Le Panorama de la cybercriminalité mondiale en 2015 dressé par le CLUSIF fait la part belle à l’Internet des objets, à la mobilité, à l’exploitation et au commerce des vulnérabilités ainsi qu’à l’évolution technique et astucieuse de la menace.
Un retour d’actualité sur les terribles évènements de novembre a également permis de mieux comprendre le rôle d’Internet durant cette période et les réponses immédiates des services de l’état dans le domaine cyber. Pour compléter cette rétrospective l’aspect juridique n’a pas été oublié. Qu’il s’agisse des objets connectés ou du renseignement, les experts du CLUSIF ont montré que bien des choses avaient évolué au cours d’une année intense pour les cybercriminels et ceux qui les poursuivent.
Ci-dessous une synthèse des différentes interventions :
- Attaques astucieuses ou comment les cybercriminels nous surprennent
- 0-days : analyse des marchés noirs des outils d’attaques numériques
- Cyber-diplomatie : Chine, États-Unis mais pas seulement
- Jihad numérique : état des lieux, enjeux opérationnels et juridiques
- Objets connectés : 2015 l’année du piratage des voitures, et demain ?
- Nos téléphones mobiles : des cibles de premier plan
- Les conséquences d’une attaque
Attaques astucieuses ou comment les cybercriminels nous surprennent
Fabien Cozic, Directeur d’enquêtes privées – Red Team
« Tout investi qu’il soit dans la lutte contre le cybercrime, un esprit honnête se doit de reconnaître que l’étude de certaines nouvelles techniques d’attaque lui a fait découvrir une créativité qui parfois confine au génie », constate Fabien Cozic. Les processus de recherche et développement de certaines entreprises criminelles ont de nouveau fait parler d’eux en 2015 avec des attaques par satellite, une modification du cœur de cartes bancaires, des détournements de services de développement d’applications ou encore de jouets électroniques.
L’année 2015 a été marquée par la ruse, l’astuce et le hack au sens propre du terme pour détourner la destination première d’un objet ou d’un système afin d’aboutir à une utilisation frauduleuse et rentable.
« En 2015, les cybercriminels ont mis les bouchées doubles notamment sur le plan technique, et qu’en conséquence, leurs méfaits se sont affichés impunément en une de la presse mondiale et que leurs gains atteignaient des sommets, obligeant au renforcement de dispositifs de sécurité devant, une fois de plus, rattraper leur retard », conclut Fabien Cozic.
Zero-days : analyse des marchés noirs des outils d’attaques numériques
Loïs Samain, Consultant Cybersécurité / Cyberdéfense – CEIS
Le marché des 0-days a évolué durant l’année 2015, aussi bien d’un point législatif que d’un point technique. On notera tout d’abord que de nouvelles boutiques en ligne sont apparues dans le DarkNet : certaines se sont spécialisées dans le commerce de produits à très haute valeur ajoutée, comme avec TheRealDeal qui se focalise sur la vente de codes 0-day et d’exploits. Les prix des 0-days se basent sur une règle du type « plus le nombre de vulnérabilités est faible, plus le prix augmente. » Pour une faille 0-day, ils varient entre 500 et 40,000 dollars. Cette année, le record revient à Zerodium pour une faille iOS 9.1/9.2b à 1 000 000 dollars.
Au niveau de la législation, le marché des 0-days a aussi évolué cette année. Le Bureau de l’Industrie et de la Sécurité américain (BHS) a proposé une transposition dans la loi américaine de l’évolution de l’arrangement de Wassenaar de décembre 2013 : en plus des logiciels d’intrusion et de communication ajoutés dans cette nouvelle version de l’arrangement, les Etats-Unis y ont joint la recherche et l’exploitation de vulnérabilités 0-days. Un fort levé de boucliers de la communauté a poussé la BHS à réfléchir à une nouvelle transposition de l’arrangement de Wassenaar, malgré que déjà plus de 30 états américains appliquent cette règle.
Le métier de Bug Bounty a aussi évolué cette année dans sa professionnalisation. En plus de nombreuses plateformes (HackerOne, BugCrowd ou encore FireBounty), les primes pour la découverte d’une vulnérabilité ont considérablement augmentés et les sociétés sont de plus en plus hétérogènes. Les récompenses se diversifient aussi, jusqu’à proposer des points Miles pour United Airlines. Enfin, avec l’apparition de Zerodium, un nouveau modèle de grossiste est apparu, avec une tarification claire et des primes très élevés pour des demandes très précises.
Cyber-diplomatie : Chine, Etats-Unis mais pas seulement
Loïc Guezo, Cybersecurity Strategist – Trend Micro
L’Internet est-il devenu le nouvel espace de confrontation des pouvoirs ? Loïc Guezo rappelle que « Depuis sa création en 1998 l’ICANN était par construction sous dominance américaine. Mais les dernières années ont vu cette position très challengée, notamment par la Chine. En 2013 », poursuit-il, « suite aux premières révélations Snowden sur la surveillance de masse effectuée par la NSA, le monde entier, prenant conscience de sa dépendance d’un Internet gouverné de facto par les Etats-Unis, a exprimé sa perte de confiance dans les systèmes de gouvernance actuels et une volonté forte de les rééquilibrer, au profit de tous, dans le manifeste de Montevideo sur le futur de la coopération Internet ».
Concernant les rapports Etats-Unis/Chine, on doit noter la part grandissante des aspects cyber dans toutes les dernières réunions bilatérales diplomatiques de l’année 2015, mais aussi, multilatérale, comme en marge de la COP21 de Paris. Il précise que « si l’on parle désormais favorablement de cyber-diplomatie, il ne faut pas oublier que le cyber est désormais partie prenante de tous les conflits ou confrontation géopolitique, notamment des attaques ciblées gouvernementales ».
Le cas récent de piratage de l’Office de Gestion du Personnel américain (OPM), rendu public en juillet 2015 et attribué par les Etats-Unis à la Chine, a servi de fil rouge à cette démonstration. « Face à l’ampleur d’un piratage, qui concerne les données personnelles de plus de 20 millions d’agents du gouvernement américain, dont des entretiens classifiés pour l’obtention de postes sensibles liés à la sécurité nationale, ou des relevés d’empreintes digitales – ce qui est inédit – les Etats-Unis et la Chine se sont retrouvés autour d’une table pour négocier et sortir par le haut en annonçant avoir trouvé un terrain d’entente : arrestations de hackers en Chine, définition de lignes de bonne conduite sur le commerce… en termes très diplomatiques ».
Lire la suite sur InformatiqueNews
Egalement sur InformatiqueNews :