers à la NSA". Mais d’ajouter "Surprise, l’identifiant de la victime est aléatoire et la clé de chiffrement est supprimée à la fin de l’opération ! NotPetya n’est en fait pas un rançongiciel mais un "wiper", un destructeur, il est impossible de récupérer ses données en clair". Il en déduit que l’aspect rançongiciel ne servait qu’à brouiller les pistes.

Hervé Schauer conclut en rappelant que "NotPetya semble bien plus virulent que WannaCry mais au final il a fait moins de dégats car il était plus ciblé, les entreprises victimes ne l’ont été que via leur filiale ukrainienne".

Apple, Microsoft, Intel … à la peine en 2017

Gérôme Billois a mis en avant les « attaques via des tierces parties ». En premier lieu, il a mentionné la vulnérabilité d’Apple qui permet de prendre la
main en tant qu’administrateur de façon extrêmement simple sans mot de passe. Il a aussi ajouté la vulnérabilité qui permet en demandant l’indice (en cas d’oubli du mot de passe) d’obtenir le mot de passe en clair.
Quand à Windows il n’a pas été en reste non plus. L’attaque Krack permettait, quant à elle, de s’insérer dans les communications et de les écouter en clair, sans compter bien sûr celle
d’Intel qui permet de prendre le contrôle de la machine. Il a rappelé aussi les
deux vulnérabilités Meltdown et Spectre qui concerne plusieurs milliards de
processeurs et donc quasiment tous les ordinateurs du monde. Par contre, il note que
les correctifs de sécurité ne sont pas toujours fiable de chez Microsoft, Apple ou
encore Intel.

Il a souligné le piégeage des progiciels comme celui de Medoc ou encore C.Cleaner
qui contenait un code malveillant et ciblait des entreprises. Les pirates sont arrivés à
leur fin dans 18 organisations. Il y a eu aussi le cas de pirates qui ont ciblé des
infogérants dans 15 pays. Ces tendances devraient se renforcer en 2018. Il va
falloir pour cette année en plus surveiller les fournisseurs.

Gestion de crises et communications ne font pas bon ménage

Erwan Brouder présenté la gestion de crise et les erreurs de communications en mentionnant plusieurs exemples.

Il a cité le cas d’Equifax qui a commis plusieurs erreurs de communications : la
première est que les utilisateurs ne savaient qu’Equifax avaient leur donnés, il
utilisait des certificats auto signés, les clients ont été hameçonnés. Sans compter que les actionnaires ont revendus leurs actions avant l’annonce du
piratage. Les conséquences ont été une perte de confiance qui a conduit à la
démission du PDG.

Pour le cas Uber, 57millions de données ont été volées. Les premières erreurs
consistent en la dissimulation de l’attaque, les mesures prises par
l’entreprise ne sont pas claires. Il y a eu suite à cela une perte de
confiance des clients et une perte de la capitalisation boursière de
l’entreprise. Elle a subi une perte de l’image de marque qui a conduit au
licenciement du PDG et de son adjoint.

Le Cloud toujours à la peine…

Michael Jacques a présenté les vecteurs d’attaque dans le Cloud. En 2017 de
nombreuses organisations ont subi des attaques avec par exemple la NSA. L’équipe
d’UpGuard a mis en avant l’exposition des serveurs suite à de mauvaises
configurations. Quant à Uber ce qui est intéressant c’est que l’accès au GitHub a permis
de récupérer 50 millions de compte.

Le cas de Deloitte, les pirates ont pris la main sur la messagerie car il y avait un
manque de robustesse avec en particulier du fait de la gestion des comptes à privilège, les
changements de passe.

…Et les IoT sous le feu des attaques

Franck Veysset a traité du sujet des IoT. En 2017, Mirai avait été évoqué, de
même que les problèmes de sécurité sur les jouets ou encore ceux des voitures connectés. En 2017 cette tendance s’est poursuivi avec plusieurs vagues d’attaques. Certains ont utilisé des réseaux de botnets dont un a utilisé des 0 days
en particulier sur les routeurs Huawei. IoTroop un réseau de botnet assez sophistiqué avec une architecture très élaborée.

Pour l’avenir, il a été demandé par certains hommes politiques de faire des mis à jour plus régulière, des
mots de passe modifiables… mais cette demande de régulation est reste lettre morte
aux États Unis comme en Europe. Franck Veysset a cité qu’en mars dernier la NSA a été mis
en défaut car elle écoutait les communications. Chez certains fournisseurs de téléphone des services
d’écoutes ont été mis en place pour vérifier le bon fonctionnement des téléphones portables… En outre, il a cité le cas de serrures de garages connectées qui suite à un bug dont un client s’était plaint, l’administrateur avait bloqué la serrure
de son client mécontent. De plus, les bugs sur les serrures connectées de tout type
se sont multipliés cette année avec des impact plus ou moins important comme chez Google, ou dans le domaine de l’automobile.

Les élections polluées par les pirates institutionnels

Loïc Guezo s’est penché sur les élections et le piratage. Aux Etats-Unis le
rapport de la NSA montre clairement que la Russie a été impliquée dans la pollution des
élections présidentielles par des rumeurs. Dans le cadre des élections de 2017, Tweeter a été
mis en cause pour des problèmes de propagande non contrôlée. Pour le hacking d’Etat, la Russie a été
directement impliqué tant aux Etats-Unis qu’en France. Le mouvement « En Marche » a
directement visé par la Russie par du Spearphishing mais aussi par des
opérations de rumeurs. À quelques heures de l’arrêt de la campagne un
« Macroleaks » a été mis à jour.

En Allemagne, avant les élections, il y a eu beaucoup de crainte, mais en fait il ne
s’est rien passé. Par contre, il a été mis à jour que le vote électronique
est piratable. Pour le vote sur le Brexit, il semble que le cyber n’est pas eu de véritable
influence. Enfin, selon les conclusions de différents experts, Wannacry aurait été lancé par la Corée et Notpety par la Russie.

Ransomware : payer n’st pas la bonne solution

Garance Mathias a abordé le sujet des ramsomwares vue par le droit. Elle a rappelé
que l’article 323-3-1 du code pénal permet à la victime de se défendre. Sans
compter le problème de perte de données à caractère personnel.

Pour l’extorsion de fond engendré plusieurs articles du code pénal sont
concernés avec l’extorsion, le chantage, la remise de fond sous contrainte. Sans
compter d’autre délits associés, comme le recel, le blanchiment d’argent…

La réponse face à ces attaques commence par le dépôt de plainte avec
constitution de partie civile.

Luc Vignancourt a abordé le point de vue de l’assurance si on ne paie pas la
rançon il y a plusieurs risques. L’assurance prendra en charge la plupart des
dommages l’impacts sur les coûts de gestion de crises et la responsabilité
civile.

Le Bitcoin source de pertes financières gigantesques

Gérôme Billois a présenté l’impact du Bitcoin. Son engouement a conduit à une
explosion de l’intérêt des pirates. Ils ont visés les mineurs comme dans le
cas de NiceHash qui a perdu près de 64 millions de $. Les plateformes d’échanges
sont aussi touchées comme Zcoin qui a eu une pénalité de 600.000 $ de même avec
la faille dans Parity qui a perdu 30 millions de $. Il note des attaques très
simples comme pour COINDASH dont le site web a été piraté qui a perdu 7 millions
de $ siphonnés. « Enigmatique » pour sa part a vu le compte du CIO piraté
et a perdu ainsi 600 milles $. Enfin les utilisateurs ont vu leur portefeuille visé par
les pirates. Ils ont créé un malware capable de voler les codes des utilisateurs
et de détourner de l’argent. De plus, les utilisateurs ont aussi pu générer à leur
insu des crypto monnaies par le détournement de leur puissance informatique.

Le 4 novembre 2017 à New York une personne qui se vantait de son portefeuille de
cryptomonaie a été attaqué physiquement pour que les voleurs puissent entrer chez
lui et lui voler son argent virtuel.

Quelques arrestations en 2017

Frédéric Fraises du Ministère de l’Intérieur a cité Alphabay un site du
darkweb qui propose plus de 600 000 produits illicites. En Allemagne 2
administrateurs d’Alphabay ont été arrêtés puis le fondateur de ce site
Alexandre Cazes a été aussi arrêté. Puis ce sont les fondateurs d’Hansa qui ont
été arrêtés.

Pour Mirai qui avait compromis plus de 100.000 IoT a vu ces 3 créateurs arrêtés.
Ils ont plaidé coupable. Le créateur d’Andromeda/Gamarue a été aussi arrêté
le 5 décembre dernier.

Il a aussi cité le cas de Malware Tech qui après avoir stoppé Wannacry a été arrêté car il
avait créé il y a plusieurs un malware bancaire nommé Kronos.

Pour Le phishing, des pirates ont détourné des comptes clients de CD Discount.

Quant à OxyMonster il a été arrêté aux Etats-Unis car il est soupçonné
d’être un administrateur de DreamMarket.

En conclusion la police renforce sa coopération internationale.

Bien d’autres sujets auraient pu être traités…

Gérôme Billois a conclu ce panorama en rappelant que de nombreux autres sujets
auraient pu être traités comme celui d3s système industriel avec la sortie de
Triton qui visait des systèmes de sûreté de fonctionnement. Un autre sujet est le
sujet du Hackback c’est à dire la légitime défense dans le cyber. Sans compter
le WhatsAps, le darkweb…

Jérôme Notion le directeur général du GIP Acyma qui édite la plateforme
www.cybermalveillance.gouv.fr dont les cibles sont les particuliers, les entreprises
et les collectives qui ne sont pas des OIV. La plateforme proposée de
l’assistance aux victimes, de la prévention et de la sensibilisation et la
creati9n d’un observatoire de la menace numérique. La plateforme propose aussi
une liste de prestataires références qui compte plus de 1400 entreprises.

Le GIP est regroupé en 3 collèges outre les membres de l’Etat, utilisateurs, prestataires et offreurs de solutions.

source : Global Security Mag Online http://ift.tt/UaUQmp January 18, 2018 at 10:35PM