Réseaux et cybercriminalité, l’opérateur au cœur de la bataille

27/08/2017
Auteurs : Pierre Caron
OAI : oai:www.see.asso.fr:1301:2012-2:19605
DOI :

Résumé

Réseaux et cybercriminalité, l’opérateur au cœur de la bataille

Métriques

17
4
492.39 Ko
 application/pdf
bitcache://78940c037a5b8fbf4a60d87a4ce8e946e2d59f95

Licence

Creative Commons Aucune (Tous droits réservés)
<resource  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
                xmlns="http://datacite.org/schema/kernel-4"
                xsi:schemaLocation="http://datacite.org/schema/kernel-4 http://schema.datacite.org/meta/kernel-4/metadata.xsd">
        <identifier identifierType="DOI">10.23723/1301:2012-2/19605</identifier><creators><creator><creatorName>Pierre Caron</creatorName></creator></creators><titles>
            <title>Réseaux et cybercriminalité, l’opérateur au cœur de la bataille</title></titles>
        <publisher>SEE</publisher>
        <publicationYear>2017</publicationYear>
        <resourceType resourceTypeGeneral="Text">Text</resourceType><dates>
	    <date dateType="Created">Sun 27 Aug 2017</date>
	    <date dateType="Updated">Sun 27 Aug 2017</date>
            <date dateType="Submitted">Fri 25 May 2018</date>
	</dates>
        <alternateIdentifiers>
	    <alternateIdentifier alternateIdentifierType="bitstream">78940c037a5b8fbf4a60d87a4ce8e946e2d59f95</alternateIdentifier>
	</alternateIdentifiers>
        <formats>
	    <format>application/pdf</format>
	</formats>
	<version>33347</version>
        <descriptions>
            <description descriptionType="Abstract"></description>
        </descriptions>
    </resource>
.

36 ◗ REE N°2/2012 Les cyber-attaques, un risque pour nos grandes infrastructures ? Pierre Caron Expert sécurité Orange Introduction Acheminer la voix et les données : telles sont les missions traditionnelles que l’on attend d’un opéra- teur de télécommunications. Du moins est-ce la part la plus visible de son activité, mais peut-être aussi dé- sormais la plus faible, tant le métier d’opérateur télé- com a changé ces dernières années : du simple statut de « fournisseur de tuyaux », l’opérateur est devenu in- termédiaire de paiement, éditeur de logiciels, héber- geur et diffuseur – voire producteur – de contenus, et aussi société de services informatiques et consultant auprès de ses clients. Cette mutation rapide s’est doublée d’un rôle dé- cuplé de l’opérateur en matière de sécurité : sécurité de ses propres réseaux mais aussi de ceux de ses clients, des produits qu’il vend, des contenus qu’il dif- fuse et des plates-formes qu’il met à disposition. Sur tous ces fronts, l’opérateur est contractuellement, lé- galement, voire moralement, responsable du maintien d’un niveau de sécurité satisfaisant. Le sens de l’his- toire des technologies de l’information et l’évolution des législations et des marchés en Europe et dans le monde confirment et renforcent cette triple responsa- bilité : législateur et consommateur s’accordent pour demander davantage de sécurité aux opérateurs de télécommunications, en réponse à la pression d’une cybercriminalité globale galopante et durablement en- racinée dans l’économie numérique. Sur cette évolution rapide se superpose une ré- volution, celle des attentats du 11 septembre 2001. Ces événements dramatiques ont, plus que tout autre, provoqué une prise de conscience globale de la fragilité de nos infrastructures et ont notamment donné naissance à la notion «  d’opérateur d’impor- tance vitale » ou « OIV », destinée à qualifier les orga- nisations dont l’indisponibilité totale ou partielle aurait un impact critique sur la société française, pouvant ainsi la mettre en péril. Cette notion, officialisée dans un décret du 23 février 2006, désigne environ 150 organisations – dont des opérateurs de télécommuni- cations. Cette qualification impose des contraintes de sécurité particulières, physiques, logiques et organi- sationnelles, aux opérateurs ainsi désignés. Une me- sure qui répond à l’augmentation forte de la menace terroriste et à l’émergence d’attaques informatiques désormais sponsorisées par des états. Au regard de ce panorama, nous tentons dans le présent article de préciser le rôle des opérateurs de télécommunications face à une cybercriminalité mo- derne et déterminée. Les botnets et la cybercriminalité - L’infection à grande échelle Depuis une dizaine d’années, la cybercriminalité n’a cessé de prendre de l’ampleur – le terme « cybercrimi- nalité » n’étant d’ailleurs réellement utilisé que depuis Réseaux et cybercriminalité, l’opérateur au cœur de la bataille A modern telco operator has little in common with yesterday’s telco companies; the rapid growth of networks has enabled to provide a growing number of high-value services to the masses – most of which carry new security risks and associated op- portunities for cybercriminals. This market shift is redefining the role of network and telco operators in the global fight against cybercrime: a modern ISP cannot afford anymore to remain passive, security being more and more seen as a decision crite- rion for customers. Throughout the world, many operators have started battling against malware, protecting their end users against the compromising of their computers. In the mobile world, however, the ground is ripe for criminals to profit from the absence of real security, as mobile malwares continue to spread. The situation is all the more explosive as the past two years have seen a shift in the threat landscape, with the rise of Advanced Persistent Threats, fueling a necessary evolution of the security industry. abstract REE N°2/2012 ◗ 37 Réseaux et cybercriminalité, l’opérateur au cœur de la bataille quelques années, désignant une rupture dans la malfaisance informatique qui a réellement changé d’échelle au début des années 2000. Les motivations crapuleuses et financières sont en effet devenues le principal moteur d’une économie sou- terraine en plein bourgeonnement ; une économie basée sur une taylorisation du travail et une spécialisation à outrance des cybercriminels. Désormais, plus question de maîtriser de bout en bout une action frauduleuse comme dans les années 90 où, par exemple, un virus était à la fois imaginé, développé, testé, puis diffusé et exploité par la même personne. Chacune de ces actions élémentaires est dorénavant portée par un spé- cialiste de son domaine, qui monnaye ses services au marché noir. Ainsi, le prototype du « cybercriminel » a changé : désor- mais, le commanditaire d’une opération a davantage le profil d’un chef de projet, voire d’un « entrepreneur », que d’un tech- nicien chevronné : le succès d’une entreprise cybercriminelle repose sur la capacité de son leader à savoir s’entourer de spécialistes, à s’outiller et à injecter le capital initial nécessaire à lancer les opérations. De sorte que la cybercriminalité est devenue une économie complexe (figure 1) où, pour réussir, la production de nombreux biens intermédiaires est devenue nécessaire : virus, spam, parasitage des moteurs de recherche, hébergement sécurisé, outils de piratage automatisés, logiciels « crypters » pour provoquer des mutations et rendre indétec- tables les virus, prestations de piratage de sites ou de boîtes mail, moyens de paiement anonymes, etc. Les botnets1 sont probablement les plus courants et les plus dangereux de ces biens intermédiaires. Apparus à la fin des années 90, ces communautés de machines, com- promises par un même virus, furent rapidement exploitées à des fins frauduleuses : envoi massif de spam depuis des milliers de sources, hébergement distribué de sites de vente de contrefaçon pharmaceutique, racket par déni de service distribué, et surtout, vol de données personnelles 1 Botnet : en français, agent logiciel ou zombie. Figure 1 : Flux financiers de la cybercriminalité (« Les marchés noirs de la cybercriminalité », CEIS, 2011). Figure 2 : Organisations cibles d’intrusions ciblées (source : Mandiant, 2012). 38 ◗ REE N°2/2012 Les cyber-attaques, un risque pour nos grandes infrastructures ? (carnet d’adresses, documents, mots de passe…) et de paiement (informations de carte bancaire, session de ban- que en ligne…). Ce sport s’est tellement sophistiqué que les meilleurs malwares sont aujourd’hui capables de réé- crire à la volée les demandes de virement pour en modifier le bénéficiaire et de compromettre la confirmation par SMS pour que l’internaute n’y voie que du feu, grâce à l’infection de son téléphone mobile. En entreprise, selon l’édition 2012 du rapport annuel de la société américaine de sécurité Mandiant (figure 2), ce se- raient plus des trois quarts des intrusions ciblées qui feraient désormais appel à un moment ou à un autre à un virus ou à un cheval de Troie. Des rumeurs font également état de la revente au marché noir de machines infectées : plutôt que de perpétrer soi-même une intrusion, il devient ainsi beaucoup plus simple d’acheter à un autre criminel une machine déjà infectée par un cheval de Troie et appartenant à l’organisation prise pour cible. Récemment, l’on trouvait même à la vente des sites web gouvernementaux américains piratés : la pro- motion de cette offre était assurée sur un site web vitrine où était disponible un catalogue de sites sensibles dont le pirate s’était procuré l’accès. Les taux d’infection sont devenus tellement importants aujourd’hui – aussi bien chez les particuliers qu’en entreprise – que la question n’est plus de savoir si l’on risque ou pas d’être infecté un jour, mais combien de fois un poste de travail sera infecté pendant sa durée de vie. La menace a tellement pris le dessus qu’il est à présent admis que les logiciels anti-virus ne représentent plus désormais qu’une partie de la solution, étant largement débordés par le phénomène. Ce constat est partagé par l’ensemble de l’industrie de la sécurité depuis plus de cinq ans. En 2006, le CERT Australia (Computer Emergency Response Team) sidéra tout le monde en dé- clarant officiellement que les anti-virus « rataient » 80 % des virus en circulation à un instant donné. Mais personne, pas même les éditeurs anti-virus, n’a démenti ce chiffre qui reste valable encore aujourd’hui. - La responsabilité des opérateurs et des four- nisseurs d’accès Par conséquent, les regards se tournent vers de nouvelles solutions anti-malware basées sur des procédés différents : il ne s’agit plus désormais seulement d’empêcher l’infection, mais d’en supprimer les symptômes, c’est-à-dire de l’inhiber en empêchant le malware de prendre ses instructions auprès de son commanditaire ou de lui remonter de l’information volée. C’est donc au niveau du lien réseau que ces dispositifs opèrent, en repérant l’activité réseau générée par le malware et en la bloquant. En toute logique, les yeux se tournent donc vers les opé- rateurs télécom, bien placés pour mettre en place de telles contre-mesures pour protéger leurs clients, qu’ils s’agissent de particuliers, de grands groupes ou de PME/PMI. Ainsi, les initiatives anti-botnets fleurissent un peu partout dans le monde. En janvier 2010, les Pays-Bas ont mis en place un traité entre les principaux opérateurs, couvrant ainsi 98 % des usagers d’Internet du pays et obligeant les FAI à informer leurs abonnés lorsqu’une infection est constatée. Le traité leur permet même une coupure sélective de l’accès Internet, à l’aide d’un portail captif, pour les multirécidivistes et les récalcitrants, ces derniers se voyant privés de leur connexion Internet et ne pouvant rien consulter d’autre qu’une page d’assistance à la désinfection mise en place par l’opérateur. A l’origine de ce traité, un constat : un abonné Internet infecté n’est pas seulement un danger pour lui-même, il représente aussi une menace active pour l’Internet dans son ensemble et en particulier pour son fournisseur d’accès. D’autres pays ont lancé des initiatives similaires : l’Allema- gne s’est dotée en septembre 2010 d’un dispositif national de notification et d’assistance aux abonnés Internet infectés, basé en partie sur le modèle japonais du Cyber Clean Cen- ter (figure 3), opérationnel depuis 2006. Le gouvernement américain a lancé une consultation nationale visant à recueillir avis, conseils techniques et bonnes pratiques sur la manière dont les fournisseurs d’accès à Internet du pays pourraient nettoyer leurs réseaux. L’ENISA, agence européenne pour la sécurité de l’information, a également lancé l’an dernier un groupe de réflexion sur les botnets, dans le cadre de son programme de partenariat public-privé EP3R. Enfin, l’IETF lui-même s’est lancé dans la réflexion, avec la publication récente du RFC 6561 rédigé par l’opérateur américain Com- cast et promulguant des conseils sur la manière de mettre en place un dispositif anti-botnets. D’autres réflexions portent sur la manière de dénombrer les machines infectées sur un réseau, en tenant compte des caractéristiques de ce dernier (mode d’adressage, réallocation périodique des adresses IP…). Enfin, des travaux (MARF, REPUTE, DMARC…) initiés à l’IETF et dans d’autres groupes d’échanges visent à normali- ser l’échange et la notification d’événements et de données portant sur des incidents réseau. Toutes ces initiatives placent clairement le fournisseur d’ac- cès à Internet au cœur de la bataille et s’appuient sur cette position privilégiée pour tenter de réduire les niveaux d’infec- tion, estimés à 31 % sur 12 mois dans l’Union européenne, selon une étude de l’ENISA en 2011. Si ces statistiques sont soumises à caution – le terme « malware » lui-même étant particulièrement flou et difficile à définir – en revanche, tous les observateurs s’accordent pour dénoncer un problème qui REE N°2/2012 ◗ 39 Réseaux et cybercriminalité, l’opérateur au cœur de la bataille mine la sécurité de l’Internet dans son ensemble : grâce aux botnets, la force de frappe des criminels dépasse désormais les capacités de défense informatique de la plupart des orga- nisations du monde. Gageons que cette lutte se déplacera rapidement vers le monde mobile, les smartphones se trouvant ciblés de ma- nière croissante par la cybercriminalité. Maîtriser la mobilité Toutes les études de marché convergent vers un diagnos- tic : dans peu de temps, quelques années tout au plus, les équipements informatiques mobiles (smartphones et tablet- tes) consommeront davantage de trafic réseau que les ordi- nateurs personnels classiques. Cette tendance s’accompagne d’une révolution des modes de consommation sur Internet : vidéo à la demande, paiement et banque en ligne, messa- gerie instantanée, basculent massivement sur les mobiles. Les caractéristiques physiques de ces périphériques offrent un énorme potentiel de services à valeur ajoutée : paiement NFC (Near Field Communication), services contextuels s’ap- puyant sur la géolocalisation, réalité augmentée, sont autant de terrains d’innovation en pleine ébullition. En coulisses, le « cloud computing » et ses nombreuses variantes offrent l’in- frastructure nécessaire à la circulation des données et à la délivrance de ces services. - Une révolution associée à de nouveaux risques Ce que l’on a appelé pendant longtemps « convergence » se matérialise en effet en ce moment même dans les télé- phones mobiles de dernière génération. Mais ce phénomène engendre des risques sécuritaires énormes ; les smartphones concentrent désormais en un objet physique unique la quasi- intégralité des données privées associées à son utilisateur : liste de contacts classés par type de relation (amis, famille, Figure 3 : Rapport d’activité du Cyber Clean Center japonais (https://www.ccc.go.jp http://www.ccc.go.jp/, janvier 2011). 40 ◗ REE N°2/2012 Les cyber-attaques, un risque pour nos grandes infrastructures ? autres), coordonnées de paiement, mots de passe web, his- torique de navigation, musique, vidéos, photos, documents de travail. Ce sont autant d’informations auparavant épar- pillées sur différents équipements physiquement distincts (PC, baladeurs, clefs USB, cartes bancaires, appareils photo, etc.) et désormais stockées en un endroit unique. Pire, ces données se contaminent et s’enrichissent mutuellement : Fa- cebook (et d’autres) enrichit les contacts du téléphone avec les avatars récupérés sur le réseau social et utilise le carnet d’adresses pour découvrir de nouveaux contacts en ligne ; les fonctions de géolocalisation du téléphone, par GPS ou par triangulation Wi-Fi, pratiquement activées en permanence, permettent de localiser en temps réel les actions réalisées sur le téléphone et de les contextualiser. Un eldorado de nouveaux services, avec une réelle valeur ajoutée pour l’utilisateur, mais qui ont une contrepartie : pour fonctionner, il leur est nécessaire de collecter, ponctuelle- ment ou en permanence, les données produites et apparte- nant à leur utilisateur. L’euphorie qui accompagne cette évolution fait contraste avec la « panique complète » qui s’est emparée des profes- sionnels de la sécurité. En effet, la bataille pour la protection des données personnelles est d’autant plus difficile que ces données sont plus ou moins volontairement abandonnées par leurs propriétaires qui ne voient pas mort d’homme à transmettre à un serveur tiers leur localisation géographique ou leur carnet d’adresses. Et bien que dans beaucoup de cas le consentement de l’utilisateur soit pratiquement extorqué à l’aide de conditions générales de vente abusives, incompré- hensibles ou évoluant avec le temps, il ne faut pas s’y tromper. La popularité extrême des réseaux sociaux tels que Facebook, Twitter ou LinkedIn démontre que les internautes consentent massivement au pillage de leurs données privées – pire, ils en sont les principaux acteurs. Ainsi, la plupart des débats de ces dernières années sur la protection de la vie privée sont malheureusement des débats d’experts qui intéressent trop peu le grand public, tant ce dernier est occupé à profiter des innovations offertes par ces nouveaux services, sans s’aper- cevoir de la véritable révolution : du point de vue des éditeurs ces services, le produit, c’est l’utilisateur et la montagne de données personnelles qu’il produit. - Un écosystème sécurité à part entière D’un point de vue strictement technique, le téléphone mobile possède une architecture assez proche d’un ordi- nateur personnel : connectivité réseau (réseaux mobiles GSM/2G/3G/4G, Wi-Fi, Bluetooth), micro-processeur(s), RAM, mémoire de masse sur laquelle se trouve un système de fichiers, connectique externe, interface homme-machine (écran tactile et/ou clavier), composant électronique de sé- curité, etc. La première différence notable est la présence d’un élément étranger au téléphone, sans lequel rien ne fonctionne : la carte SIM, qui est un véritable système dans le système, dépositaire de l’identité de l’abonné au réseau mobile. Les cartes SIM modernes sont capables d’exécu- ter des applications de plus en plus complexes (Gemalto a d’ailleurs lancé une carte SIM disposant d’une application Facebook pré-embarquée), de communiquer avec le réseau et surtout, de fournir au téléphone les primitives cryptogra- phiques nécessaires à la communication avec le réseau mo- bile (authentification de l’utilisateur et du réseau, chiffrement des communications etc.). A moins de disposer de moyens techniques importants, la SIM est difficilement attaquable physiquement et peut donc stocker avec un niveau de sécu- rité élevé des données cryptographiques, telles que les clefs privées définissant l’identité de l’utilisateur, ou encore ses coordonnées bancaires. Limité à l’essentiel, l’environnement matériel et logiciel que constitue la carte SIM ouvre en outre la voie à l’établissement d’une preuve formelle de l’absence de vulnérabilités des applications qu’elle héberge, à travers la certification Critères Communs (norme ISO 15408). Ce monopole de l’identité, longtemps détenu par les opé- rateurs de télécommunications qui fournissent des cartes SIM à leurs clients, a été récemment mis à mal par Apple, une rumeur insistante lui prêtant l’intention fin 2010 de vou- loir s’associer avec Gemalto pour pré-embarquer dans les iPhone une carte SIM sous son contrôle exclusif. Un tel projet aurait eu pour résultat de s’approprier ainsi la relation client/ réseau, et de reléguer les opérateurs de télécommunications à de simples transporteurs de flux sans visibilité sur l’identité de leurs usagers. Des débats similaires animent le secteur du paiement mobile et portent notamment sur le contrôle du composant NFC par l’opérateur, ou par le constructeur du téléphone. A l’autre bout de la chaîne, le système d’exploitation est aujourd’hui la différence la plus notable entre les smart- phones et les ordinateurs personnels. Si sur ces derniers, l’OS Windows poursuit sa domination, en revanche sur les smartphones, c’est Linux qui fait la course en tête, grâce à Android. Et si, il y a dix ans, on tentait d’adapter aux smart- phones des versions allégées des OS d’ordinateurs person- nels, aujourd’hui ce n’est plus le cas : les OS équipant les téléphones mobiles sont désormais conçus de A à Z pour satisfaire un usage mobile et non pour mimer leurs cousins sur PC. L’explosion du marché des smartphones a ainsi été l’occasion de reprendre à zéro les modèles de sécurité des OS : en premier lieu, l’utilisateur n’est pas maître de l’OS et évolue avec des droits d’accès non privilégiés, afin d’éviter REE N°2/2012 ◗ 41 Réseaux et cybercriminalité, l’opérateur au cœur de la bataille la catastrophe lors de l’installation d’une application mal- veillante, qui ne peut ainsi plus prendre la main complète- ment sur le système – à l’exception du cas du téléphone débridé (« jailbreaké ») où l’intégrité du système n’est plus assurée, et où l’usager devient super-utilisateur. En outre, les applications sont désormais isolées les unes des autres ; par exemple sur Android, chaque application est lancée dans son propre conteneur en mémoire et ne pourra accéder qu’à ses Autorisations Cette application peut accéder aux éléments suivants : Vos comptes Agir en tant qu’authentificateur de compte Permet à l’application d’utiliser les fonctionnalités d’authentifica- tion de compte du service AccountManager, y compris pour créer des comptes, et obtenir et définir les mots de passe associés. gérer la liste des comptes Permet à l’application d’effectuer certaines opérations, par exem- ple d’ajouter ou de supprimer des comptes et d’effacer les mots de passe associés. Services payants envoyer des SMS Permet à l’application d’envoyer des SMS. Des applications mal- veillantes peuvent utiliser cette fonctionnalité et engendrer des frais en envoyant des messages à votre insu. Votre position Localisation OK (GPS) Permet d’accéder à des sources de positionnement précises telles que le système GPS de la tablette, lorsque ce type de service est disponible. Des applications malveillantes peuvent utiliser cette fonctionnalité pour déterminer votre position, ce qui peut entraî- ner une consommation accrue de la batterie. Permet d’accéder à des sources de positionnement précises telles que le système GPS du téléphone, lorsque ce type de service est disponible. Des ap- plications malveillantes peuvent utiliser cette fonctionnalité pour déterminer votre position, ce qui peut entraîner une consomma- tion accrue de la batterie. Vos messages modifier les SMS ou les MMS Permet à l’application de modifier les SMS stockés dans votre tablette ou dans votre carte SIM. Des applications malveillantes peuvent utiliser cette fonctionnalité pour supprimer vos messa- ges. Permet à l’application de modifier les SMS stockés dans votre téléphone ou dans votre carte SIM. Des applications malveillantes peuvent utiliser cette fonctionnalité pour supprimer vos messages. recevoir des SMS Permet à l’application de recevoir et de traiter des SMS. Des ap- plications malveillantes peuvent utiliser cette fonctionnalité pour surveiller vos messages ou les supprimer avant même que vous puissiez les voir. Lire les SMS ou les MMS Permet à l’application de lire les SMS stockés dans votre tablette ou dans votre carte SIM. Des applications malveillantes peuvent utiliser cette fonctionnalité pour lire vos messages confidentiels. Permet à l’application de lire les messages SMS stockés dans votre téléphone ou dans votre carte SIM. Des applications malveillantes peuvent utiliser cette fonctionnalité pour lire vos messages confi- dentiels. Communications réseau accès Internet intégral Permet à l’application de créer des connecteurs réseau. Vos informations personnelles Accéder aux données des contacts Permet à l’application de lire toutes les coordonnées (adresses) de vos contacts qui sont stockées dans votre tablette. Des applications malveillantes peuvent utiliser cette fonctionnalité pour envoyer ces données à d’autres personnes. Permet à l’application de lire toutes les coordonnées (adresses) de vos contacts qui sont stockées dans votre téléphone. Des applications malveillantes peuvent utiliser cette fonctionnalité pour envoyer ces données à d’autres personnes. modifier les données d’un contact Permet à l’application de modifier les coordonnées (adresses) de vos contacts qui sont stockées dans votre tablette. Des applications malveillantes peuvent utiliser cette fonctionnalité pour effacer ou modifier ces coordonnées. Permet à l’application de modifier les coordonnées (adresses) de vos contacts qui sont stockées dans votre téléphone. Des applications malveillantes peuvent utiliser cette fonctionnalité pour effacer ou modifier ces coordonnées. Appels téléphoniques lire l’état et l’identité du téléphone Permet à l’application d’accéder aux fonctionnalités de téléphonie de l’appa- reil. Une application disposant de cette autorisation peut, par exemple, dé- terminer le numéro d’appel et le numéro de série du téléphone, et également déterminer si un appel est actif et à quel numéro cet appel est connecté. Stockage modifier/supprimer le contenu de la mémoire de stockage USB modifier/supprimer le contenu de la carte SD Permet à l’application de modifier le contenu de la mémoire de stockage USB. Permet à l’application de modifier le contenu de la carte SD. Outils système éditer les paramètres de synchronisation Permet à l’application de modifier les paramètres de synchronisation pour par par exemple savoir si la synchronisation est activée pour l’applica- tion Contacts. Empêcher la tablette de passer en mode veille, Empêcher le télé- phone de passer en mode veille Permet à l’application d’empêcher la tablette de passer en mode veille. Permet à l’application d’empêcher le téléphone de passer en mode veille. Tableau 1 : Autorisations demandées à l’installation de l’application Facebook sur Android. 42 ◗ REE N°2/2012 Les cyber-attaques, un risque pour nos grandes infrastructures ? propres fichiers – outre les interfaces mises à disposition par le système et par d’autres applications. De plus, l’installation d’applications additionnelles sur un téléphone est désormais un processus extrêmement verrouillé. Toute application doit être signée par un développeur, lui-même accrédité par le diffuseur (opérateur ou constructeur). L’application ne peut être diffusée en dehors d’un canal unique, maîtrisé par le dif- fuseur (l’Android Market de Google et l’App Store d’Apple en sont les plus connus, mais certains opérateurs et construc- teurs tiers disposent également de leur propre plate-forme de diffusion). Ainsi le diffuseur se donne les moyens, s’il le souhaite, de contrôler la sécurité des applications avant qu’el- les ne soient mises à la disposition des usagers. On voit éga- lement apparaître un modèle rudimentaire de permissions, l’utilisateur se voyant soumettre un avertissement visant à l’informer des différentes fonctionnalités du téléphone que l’application qu’il installe utilisera : accès au carnet d’adresses, envoi de SMS, appels téléphoniques, accès Internet, accès à la géolocalisation, etc. - De nouvelles formes de cybercriminalité Si en théorie, l’industrie semble avoir intégré les retours d’expérience des OS du monde PC et avoir tiré les leçons des vulnérabilités intrinsèques de ces systèmes, en pratique c’est une toute autre histoire : les utilisateurs acceptent sans rechigner les demandes d’autorisation abusives présentées par des applications qu’ils ne connaissent pas. Par exem- ple, des jeux très populaires auront accès à l’intégralité des fonctionnalités du téléphone. Inversement, des applications intrinsèquement néfastes pourront réaliser leur malfaisance sans pour autant requérir des autorisations excessives. Par exemple, le malware « Zitmo », version mobile de « Zeus », ne demande que trois choses : accéder à l’état du téléphone, aux routines de réception des SMS et à Internet. Son cousin « Spitmo », appendice mobile de « SpyEye », demande davan- tage de permissions, mais bien moins que d’autres applica- tions légitimes. Cela induit justement l’utilisateur en erreur, si l’on considère qu’une application légitime comme Facebook demande la quasi-intégralité des permissions disponibles pour fonctionner correctement (tableau 1). Ce système de permissions typique d’Android est ouverte- ment critiqué et ne sert aujourd’hui pratiquement plus à rien. L’erreur est d’avoir confondu les notions de « capacité » et « d’usage malveillant », ce qui n’a pourtant rien à voir. Une ap- plication qui demande de pouvoir envoyer des SMS ne sera considérée comme un malware que si elle diffuse des SMS sans le consentement de l’utilisateur, par exemple à destina- tion de numéros surtaxés. Le fait que l’application Facebook demande l’accès au carnet d’adresses n’en fait pas forcément un malware non plus. C’est donc dans le comportemental et non dans la capacité – et donc dans l’analyse dynamique, complétant l’inspection statique – que se trouve la clef de l’évaluation du caractère malveillant d’une application. Les cybercriminels misent gros sur la téléphonie mobile. On voit depuis plusieurs années se propager des virus, tels que Cabir ou CommWarrior, qui ont connu leurs heures de gloire mais n’ont provoqué que des dégâts collatéraux pour l’utilisateur (saturation des réseaux, facturation excessive due à la propagation massive par MMS etc.). Mais depuis 2010, on assiste à une mutation de la menace très similaire à celle opérée sur le monde du PC au début des années 2000 : de nouveaux virus apparaissent mais poursuivent un objectif essentiellement financier. Les criminels tirent en effet parti d’une différence majeure entre un PC classique et un télé- phone mobile. Un téléphone dispose d’un système de factu- ration intégré, à travers les fonctions d’appel vocal et d’envoi de messages SMS/MMS. Alors que dans le monde du PC, la monétisation d’une infection est purement indirecte (achat en ligne avec la carte bancaire volée, envoi de spam à l’aide des mots de passe dérobés, extorsion de fonds par déni de service, etc.), nécessitant ainsi un support logistique impor- tant pour transformer une donnée volée en argent sonnant et trébuchant (réseau de blanchiment, intermédiaires pour récupérer les marchandises achetées, etc.), en revanche sur un téléphone le gain est direct et quasi-immédiat : il suffit au pirate d’ouvrir une ligne téléphonique surtaxée et d’y envoyer des SMS en masse. Le gain est directement proportionnel au nombre de téléphones mobiles infectés sous son contrôle. Ainsi, 2011 a vu la première véritable pandémie virale à vocation crapuleuse sur téléphones mobiles. Sans qu’un chiffre précis soit avancé par les opérateurs nord-américains concernés, ces derniers concèdent que le malware « GGTrac- ker » a contaminé des centaines de milliers de téléphones rien qu’aux Etats-Unis, loin devant tout autre virus connu sur téléphone mobile. Chacune des victimes du malware se voyait abonnée d’office, et sans son consentement, à des services SMS surtaxés. C’est ainsi que l’on voit exploser d’année en année le nombre de souches de malwares mobiles en circulation, et ce, en majeure partie sur Android. La menace provient d’abord des diffuseurs alternatifs d’applications, certains ne pratiquant aucun contrôle avant la diffusion d’un programme. Ces diffuseurs alternatifs sont très populaires en Chine, où les usagers font beaucoup moins appel à l’Android Market of- ficiel de Google. La stratégie de diffusion préférée des pirates est le « re-packaging », qui consiste à recopier une application légitime, la décoder, et y insérer le code de leur cheval de Troie. Certaines de ces applications parviennent parfois sur REE N°2/2012 ◗ 43 Réseaux et cybercriminalité, l’opérateur au cœur de la bataille l’Android Market, mais sont en général rapidement signalées à Google par les utilisateurs qui ont remarqué une anomalie ou un comportement suspect. Cette stratégie de diffusion fonctionne tellement bien qu’à ce jour, contrairement au monde PC, aucun malware mobile n’a eu besoin d’exploiter de faille dans l’OS du téléphone pour s’installer, l’utilisateur lui donnant gracieusement cette autorisation. Les cybercriminels ne connaissent pas à ce jour de réel obstacle : les anti-virus mobiles restent rudimentaires et peu efficaces, ne travaillant qu’à partir de signatures exactes de vi- rus connus et pour la majorité incapables d’opérer au niveau comportemental. Il est remarquable de noter que l’édition de mars 2012 du rapport AVTest.com, qui évalue des logiciels de protection, présente des résultats catastrophiques pour une vingtaine de solutions anti-virus mobiles, six de ces solu- tions ne détectant même aucun malware utilisé lors du test. L’avenir nous réserve des surprises : les OS mobiles sont encore largement immatures et en pleine évolution. Pour preuve, les premières versions d’Android, encore largement utilisées dans le monde, ne sont plus maintenues par Google et dans de nombreux cas les constructeurs ne se sont même pas donné la peine de mettre à disposition un mécanisme de mise à jour. Ainsi, des milliers de terminaux resteront du- rablement vulnérables, faute de support. En outre, les systè- mes d’exploitation de smartphones semblent connaître un mouvement de consolidation avec leurs cousins du monde PC : Windows 8 est par exemple le premier OS hybride, iden- tique sur un ordinateur de bureau et sur un smartphone. Par ailleurs, dans sa version 3.3, le noyau Linux intègrera les mo- difications réalisées par Google pour Android. Et enfin, des voix s’élèvent pour transplanter vers l’écosystème PC le mode centralisé de distribution et de validation d’applications utilisé sur les smartphones – sans grand succès jusqu’ici cependant. Ces mouvements de fond auront un impact considérable sur l’écosystème cybercriminel dans les années à venir. La sécurité à l’ère des attaques ciblées Toutes les formes de cybercriminalité ne se valent pas ; de- puis l’attaque formulée identiquement à destination de milliers de cibles, jusqu’à l’attaque hautement ciblée et conçue sur me- sure, les modes opératoires diffèrent et avec eux, les impacts associés. A cet égard, depuis l’année 2010, l’impact des sinistres informatiques n’a cessé d’augmenter, avec l’apparition d’atta- ques d’un niveau de personnalisation et de complexité remar- quable. La découverte du ver StuxNet, conçu pour s’en prendre à une classe très particulière de systèmes de contrôle industriels (ou « SCADA ») – à savoir, les contrôleurs Siemens associés à un type très particulier de centrifugeuses que l’on ne rencontre que dans les sites d’enrichissement d’uranium – a fait couler énormément d’encre. Et même si les investigateurs n’en auront jamais la preuve formelle, ce virus semble avoir été conçu pour perturber le programme nucléaire iranien et y être parvenu pendant de longs mois. Le degré de sophistication d’une telle attaque était jusqu’ici totalement inconnu. Une telle arme informatique n’a pu être conçue qu’en laboratoire, par plusieurs experts du domaine, minutieusement préparés et outillés. Le financement de cette arme dépasse très largement les budgets de développement modiques de la plupart des logiciels espions, outils d’intrusion automatisés et chevaux de Troie. - Quand la sphère sociétale s’active Sur un autre front, depuis quelques années se manifeste le durcissement d’une menace jusqu’ici rampante, la menace « hacktiviste », dont la bannière la plus connue est sans doute celle du mouvement « Anonymous ». Ce nom, qui désigne davantage une « marque » dont n’importe qui peut se re- vendiquer plutôt qu’un groupe structuré, est associé à des attaques informatiques de déni de service massives. Début 2011, des individus particulièrement dangereux ont rejoint le mouvement, notamment le groupe « LulzSec », clan de pirates à la structure traditionnelle, groupés autour d’un leader charismatique et extrêmement compétent. Pendant quelques mois, LulzSec, agissant plus tard sous sa nouvelle bannière AntiSec, se rendra responsable du piratage de nom- breuses sociétés de sécurité, telles que HBGary, Unveillance ou encore Stratfor, à chaque fois avec un mode opératoire vi- sant à maximiser les dégâts : les organisations piratées voient leurs données confidentielles publiées sur Internet, les met- tant dans des situations particulièrement embarrassantes. On apprend à cette occasion qu’Unveillance travaillait pour le gouvernement américain à la subversion des systèmes d’information libyens peu avant la guerre ; et tout un chacun peut désormais consulter librement les noms des sources humaines (les « indics ») utilisées par l’agence de renseigne- ment privée Stratfor pour compiler ses rapports. Ajoutons à cette liste les intrusions ciblées ayant compro- mis la sécurité d’organisations sensibles comme RSA, Loc- kheed Martin, le ministère des Finances ou encore Areva ; ces opérations d’espionnage informatique massives impac- tent des centaines de firmes et réseaux gouvernementaux depuis bientôt dix ans. - Vers une refondation de la sécurité ? Quoique ces menaces n’aient pas grand chose à voir entre elles, la leçon de ces incidents est triple. Le premier point est que la menace est devenue absolue : des pirates com- pétents, motivés par l’idéologie ou le patriotisme, ne ces- 44 ◗ REE N°2/2012 Les cyber-attaques, un risque pour nos grandes infrastructures ? seront leurs attaques que lorsqu’ils auront obtenu ce qu’ils cherchent. Cela illustre un fait bien connu des spécialistes : l’attaquant a toujours l’avantage. Les sociétés pratiquant les tests d’intrusion le savent bien, tout système peut être com- promis et la seule chose qui peut faire échouer un consultant compétent est le budget (en temps ou en argent) qui lui est accordé pour l’intrusion. Dès lors que ce verrou saute, l’at- taquant aura toujours gain de cause. La conséquence pour les entreprises et organisations évoluant dans des domaines sensibles est la nécessité de revoir de fond en comble leurs modèles d’évaluation des risques. Elles doivent non plus rai- sonner en termes de probabilité d’occurrence – ce qui laisse entendre que l’intrusion n’aura peut-être jamais lieu, mais en termes de fréquence d’occurrence du risque – qui reconnaît clairement qu’une intrusion aura lieu tôt ou tard. La deuxième grande leçon de ces incidents de très grande ampleur est qu’il est désormais établi que des organisations, petites ou grandes, peuvent subir un préjudice informatique d’origine externe ayant un impact total pouvant engager dans de nombreux cas la survie de l’entreprise. Soulignons au pas- sage le caractère persistant de cet impact : la réputation de l’entreprise et/ou de ses dirigeants reste durablement enta- chée par l’incident, les données lui étant dérobées restant parfois accessibles sur Internet des années après l’incident initial, exposées à la vue de tous. Enfin, la troisième leçon de ces attaques est que notre industrie a perdu le contrôle de l’informatique (figure 4), la complexité exponentielle des systèmes d’information n’étant plus compensée par des outils de contrôle adéquats de leur qualité. A tel point que des failles extrêmement basiques et simples à exploiter restent légion et demeurent la porte d’en- trée privilégiée dans les réseaux. Conclusion L’opérateur de télécommunications, traditionnellement neu- tre, est condamné à changer de posture face à une menace décuplée. Que ce soit pour des raisons économiques – l’ac- croissement de la demande sécuritaire du marché, ou pour des raisons réglementaires – les législateurs étant de plus en plus enclins à réguler les réseaux au nom de la lutte contre le terrorisme, la pédophilie ou la cybercriminalité – le métier d’opérateur a d’ores et déjà commencé à muter en profon- deur dans de nombreux pays. Cette nécessaire évolution peut seule préserver l’utilisateur final, et la société dans son ensemble, de l’hostilité d’Internet. Figure 4 : Moyen par lequel est découverte l’intrusion (source : Data Breach Report, Verizon, 2012). Pierre Caron est diplômé de l’Ecole des Mines de Nantes. Il a exercé au sein du Cert-Lexsi pendant sept ans en tant qu’ana- lyste en cybercriminalité, puis en tant que responsable de l’activité Veille et Investigations ; il occupe aujourd’hui le poste d’expert sécurité au sein du laboratoire Security and Trusted Transactions d’Orange Labs. Il enseigne par ailleurs depuis plusieurs années (Mines de Nantes, Ecole de Guerre Economique, ESIEA Paris, ISEAM, Ecole Centrale d’Electronique…) et est le co-auteur de l’ouvrage collectif « Manuel d’Intelligence Economique » (éditions PUF, 2012). l' auteur