Cybercriminalité, Enquète Sur Les Mafias Qui Envahissent Le Web

Creative Commons BY-NC-ND
cybercriminalite.book Page V Jeudi, 14. septembre 2006 8:25 20
Table des matires
Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IX
Chapitre 1 Internet : le nouveau filon des organisations criminelles . . . . 1
1.1 Une exploitation professionnelle de la cybercriminalit . . . . . . . . . . 2
1.2 Des pertes estimes en million deuros . . . . . . . . . . . . . . . . . . . 6
Chapitre 2 Les maillons faibles de la scurit informatique . . . . . . . . . 13
2.1 Linternaute et lingnierie sociale . . . . . . . . . . . . . . . . . . . . . 14

2.1.1 Lingnierie sociale . . . . . . . . . . . . . . . . . . . . . . . . . 14
2.1.2 La phase de renseignements . . . . . . . . . . . . . . . . . . . . . 16
2.1.3 Quelques exemples . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.1.4 Comment lutter contre l'ingnierie sociale . . . . . . . . . . . . . . 22
2.2 Les failles de scurit logicielles . . . . . . . . . . . . . . . . . . . . . . . 23

2.2.1 Lattaque Scob/Padodor . . . . . . . . . . . . . . . . . . . . . . 25
2.2.2 Lattaque GDI+ . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.2.3 Les attaques du protocole Bluetooth . . . . . . . . . . . . . . . . . 27
Chapitre 3 Vols et pertes de donnes personnelles . . . . . . . . . . . . . . 29
3.1 Donnes personnelles : pertes et profits . . . . . . . . . . . . . . . . . . 29
3.2 Les pertes de donnes sensibles . . . . . . . . . . . . . . . . . . . . . . . 31
3.3 Le vol des donnes : le march aux puces . . . . . . . . . . . . . . . . . 32

cybercriminalite.book Page VI Jeudi, 14. septembre 2006 8:25 20

VI Cybercriminalit
Chapitre 4 Le phishing : lapproche artisanale . . . . . . . . . . . . . . . . 39
4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.2 Les techniques du phishing . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.2.1 Comment harponner la victime . . . . . . . . . . . . . . . . . . . 43
4.3 Les mcanismes dattaques . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4.3.1 Attaque par le milieu . . . . . . . . . . . . . . . . . . . . . . . . 48
4.3.2 Obfuscation dURL . . . . . . . . . . . . . . . . . . . . . . . . 49
4.4 Les diffrentes protections . . . . . . . . . . . . . . . . . . . . . . . . . . 52
Chapitre 5 Le phishing : lapproche industrielle . . . . . . . . . . . . . . . 55
5.1 Le pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
5.1.1 Lattaque par empoisonnement du cache DNS et le pharming. . . . . . 56
5.1.2 Quelques exemples dattaques . . . . . . . . . . . . . . . . . . . . 56
5.1.3 Quelques mesures de lutte . . . . . . . . . . . . . . . . . . . . . 57
5.2 Les botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
5.2.1 Quelques chiffres . . . . . . . . . . . . . . . . . . . . . . . . . 59
5.2.3 Les attaques par botnets . . . . . . . . . . . . . . . . . . . . . . 60
5.3 Le vishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Chapitre 6 Le racket numrique . . . . . . . . . . . . . . . . . . . . . . . . 65
6.1 Les attaques contre les entreprises . . . . . . . . . . . . . . . . . . . . . . 66

6.2 Les attaques contre les particuliers . . . . . . . . . . . . . . . . . . . . . . 67
6.3 Les spams . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
6.3.1 Le spam nigrian . . . . . . . . . . . . . . . . . . . . . . . . . 70
6.4 Des parades plus ou moins efficaces . . . . . . . . . . . . . . . . . . . . . 72
6.4.1 Les logiciels antispams . . . . . . . . . . . . . . . . . . . . . . . 73
6.5 Les spammeurs ont toujours un coup davance . . . . . . . . . . . . . . . 74
6.5.1 Le-mail furtif . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
6.5.2 Des e-mails qui leurrent les logiciels antispams . . . . . . . . . . . . 75
6.5.3 Faux blogs, vrais spams . . . . . . . . . . . . . . . . . . . . . . 75
Chapitre 7 La scurit du commerce en ligne . . . . . . . . . . . . . . . . . 77
7.1 La fraude aux paiements . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

cybercriminalite.book Page VII Jeudi, 14. septembre 2006 8:25 20

Table des matires VII
7.2 Les diffrentes solutions de paiement scuris . . . . . . . . . . . . . . . 81

7.2.1 Les protocoles de scurit . . . . . . . . . . . . . . . . . . . . . . 82
7.2.2 Les solutions de micro paiement . . . . . . . . . . . . . . . . . . . 85
7.3 Les sites de paiement sont-ils fiables ? . . . . . . . . . . . . . . . . . . . 88
Chapitre 8 Les entreprises sont mal protges . . . . . . . . . . . . . . . . 91
8.1 Les diffrentes menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

8.1.1 Le vandalisme . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
8.1.2 La vengeance . . . . . . . . . . . . . . . . . . . . . . . . . . . 93
8.1.3 Lattaque programme . . . . . . . . . . . . . . . . . . . . . . . 94
8.1.4 Lespionnage conomique . . . . . . . . . . . . . . . . . . . . . . 95
8.1.5 Les moteurs de recherches . . . . . . . . . . . . . . . . . . . . . 97
8.2 Les obstacles a la scurite informatique . . . . . . . . . . . . . . . . . . . 98
8.3 La prvention des risques . . . . . . . . . . . . . . . . . . . . . . . . . . 100
Chapitre 9 Antivirus : lintox marketing . . . . . . . . . . . . . . . . . . . 107
9.1 La dtection de tous les virus ou la quadrature du cercle . . . . . . . . . 108

9.2 La dtection virale : quand les antivirus font mieux que les cryptanalystes 109
9.3 Le fonctionnement des antivirus . . . . . . . . . . . . . . . . . . . . . . 111
9.4 Le contournement des antivirus . . . . . . . . . . . . . . . . . . . . . . 113
9.5 les autres logiciels de scurit . . . . . . . . . . . . . . . . . . . . . . . . 114
Chapitre 10 Les systmes de dfense des rseaux dentreprise . . . . . . . 117

Dunod La photocopie non autorise est un dlit
10.1 Les menaces contre lentreprise . . . . . . . . . . . . . . . . . . . . . . . 118

10.2 Larchitecture dun rseau scuris . . . . . . . . . . . . . . . . . . . . . 121
10.2.1 La DMZ (zone dmilitarise) . . . . . . . . . . . . . . . . . . . . 121
10.2.2 Le serveur proxy . . . . . . . . . . . . . . . . . . . . . . . . . . 122
10.3 Le temps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124
10.4 Largent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
10.5 Le personnel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127
Chapitre 11 La protection des donnes . . . . . . . . . . . . . . . . . . . . 131
11.1 La sret de linformation . . . . . . . . . . . . . . . . . . . . . . . . . . 133

cybercriminalite.book Page VIII Jeudi, 14. septembre 2006 8:25 20

VIII Cybercriminalit
11.2 La confidentialit des informations : le chiffrement . . . . . . . . . . . . 134

11.3 Lintgrit des informations . . . . . . . . . . . . . . . . . . . . . . . . . 139
11.4 La disponibilit des informations . . . . . . . . . . . . . . . . . . . . . . 140
11.5 La protection du canal de transmission . . . . . . . . . . . . . . . . . . . 142
11.6 Le chiffrement des donnes dans la pratique . . . . . . . . . . . . . . . . 145
Chapitre 12 La pdophilie sur Internet . . . . . . . . . . . . . . . . . . . . 149
12.1 La traque policire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

12.1.1 Des programmes spcifiques . . . . . . . . . . . . . . . . . . . . . 151
12.2 Les logiciels de filtrage . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152
12.2.1 Des fournisseurs daccs laxistes ? . . . . . . . . . . . . . . . . . . 154
Chapitre 13 Banques en ligne : une scurit limite . . . . . . . . . . . . . 157
13.1 Un manque de volont . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

13.2 Les parades (officielles) des banques . . . . . . . . . . . . . . . . . . . . . 160
13.2.1 Le pav numrique . . . . . . . . . . . . . . . . . . . . . . . . . 160
13.2.2 Lantivirus de la banque . . . . . . . . . . . . . . . . . . . . . . 160
13.2.3 Les systmes dauthentification forte . . . . . . . . . . . . . . . . . 161
Chapitre 14 Les vigies dInternet . . . . . . . . . . . . . . . . . . . . . . . 163
14.1 Les organismes officiels francais . . . . . . . . . . . . . . . . . . . . . . . 164

14.1.1 La DCSSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165
14.1.2 Le Ministre de lIntrieur . . . . . . . . . . . . . . . . . . . . . 168
14.1.3 Le Ministre de la Dfense . . . . . . . . . . . . . . . . . . . . . 170
14.2 Les organismes trangers . . . . . . . . . . . . . . . . . . . . . . . . . . . 171
14.2.1 Les Etats-Unis . . . . . . . . . . . . . . . . . . . . . . . . . . 171
14.2.2 Le Royaume-Uni . . . . . . . . . . . . . . . . . . . . . . . . . 172
14.2.3 LAllemagne . . . . . . . . . . . . . . . . . . . . . . . . . . . 172
Chapitre 15 Les tats qui copient les pirates . . . . . . . . . . . . . . . . . 175
15.1 Ltat des forces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176

15.1.1 Les Etats-Unis . . . . . . . . . . . . . . . . . . . . . . . . . . 177
15.1.2 La Russie et les anciens pays du bloc communiste . . . . . . . . . . . 178
15.1.3 Les deux Cores . . . . . . . . . . . . . . . . . . . . . . . . . . 179
cybercriminalite.book Page IX Jeudi, 14. septembre 2006 8:25 20

Table des matires IX
15.1.4 La Chine et lAsie . . . . . . . . . . . . . . . . . . . . . . . . . 179

15.1.5 Le Proche et Moyen-Orient . . . . . . . . . . . . . . . . . . . . 181
15.1.6 Les autres pays . . . . . . . . . . . . . . . . . . . . . . . . . . 182
15.2 Les projets Carnivore et Magic Lantern . . . . . . . . . . . . . . . . . 183
15.3 Laffaire Hans Buehler . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186
Chapitre 16 La lgislation face la cybercriminalit . . . . . . . . . . . . . 191
16.1 Un arsenal juridique adapt . . . . . . . . . . . . . . . . . . . . . . . . . 192

16.1.1 La Convention sur le cybercrime . . . . . . . . . . . . . . . . . . 193
16.2 Des condamnations exemplaires . . . . . . . . . . . . . . . . . . . . . . 193
16.2.1 La guerre contre les spammeurs . . . . . . . . . . . . . . . . . . . 194
16.2.2 Les phishers sont dans le collimateur . . . . . . . . . . . . . . . . . 196
16.2.3 Les logiciels espions mis lindex . . . . . . . . . . . . . . . . . . 197
16.3 Lvolution de la lgislation . . . . . . . . . . . . . . . . . . . . . . . . . 198
Chapitre 17 Lavenir de la cyberdlin-quance : les prochaines cibles . . . . 201
17.1 La mobilit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

17.2 Linvisibilit et lomniprsence . . . . . . . . . . . . . . . . . . . . . . . 205
Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Ouvrages et articles de rfrence . . . . . . . . . . . . . . . . . . . . . . . . . 211
Sites utiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

Sites gouvernementaux . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Autres sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
cybercriminalite.book Page X Jeudi, 14. septembre 2006 8:25 20

cybercriminalite.book Page IX Jeudi, 14. septembre 2006 8:25 20
Avant-propos
En 1983, le film Wargames relate les exploits de Kevin Mitnick, un pirate rendu
clbre pour avoir notamment russi sinfiltrer dans lordinateur du commande-
ment de la dfense arienne amricaine. Vingt ans plus tard, la ralit a largement
dpass la fiction. Les virus informatiques, ou de faon plus gnrale les codes
malveillants, sont partout. Les effets de cette pandmie sont multiples. Tout le
monde est concern, le particulier comme lentreprise.
Lpoque o quelques tudiants en informatique craient des virus est rvolue.
Place la cybercriminalit. Le principal objectif des pirates et des organisations cri-
minelles est largent. Tous les moyens sont bons : faux sites de banque incitant les
clients donner leurs coordonnes bancaires pour ensuite faire des prlvements
(technique du phishing), intrusions dans les rseaux dentreprises pour voler des
informations stratgiques ou mener des oprations de dsinformation afin de faire
capoter un projet, espionnage dordinateurs, tentative de racket dune entreprise en
saturant son site, etc.
Cette nouvelle forme de dlinquance cote trs cher. Selon le FBI, les virus, les
intrusions sur les rseaux et les autres incidents relatifs la scurit cotent, chaque
anne, environ 70 milliards deuros aux entreprises amricaines ! En France, des sta-
tistiques similaires sont rares et ne sont pas rendues publiques. Cest la culture du
secret, une particularit qui nest pas propre notre pays1 mais qui semble nan-
moins plus dveloppe chez nous Rsultat, il est trs difficile destimer ltendue
de ce flau. Les banques, les sites ou les entreprises victimes de piratage ne commu-
niquent que trs rarement. Mme les services spcialiss de la police ont le plus
grand mal connatre ces affaires ou convaincre les victimes de porter plainte afin
de lancer des enqutes !
Aujourdhui, les escrocs du net emploient des mthodes de plus en plus sophisti-
ques et de plus en plus cibles. Il ne sagit plus dinfecter la toile entire mais
datteindre une cible prcise : une entreprise ou un profil dinternautes (les clients de
1. Selon le FBI, seulement 25% des entreprises amricaines victimes d'attaques avertissent les
autorits.
cybercriminalite.book Page X Jeudi, 14. septembre 2006 8:25 20

X Avant-propos
telle ou telle banque). Pour mener bien leurs oprations ils peuvent mme faire
leurs emplettes sur Internet.
Des sites plus ou moins discrets permettent dacheter toute une panoplie : virus,
logiciels espion, programmes permettant de prendre le contrle distance dun PC,
etc. On peut mme y trouver des numros de carte bancaire et des codes entre 3 et
100 euros.
Le plus inquitant est quen faisant quelques requtes prcises sur un moteur de
recherches on peut trouver ce mme genre de programmes en libre accs sur des
blogs phmres. Frustr de ne pas avoir obtenu une promotion, un employ peut
ainsi se venger en infectant le rseau de son entreprise. Un ancien amant peut lui
aussi se venger en espionnant le PC de son ex-compagne. Il peut ainsi rcuprer le
numro et le code daccs de sa carte bancaire afin de faire des achats sur Internet.
Cette volution inquite de plus en plus les responsables de la scurit informatique.
Mais le plus grand danger se situe au niveau des donnes personnelles. Selon Pri-
vacy Rights Clearinghouse, quelque 90 millions de personnes (pas uniquement am-
ricaines compte tenu de la mondialisation des rseaux informatiques) ont t
victimes dun vol d'identit aux tats-Unis entre avril 2005 et juillet 2006. Selon
cette ONG spcialise dans les questions de scurit de donnes sensibles, prs de la
moiti de ces pertes sont classables dans la colonne des vols prmdits fins
d'exploitations nuisibles . Il ne se passe plus un jour sans quon apprenne la
disparition de lordinateur portable dun cadre suprieur ou lintrusion dans une
entreprise. Fin aot 2006, la boutique en ligne du gant amricain des tlcommuni-
cations AT&T a t pirate. Les fiches client (avec le numro de carte de crdit) de
plus de 19 000 personnes ont t drobes.
Parfois, le travail des pirates est facilit par des entreprises. Dbut aot 2006,
AOL a divulgu par erreur les donnes personnelles de 650 000 abonns.
Lavenir est plutt sombre. Messagerie instantane, tlphone IP, tlphones por-
tables Tous ces moyens de communication vont tre, plus ou moins brve
chance. Les particuliers et les entreprises doivent donc redoubler de vigilance car
les diffrents logiciels de scurit (antivirus, antispams, pare-feu) ne peuvent pas
garantir une scurit 100 %. Quoiquen disent certains diteurs qui confondent
marketing et efficacit.
En matire de scurit informatique, le maillon faible est - et restera toujours - luti-
lisateur. Les pirates le savent. Vous aussi vous en serez persuad aprs avoir lu ce livre.
cybercriminalite.book Page 1 Jeudi, 14. septembre 2006 8:25 20
1
Internet : le nouveau filon
des organisations criminelles
Les braquages de fourgons blinds existeront toujours mais on ne peut pas en faire
plusieurs dans la journe ou dans la semaine ! Cest le cas des attaques
informatiques : on peut automatiser des oprations quotidiennes. Et en plus, le
cot (en termes de moyens ncessaires lattaque et de risques juridiques et physi-
ques) est moins lev . Pour ce spcialiste trs au fait de la cyberdlinquance,
lavenir apparat donc comme une vidence : les hold-up virtuels vont augmenter.
Pour tous les experts que nous avons rencontrs, cette volution est trs rcente.
Linformation est bien sr trs difficile vrifier mais il semblerait que, pour la pre-
mire fois en 2005, le montant des vols gnrs sur Internet soit suprieur celui du
trafic de biens rels. Selon les estimations des chercheurs de lorganisation Compu-
ter Econmics, en 2004, le montant des pertes engendres par ces diffrentes attaques
tait de presque 18 milliards de dollars.
Lpoque des informaticiens qui craient des virus dans leur chambre est rvolue.
Le dveloppement des moyens de tlcommunication et la trs forte dpendance des
entreprises, et de la socit en gnral, ont favoris lmergence de la cybercrimina-
lit. Ce terme regroupe trois types dinfraction diffrents :
Les infractions relatives au contenu : diffusion intentionnelle sur le web de
textes ou dimages illgaux (insultes caractre raciste, xnophobe ou nga-
tionniste, pdopornographie) ;
Latteinte la proprit intellectuelle : mise en ligne de fichiers musicaux et
vido gratuits sans laccord des auteurs, vol dun prototype dappareil ou des
codes dun nouveau logiciel

2 Chapitre 1. Internet : le nouveau filon des organisations criminelles
Les infractions lies aux technologies de linformation et de la

communication : diffusion de virus, vol de donnes personnelles, escroque-
ries en ligne
En fait, dans la dfinition de la cybercriminalit, il est dusage de considrer tout

crime ou dlit dans lequel lordinateur est soit le moyen, soit le but.
1.1 UNE EXPLOITATION PROFESSIONNELLE

DE LA CYBERCRIMINALIT
Plusieurs signes tendent confirmer cette tendance. L'anne 2003 tait une anne
de virus ciblant notamment les banques. L'anne 2004 a t marque par des affaires
de chantages afin d'extorquer des fonds. L'anne 2005 me semble avoir t celle o
de vraies connexions sont apparues entre criminalit hors l'Internet et
cybercriminalit 1 explique Pascal Lointier, prsident du Clusif, le Club de la scu-
rit des systmes informatiques franais.
Crer un virus pour planter un ordinateur na plus beaucoup dintrt. Sauf
prouver quon sait le faire. Ce qui intresse les malfrats du net cest lefficacit.
Depuis moins de deux ans, nous sommes passs du crime informatique ludique
bas notamment sur le proof-of-concept (voir encadr ci-dessous) avec des hackers
thiques ou historiques (cherchant montrer les faiblesses du systme en gnral)
une exploitation professionnelle de la cybercriminalit. La preuve : depuis Slam-
mer, il ny a plus de vagues de virus qui plantent tous les ordinateurs, nous explique
Patrick Pailloux, directeur central de la scurit des systmes d'information. L're
des attaques virales de masse est termine. Cest le gain financier qui compte
maintenant.
Le proof-of-concept
Cette notion dsigne un code conu et ralis dans le but de prouver quun risque
donn et identifi est bien rel. Dans le domaine de la virologie, ce concept est
fondamental. Il permet de prouver techniquement, selon une dmarche scientifique
avre, quun risque existe. Il permet galement de lutter contre les rumeurs, faux
bruits et autres fantasmes. Ainsi, les volutions majeures en virologie sont le fait
dauteurs qui ont publi des proof-of-concept (premier virus polymorphe, premier
code mtamorphe, premier virus pour tlphone portable). Cette notion divise
les opinions : alors que les diteurs dantivirus diabolisent systmatiquement tous les
auteurs de ce genre de codes, quils soient chercheurs reconnus ou simple program-
meurs lesquels se contentent de les rendre publics sans les utiliser le monde
scientifique et universitaire considre cela comme relevant dune dmarche scienti-
fique et intellectuelle rigoureuse. Le dbat nest pas prs dtre clos.
1. Libration, 13/01/2006.

1.1 Une exploitation professionnelle de la cybercriminalit 3
Publie en avril 2006, la neuvime dition de l'Internet Security Threat Report de

Symantec, le numro 1 mondial de la scurit, confirme en effet que les codes mal-
veillants sont devenus des armes trs cibles et sophistiques. Ce rapport, qui couvre
la priode du 1er juillet au 31 dcembre 2005, fait tat d'une nette augmentation du
nombre de menaces conues pour faciliter la cybercriminalit : Alors que les atta-
ques taient auparavant conues pour dtruire les donnes, celles d'aujourd'hui
visent davantage voler discrtement les donnes, sans provoquer de dgts nota-
bles qui avertiraient l'utilisateur .
Types d'attaque ou de dtournement identifis ces 12 derniers mois

(par pourcentage de correspondants)
100
Attaque interne
rseau Internet
Virus
Vol d'ordinateurs
80 portables
Atteinte la
confidentialit
des donnes
Dni de service
60
Intrusion de systmes
Vol de donnes
Fraude tlphonique
40 Fraude financire
Sabotage matriel
Attaque de rseaux
sans fil
Dtournement
20 dapplications Web
Dfacement
de sites Web
0
1999 2000 2001 2002 2003 2004 2005
2005 : 500 correspondants
Figure 1.1 La palette des codes malveillants devient de plus en plus large,
la tendance tant lutilisation darmes cibles et sophistiques.
Dans son prcdent rapport (premier semestre 2005), Symantec signalait une
progression des codes malicieux conus des fins financires. Cette tendance s'est
maintenue tout au long du deuxime semestre 2005. Les codes malicieux permet-
tant d'accder des informations confidentielles reprsentent aujourd'hui 80 % des
50 principaux codes malicieux rpertoris, contre 74 % au cours du premier semes-
tre 2005 .

Autre constat selon Symantec : le dclin notable des menaces de catgories 3

et 4 (modres et extrmement graves) et laugmentation proportionnelle des mena-
ces de catgories 1 et 2 (faibles et trs faibles). Le nombre de nouvelles familles de
virus Win32 a lui aussi baiss de 39 % (de 170 nouvelles familles au cours du premier
semestre 2005, 104 au cours du deuxime semestre). Les codes dits Win32 sont des
codes excutables crits pour les plateformes Windows nouvelle gnration fonc-
tionnant en 32 bits (depuis W95 et NT).
Ces chiffres semblent indiquer que les dveloppeurs de codes malicieux prfrent
modifier le code source dj en circulation plutt que de crer de toutes pices de
nouvelles menaces .
Cot financier total par type d'attaques en dollars
Virus 42 787 767 $

Accs frauduleux 31 233 100 $
Vol de donnes 30 933 000 $
Dni de service 7 310 725 $
Attaque interne rseau Internet 6 856 450 $
Vol d'ordinateurs portables 4 107 300 $
Fraude financire 2 565 000 $
Dtournement d'applications Web 2 227 500 $
Intrusion de systmes 841 400 $
Attaque de rseaux sans fil 544 700 $
Sabotage matriel 340 600 $
Fraude tlphonique 242 000 $
Dfacement de sites Web 115 000 $
0$ 10 millions $20 millions $30 millions $40 millions $50 millions $
Pour 2005, le total des pertes s'est lv 130.104.542 $
Figure 1.2 Malgr une protection accrue (antivirus, firewall)

les dgts occasionns par les codes malveillants ne cessent daugmenter.
Les organisations criminelles qui svissent sur Internet seraient donc entres
dans une logique conomique qui consiste minimiser les cots de fabrication (en
loccurrence des codes malveillants) pour optimiser leur forfait Pour atteindre cet
objectif, elles sengouffrent dans les diffrents maillons faibles de la scurit informa-
tique (voir chapitre 2) et les limites intrinsques aux antivirus (chapitre 11). Des
hackers ont mme mis sur pied des sites e-commerce proposant des exploits 1 pri-
vs capables de contourner ces logiciels de scurit.
Encore plus surprenant, deux sites vendaient des chevaux de Troie indtectables
par les antivirus conventionnels. Ferms il y a quelques mois, ils permettaient qui-
1. Tout ou partie d'un code permettant d'utiliser une vulnrabilit ou un ensemble de vulnrabili-
ts d'un logiciel (systme ou application) des fins malveillantes. Source : CERTA.

1.1 Une exploitation professionnelle de la cybercriminalit 5
Petite annonce : A louer bataillon de robots

Rien voir avec de la science-fiction : pour les spcialistes en scurit informati-
que, ces robots-l sont devenus une vraie plaie. Lennemi public abattre. Ces
robots sont en ralit les ordinateurs de monsieur-tout-le-monde ou dentreprises
dont des pirates ont pris le contrle. A linsu de leur utilisateur ! Cest ce quon
appelle des PC zombies ou botnet . Selon lditeur dantivirus McAfee, il y
a aujourd'hui dans le monde entre 4 et 6 millions de machines infectes .
Aprs avoir plac un programme malveillant, le pirate peut commander
distance nimporte quelle fonctionnalit : il peut ouvrir le lecteur DVD, lancer
un traitement de texte, brouiller lcran Mais son but nest pas de se divertir ou
dpater la galerie. En prenant le contrle dune machine il cherche masquer ses
traces sur la toile et augmenter sa puissance de feu. Car son objectif principal
est dattaquer une entreprise ou un site en saturant son serveur. Dans ce cas, la
victime ne peut plus rien faire car elle est justement dpendance de linformati-
que et du dveloppement des connexions Internet permanentes. Cest ce quon
appelle une attaque en dni de service ou DDoS (Distributed denial of
service). Une arme redoutable : un botnet de 20 lments peut suffire mettre
off line un site , avertit Lionel Morer, responsable du ple conseil et audit en
scurit chez Bull. Une arme dautant plus efficace quelle nest pas chre : selon
le Clusif (Club de la Scurit des Systmes dInformation Franais), un rseau de
500 robots peut se louer 380 euros. L'accs exclusif une seule machine zombie
peut se ngocier partir de 0,35 euro par utilisation. Enfin, une attaque DDoS
peut se vendre entre 38 et 750 euros.
conque de concevoir son propre programme malveillant en slectionnant ses carac-

tristiques, en particulier l'tablissement financier ou bancaire auquel il devait
s'attaquer. D'aprs lditeur dantivirus Panda Software, qui a repr ces deux maga-
sins un peu particuliers, les clients recevaient galement des outils de surveillance et
de rcupration de donnes leur permettant d'obtenir des informations dtailles sur
les PC infects, notamment des mots de passe.
Ce dveloppement de la cyberdlinquance signifie-t-il que les mafias ont trouv

avec le web un nouveau terrain conqurir ? Certains experts que nous avons ren-
contrs relativisent, pour linstant, cette menace. Des mafias ont bien dvelopp des
branches Internet mais elles svissent surtout en Asie et en Russie. La majorit
des attaques proviennent principalement des tats-Unis puisque le hit parade
des pays pirates metteurs de virus et autres codes malveillants s'tablit comme suit :
USA, Chine, Nigeria, Allemagne, Russie et Roumanie.
LInternet nest donc pas encore victime dune pandmie due la propagation de
codes malveillants. Mais la situation ne devrait pas samliorer. Ces organisations
criminelles font en effet appel des informaticiens chevronns qui sont organiss en
commandos spcialiss. Certains sont chargs d'crire les codes. D'autres de les
propager. D'autres encore deffectuer des transferts d'argent, etc. 1 explique Eugne
Kaspersky, un ancien du KGB qui a cr lditeur dantivirus Kaspersky. Et pour ne

Guerre des gangs sur Internet

Le milieu du piratage informatique nest pas un long fleuve tranquille. Selon Yuri
Mashevsky, analyste chez Kaspersky, il y aurait des chasses gardes : Certains
utilisent des programmes malicieux qui dtruisent les autres logiciels dvelopps
par les groupes rivaux . Autre exemple : des confrontations en ligne pour pren-
dre le contrle dordinateurs infects appartenant une autre bande.
rien arranger, les pirates utilisent diffrentes techniques permettant de brouiller les
pistes (techniques danonymisation, implications de plusieurs pays pour faire soppo-
ser les diffrentes lgislations, socits crans) afin de rendre plus compliques les
enqutes des autorits comptentes. Cette gurilla numrique est dautant plus diffi-
cile reprer et dmanteler que ces quipes sont clates sur plusieurs
continents , prcise Eugne Kaspersky.
1.2 DES PERTES ESTIMES EN MILLION DEUROS
Les principales victimes sont les entreprises et les organismes financiers car ils
dtiennent diffrents trsors : fichiers clients avec des donnes plus ou moins
personnelles, dossiers confidentiels sur des projets et prototypes, forte dpendance
aux moyens de communication (et notamment dInternet), etc.
Publi en aot 2005, le rapport IBM Global Business Security Index indique quil y
a eu 237 millions d'attaques virales et informatiques lances dans le monde durant
le premier semestre 2005. Un peu plus de la moiti (137 millions) se sont concen-
tres sur quatre domaines : les sites gouvernementaux, les services financiers, les
constructeurs (tous domaines confondus) et les industries de la sant. Pour valuer
cette situation, le gant de linformatique a interrog 2 700 professionnels de la scu-
rit et sest appuy sur les enregistrements et statistiques fournis par 500 000 outils de
surveillance dans le monde.
La principale cible reste les agences gouvernementales avec un peu plus de
50 millions d'attaques lors des six premiers mois 2005. Viennent ensuite le secteur
industriel (36 millions) et la finance (34 millions). Les tats-Unis ne sont pas un
paradis pour les entreprises puisque cest dans ce pays qua lieu la majorit
(12 millions) des oprations menes par des bandes criminelles ou des individus. Les
deux autres pays les plus touchs le sont beaucoup moins : la Nouvelle Zlande
(1,2 million) et la Chine (1 million).
La cyberdlinquance a donc un impact sur lconomie des entreprises. Dans la
dixime dition de son tude (ralise avec la participation du bureau de San Fran-
cisco du FBI) le Computer Security Institute (CSI) ne se montre pas optimiste. Bas
sur les rponses fournies par 700 responsables de la scurit au sein dentreprises,
1. Libration. 11/02/2006.

1.2 Des pertes estimes en million deuros 7
dagences gouvernementales, duniversits et de diffrentes institutions, ce rapport 1

chiffre environ 130 millions de dollars le montant des pertes en 2005.
Pertes conomiques par type de cyber-risques
39 %
49 %
42 %
39 %
39 % 32 %
25 %
19 %
18 % 27 %
7% 13 %
15 %
9% 2%
5%
20002 2203 2004 2005

456 M$ 202 M$ 141 M$ 130 M$
Sabotage Fraude conomique
Intrusion Vol dinformation et ressources
Source Comprendre et Russir partir des chiffres du CSI
Figure 1.3 Les attaques informatiques deviennent un vrai flau

Les entreprises ne sont pas les seules victimes. Les particuliers paient aussi un
lourd tribut cette avalanche de codes malveillants. Une enqute ralise, auprs de
3 200 foyers amricains quips dune connexion Internet, par l'association de
dfense des consommateurs Consumer Reports value 9 milliards de dollars le
montant des frais occasionns, dans 61 % des cas, par un virus. Le cot moyen de la
remise en tat de marche de lordinateur serait de 300 dollars. La cybercriminalit
aurait mme t lorigine de prs de 8 % des ventes d'ordinateurs Et ne parlons
pas de lenvole du march des logiciels de scurit (voir le chapitre 11). Selon cette
enqute, les consommateurs amricains ont investi 2,6 milliards de dollars dans
l'achat de ces logiciels entre 2003 et 2004. Ce march devrait encore se dvelopper
1. Rapport Computer Crime and Security Survey disponible sur : www.gocsi.com.


puisque 17 % des Amricains interrogs nont pas encore install dantivirus et 10 %

naviguent sur Internet sans pare-feu (firewall). Lenqute ne dit pas, par contre,
combien de foyers quips des logiciels de scurit oublient de les mettre jour rgu-
lirement et dinstaller les mises jour de scurit de Windows et autre
En France, les statistiques sur lquipement en logiciels de scurit sont rares.
Mais les entreprises et les particuliers semblent, pour linstant, relativement par-
gns par le cybercrime. Plusieurs raisons peuvent, en partie, expliquer cette situa-
tion. Linformatique tant en anglais, il faut matriser cette langue pour crer des
codes. Cette raison devient bien sr de moins en moins valable au fur et mesure
que cette langue devient courante. Les deux autres facteurs sont
premirement labsence de Milieu depuis les annes 70, part quelques poches
Marseille et Grenoble par exemple, et deuximement le fait quil ny ait pas encore
de spcialistes de lInternet chez les voyous .
Cela ne signifie pas pour autant que lHexagone na pas connu daffaires de cyber-
dlinquance. Dans un discours tenu en mai 2000 lors dune importante runion
dexperts du G8, Jean-Pierre Chevnement, alors ministre de l'Intrieur, indiquait :
nos services ont recens en 1999 plus de 2 500 affaires impliquant d'une manire
ou d'une autre Internet . La situation ne sest pas amliore selon notre enqute.
Quelques rseaux trs organiss ont t dmantels en 2005. LOCLCTIC (Office
Central de Lutte contre la Criminalit lie aux Technologies de lInformation et de
la Communication) a par exemple arrt six personnes qui sont souponnes davoir
effectu des virements frauduleux aprs avoir accd aux comptes de clients dAxa
Banque. Utilises comme mules , elles dtournaient largent sur leur propre
compte avant de le transfrer via Western Union vers un compte en Ukraine,
moyennant une commission de 10 % explique Marie Lajus, adjointe au chef de
loffice1.
En 2005, nous avons arrt des personnes de lEst qui effectuaient des achats
sur Internet avec des fausses cartes bancaires et des identits trafiques, dclare Yves
Crespin, chef de la Brigade denqutes sur les fraudes aux technologies de linforma-
tion (BEFTI. La personne rceptionnait la marchandise lhtel. Lors de son arres-
tation, nous avons appris quelle travaillait pour un couple de Bilorusses qui se
trouvait en France depuis quelques semaines. Aprs avoir mont un pige pour les
arrter nous avons dcouvert que leur domicile ressemblait une caverne dAli Baba
spcialise dans les produits high-tech. Ce couple fait partie dune bande trs organi-
se qui envoie des quipes dans plusieurs pays europens. Avant de partir pour un
pays, chaque bande reoit des cartes bancaires ainsi que des papiers didentit et une
liste prcise dachats effectuer sur certains sites de commerce lectronique .
Dautres affaires sont en cours. Mais il est trs difficile de faire une estimation
juste de ce genre daffaire. Cette dlinquance ne fait pas l'objet d'une analyse
prcise , explique un expert. Le chiffre noir (infractions commises mais non
portes la connaissance des forces de police ou de gendarmerie) est particulire-
1. LExpansion. Novembre 2005.


ment important et les outils statistiques utiliss ne sont toujours pas adapts.1 Selon
Yves Crespin, 90 % de la cybercriminalit nous chappe .
Le commissaire Marie Lajus prcise que de nombreuses entreprises victimes de
ce type dattaques ne font pas appel aux services de police. Pour diffrentes raisons.
Premirement, elles connaissent mal les capacits des services de police qui ont
pourtant de vraies comptences dans ce domaine. Deuximement, plusieurs de ces
entreprises vivent grce la confiance que leur prtent leurs clients sur Internet.
Porter la connaissance de tout le monde la ralit dune vulnrabilit nest pas bon
pour limage. Or, porter plainte ne signifie pas pour autant rendre publique cette
affaire. Nous pouvons travailler de faon discrte et cest un moyen efficace pour que
a ne se reproduise pas.
Une autre raison, moins officielle, explique le dcalage entre la ralit et le nom-
bre de faits constats. Le parquet va tre amen classer de nombreuses affaires
cause dune nouvelle loi dorientation, explique un spcialiste. Sil reoit une plainte
et sil estime que le cot des prjudices est infrieur celui des rquisitions, il peut
dcider de classer laffaire. Cela arrive de plus en plus souvent.
Le hooliganisme version numrique

En janvier 2006, la police a arrt un hacker franais de 25 ans spcialis dans le
defacement. Cette technique appele aussi tag numrique consiste sintro-
duire sur un serveur et modifier les pages web de diffrents sites franais (de
commerce lectronique, dhommes politiques et de conseils rgionaux). A son
palmars : 1 200 oprations. Pour le plaisir. Reprs depuis quelque temps, les
faits et gestes de cet individu taient suivis en permanence. Au moment de
laffaire des caricatures de Mahomet, son attitude a radicalement chang ,
explique un policier. Dorigine musulmane, il dcide de signer ces actes sous le
pseudonyme de Oussama Ben et non plus sous son surnom habituel et de
viser des sites danois et britanniques. Lors de ses nouvelles attaques, il place sur
les pages daccueil des images des soldats amricains dcapits. Lors de son arres-
tation, les policiers sont surpris par son quipement informatique trs rudimen-
taire. Vivant chez sa sur et matrisant un peu linformatique, cest le
prototype de hacker qui commence poser des problmes. Son seul but : embter
le monde , constate un policier.
Cest bien sr aux tats-Unis que les arrestations sont les plus nombreuses. Dbut
2006, un Californien a plaid coupable lors de son procs devant une cour fdrale
amricaine. Il tait accus de stre servi dune arme de 400 000 PC infects (dont
certains appartenaient au dpartement de la Dfense) pour endommager des sys-
tmes (attaques DDoS), lancer des spams et installer des logiciels espions (spywares
et keyloggers) sur des systmes. Il louait aussi ses PC zombies des pirates et des
1. Source : Chantier sur la lutte contre la cybercriminalit . Rapport prsent par Thierry Bre-
ton. Fvrier 2005.

Figures 1.4 et 1.5 Nimporte quel site peut tre victime dun defacement.
Ici celui de France Telecom et de la CIA.

spammeurs. Ag dune vingtaine dannes, il ferait partie du groupe Botmaster

Underground dmantel en novembre 2005. Ses revenus illicites auraient atteint les
60 000 dollars. De quoi soffrir le modle haut de gamme d'une clbre marque de
voiture allemande quil affectionnait plus que tout. Mais il a t condamn 57 mois
de prison ferme.
Autre exemple, aux Pays-Bas. Lanne dernire, trois jeunes Hollandais ont t
arrts. A la tte dune arme de 100 000 PC zombies, ils ont vol des milliers de
codes bancaires et des mots de passe. Ils ont menac des entreprises. Si elles ne
voulaient pas payer la ranon, ils sabotaient tout leur rseau , explique Taco Stein,
substitut du procureur Amsterdam.
Ces quelques exemples ne refltent pas la ralit. On narrte que les seconds
couteaux estiment des experts. Ou des illumins comme Gary McKinnon. Accus
davoir caus plus de 700 000 dollars de dommages dans le systme informatique du
Pentagone, de lUS Navy et de la NASA, cet Anglais de 40 ans a t arrt en 2002
par Scotland Yard. Sil est extrad pour tre jug aux Etats-Unis, il risque un maxi-
mum de 70 ans de prison, assortis de 1,75 million de dollars d'amendeSon avocat
affirme mme craindre que l'anglais ne soit envoy dans la base de Guantanamo Bay,
la zone amricaine de l'le de Cuba. Sa dfense tait trs originale : il enqutait sur
les Ovnis. J'ai utilis des logiciels disponibles sur le march pour scanner les plus
grands rseaux amricains, tous ceux susceptibles de contenir des informations
propos des Ovnis. Je voulais juste prendre connaissance de choses que le gouverne-
ment ne nous aurait pas communiques.
En rsum
Lpoque du pirate en chambre est rvolue. La cration de virus visant simplement
prouver ses comptences nest plus dactualit. Aujourdhui, des organisations crimi-
nelles, ou des individus, ont pris le relais et mnent des attaques de plus en plus
sophistiques (et donc de plus en plus difficilement dtectables) et cibles sur les
entreprises. Dernier maillon de la chane, le particulier paie aussi un lourd tribut
cette expansion de la cybercriminalit.

2
Les maillons faibles
de la scurit informatique
En matire de scurit, quel que soit le domaine considr, la cause des problmes
relve toujours de deux aspects qui peuvent intervenir sparment ou simultan-
ment :
Une erreur, volontaire ou non de lutilisateur ;
Un dfaut dans le systme concern, soit au niveau de loutil lui-mme, soit au
niveau de la fonctionnalit mise en uvre par cet outil (le protocole).
Pour illustrer ce constat, prenons un exemple de la vie quotidienne, celui de la

conduite automobile. Quelles peuvent tre les causes dun accident ?
Une mauvaise conduite du conducteur, provoque par lenvironnement
(la publicit par exemple), par une tendance naturelle (laxisme, indisci-
pline) ou par des contraintes diverses telles le manque de temps ;
Un dfaut dentretien du vhicule (assimilable au systme informatique) ;
Le mauvais tat ou la mauvaise conception des routes et de la signalisation
(assimilable au protocole).
Il est intressant de remarquer que ces trois causes sont classes par ordre dcrois-
sant de probabilit de ralisation, les accidents tant plus souvent engendrs par la
faute directe des usagers que par le mauvais tat des routes. Cet exemple sapplique
parfaitement au domaine de la scurit informatique et les causes daccidents sur nos
routes sont transposables sur les autoroutes de linformation .

14 Chapitre 2. Les maillons faibles de la scurit informatique
2.1 LINTERNAUTE ET LINGNIERIE SOCIALE
Un mauvais comportement de la part de linternaute a toujours deux causes possibles :

Ses dispositions naturelles au laxisme et la facilit qui, entre plusieurs
alternatives, lui font trs souvent choisir le moindre effort ;
Son attirance tout aussi naturelle pour certaines choses (pornographie,
jeux, sports).
Mais ces comportements ne sont mauvais dans labsolu que parce quil existe un
autre acteur important dans toute attaque : le pirate, le hacker, lescroc Bref, celui
que nous nommerons le malfaisant informatique. Pour atteindre sa cible, il va
dployer une stratgie trs efficace : mettre son profit les mauvaises habitudes des
usagers pour les transformer en comportements dangereux pour la scurit informa-
tique. Cest que lon appelle lingnierie sociale1.
2.1.1 Lingnierie sociale

Parmi les nombreuses dfinitions, plus ou moins prcises, de l'expression
ingnierie sociale nous adopterons la suivante : ensemble des techniques de
manipulation psychologique ou dexploitation comportementale d'un individu, ou
d'un groupe d'individus, par des personnes malfaisantes dont le but est l'incitation
inconsciente amoindrir, contourner ou supprimer les mesures de scurit d'un
systme par ce ou ces individus.
La scurit des systmes d'information repose sur les trois piliers suivants :
La confidentialit : les informations ne doivent tre accessibles qu'aux seules
personnes autorises ou habilites. Un mot de passe ou un code de carte
bancaire sont les meilleurs exemples d'informations confidentielles ;
L'intgrit : les informations (un fichier systme par exemple) ne doivent
tre modifies que par une action lgitime et volontaire ;
La disponibilit : le systme doit rpondre aux sollicitations des utilisateurs
autoriss (accs aux informations, action particulire) dans le dlai imparti
par le cahier des charges, propre chaque application et/ou systme.
L'attaquant a alors deux axes d'approche pour tenter de porter atteinte la scurit
du systme considr : soit il en vise directement les lments techniques (exploita-
tion de failles, de la mauvaise gestion, de mauvaises configurations cet aspect-l
sera dvelopp plus loin dans ce chapitre), soit il s'attaque directement l'utilisateur
ou l'administrateur pour l'amener effectuer certaines actions lui permettant de por-
ter atteinte au systme. En clair, le pirate peut soit exploiter un bug dj prsent,
1. E. Filiol : Lingnierie sociale . Linux Magazine 42, 2002.


2.1 Linternaute et lingnierie sociale 15
soit transformer l'lment humain lui-mme en bug . Dernire alternative : utiliser

les travers de lutilisateur pour le transformer en code malveillant .
Lattaquant dispose de plusieurs moyens pour modifier le comportement de
l'utilisateur :
L'usurpation d'identit : le but est de se faire passer auprs de l'utilisateur
cible pour une personne ou une entit connue et/ou identifie comme
appartenant bien un groupe autoris et dpositaire d'une lgitimit
certaine dans la politique de scurit de l'organisme ou auprs de lutilisa-
teur. Cest lune des techniques employes lors dattaques de phishing (voir
chapitres 4 et 5) : linternaute reoit un e-mail venant soi-disant de sa
banque qui lui demande sous le prtexte dune mise jour de scurit
de cliquer sur un lien Internet pour redonner son identifiant et son mot de
passe. Dans ce premier cas, il y a toujours dfaut d'identification et/ou
d'authentification. Le rsultat est, au minimum, une atteinte tout ou
partie de la confidentialit du systme ;
Les fausses mises jour de scurit

Les banques et autres organismes financiers ne sont pas les seules victimes de lusur-
pation. Il y a aussi Microsoft. Des pirates ont en effet envoy des e-mails provenant
soit disant de cet diteur. Sous un prtexte de mise jour logicielle, ils deman-
daient aux internautes douvrir la pice jointe ou de cliquer sur un lien URL.
videmment, le colis tait pig et contenait un virus ou un cheval de Troie.
Autre victime : les diteurs dantivirus. En avril 2006, un e-mail malveillant a
usurp l'identit de Symantec, l'diteur des solutions antivirales Norton. En
lisant ce courrier, linternaute apprend que son PC est soi-disant infect par le
virus w32.aplore@mm . En cliquant sur le lien URL pour dsinfecter son
systme, la personne dclenche le tlchargement d'un programme qui empche
les mises jour des logiciels anti-virus.
La manipulation psychologique : il s'agit d'exploiter diverses faiblesses ou

tendances psychologiques de la victime en particulier et/ou humaines en
gnral : manque d'affection, bons sentiments, ego, appt de gains faciles,
manque de bon sens, de perspicacit, de prudence, laxisme, manque de cons-
cience professionnelle, penchants spcifiques La gamme de ces faibles-
ses (il n'y a pas ici de jugement de valeur, seules les consquences en terme de
scurit tant considres) est vaste et l'imagination sans limite des atta-
quants en rvle rgulirement de nouvelles ;
L'exploitation du manque de connaissances : la mconnaissance technique
de la plupart des utilisateurs, voire de certains administrateurs, le manque de
formation continue (veille technologique), de sensibilisation rgulire sont
directement exploits par l'attaquant pour parvenir ses fins. Bien souvent, la
crdulit des utilisateurs amplifie les choses. L'utilisation de canulars (hoax en
anglais) est lun des moyens les plus connus.

Trois types d'attaquants

Il peut sagir du simple pirate qui inspir par la btise, une volont de nuisance ou
l'appt du gain. Autre profil : des groupes trs bien organiss, d'inspiration mafieuse
ou tatique trangre. Il y a enfin des socits spcialises dans le renseignement ou
la guerre conomique qui agissent le plus souvent pour des socits concurrentes de
celle attaque1. Mais, dans tous les cas, l'ingnierie sociale est simplement une forme
nouvelle d'escroquerie et ce titre, ne doit susciter ni admiration ni sympathie.
2.1.2 La phase de renseignements1

Dans presque tous les cas, et toujours dans lattaque cible dindividus ou de groupes
dindividus, lassaillant procde d'abord une collecte de renseignements, mme
minimale qui souvent se limite une bonne exprience du facteur humain. Elle
lui permet d'optimiser son attaque. Les diffrentes informations qu'il obtient lui
indiquent alors comment traiter au mieux sa victime.
Cette tape est cruciale. Aucun pirate srieux ne saurait s'en dispenser, que
ce soit pour une attaque classique ou une attaque par ingnierie sociale. Bien sr,
dans le cas des attaques grand public , ce renseignement est collect et se limite
quelques lments gnriques. Dans ce cas, lattaquant est simplement la fois un fin
psychologue, un bon sociologue et dans une certaine mesure un bon ethnologue .
Mais dans une attaque cible, la phase de renseignements peut tre longue et com-
plexe. Mais elle dtermine le succs de l'opration. Dans notre cas, le but est d'obte-
nir suffisamment d'informations pour parvenir convaincre la future victime de la
lgitimit de ce qui va lui tre demand (donnes fournir ou action accomplir).
L'exprience prouve (et les cas sont malheureusement nombreux) que bien sou-
vent la tche de l'attaquant se trouve facilite par la ou les futures victimes elles-
mmes. De trop nombreuses entreprises ou administrations font encore preuve d'un
incroyable manque de prudence. Leurs personnels ne sont pas suffisamment sensibi-
liss aux risques de compromission d'informations concernant leur socit. Ces
informations, qui d'ailleurs leur semblent assez souvent anodines, permettront au
pirate, notamment par compilation et recoupement, d'tre efficace.
Les informations recherches sont principalement les suivantes :
Tout ou partie de l'organigramme de la socit et de son activit (noms,
coordonnes, dossiers traits ou en cours).
Informations techniques sur la socit : plan d'adressage, matriels et logi-
ciels utiliss, procdures, noms des responsables
Donnes annexes : prestataires extrieurs (maintenance, nettoyage, fournis-
seurs) ou intrimaires (personnels, stagiaires), informations non techniques
concernant les personnels de lentreprise
1. La guerre de l'information, Le journal de la scurit MISC 3, page 18-23.


Mots de passe et noms de login : aussi incroyable que cela puisse paratre,
encore trop de personnes et mme des professionnels donnent par
tlphone ou par e-mail leur code de carte bancaire ou leur mot de passe
informatique ! Plusieurs tudes lont dmontr. Lors du colloque Infosecurity
Europe 2004, organis Londres, une exprience a t mene lentre dune
station de mtro. Une personne accostait les usagers de la faon suivante : Je
vous offre cette barre chocolate si vous acceptez de me rvler le mot de
passe que vous utilisez pour vous connecter Internet . Sept personnes sur
dix ont craqu pour la friandise. Ce petit test na videmment pas une porte
scientifique puisquil na concern que 172 personnes. Mais il reste nanmoins
intressant. Lanalyse de lattaque opre en 1999 contre l'hbergeur franais
Multimania est plus significative puisquelle a occasionn la publication de
70 000 mots de passe. Elle va rassurer les pirates car le mot de passe qui dcro-
che la premire marche du podium est 123456. Sur les deux autres
marches il y a azerty et Nicolas !
Les principaux moyens utiliss par les attaquants pour dcouvrir les mots de passe
sont les suivants :
Consultation de diffrents fichiers : annuaires, pages web personnelles,
panneaux d'affichage dans les halls d'accueil, bases de donnes en ligne, infor-
mations publiques concernant le systme, recherche sur Internet, annuaires
danciens lves dcoles dingnieurs, offres publiques de march
Analyse des rebuts : exprience personnelle l'appui, nous avons pu consta-
ter plusieurs reprises que les poubelles taient de vritables mines dinforma-
tions. Les personnels et futures victimes jettent dans leur corbeille les
papiers, brouillons, post-it (quelquefois celui sur lequel est inscrit le mot de
passe !), dossiers Ils ne se doutent pas que, bien souvent, ces corbeilles sont
vides dans une poubelle plus grande qui se retrouve sur le trottoir la dispo-
sition de l'attaquant. Combien d'entreprises en sont conscientes ? Certains
prsidents de grandes entreprises, conscients de ce risque, crivent leurs notes
administratives sur des brouillons qui passent ensuite dans un broyeur tandis
que dautres, moins prudents, les tapent sur un ordinateur portable ou un PDA
connect Internet , nous rvle Patrick Pailloux, directeur central de la
scurit des systmes d'information.
Utilisation de logiciels spcialiss dans la collecte de renseignements techni-
ques sur votre environnement informatique : ils sont nombreux et redouta-
bles. Pour vous faire une petite ide, allez sur le site de la CNIL1 et vous pourrez
constater comment, en un clic de souris, il est possible, de l'extrieur, d'obtenir
des informations techniques sur votre propre ordinateur. Et les informations
retournes par ce lien sur le site de la CNIL, des fins de sensibilisation, ne
reprsente quune infime partie de ce quil est possible de collecter.
1. http://www.cnil.fr/traces/index.htm

Visite des locaux : lors de visites d'entreprises, un futur attaquant peut glaner
beaucoup trop d'informations. Si une visite n'est pas possible, il peut se faire
passer pour un prestataire de service ou un personnel de maintenance. En
priode de vacances, cela marche encore mieux, les personnels intrimaires
pouvant se faire abuser plus facilement.
Observation distance de moniteurs : promenez-vous prs de certaines soci-
ts ou de certains ministres, et comptez le nombre d'ordinateurs dont l'cran
est tourn vers l'extrieur. Vous serez surpris. Le nombre dingnieurs ou de
dcideurs offrant la vue de quiconque son ordinateur portable dans les lieux
publics (le train par exemple) est un autre exemple de mines dinformations
techniques rentables.
Mais le plus redoutable est l'indiscrtion quasi maladive des personnes vis--
vis de l'extrieur. Beaucoup dingnieurs ou de dcideurs connaissent une
baisse de vigilance devant la jolie fille sur le stand dun salon ou assise quel-
ques places deux dans un train. Et cet ingnieur de faire le paon verbalement
du moins pour pater la galerie. Pour tayer ce propos, nous prendrons un
exemple rel qui, malheureusement, s'observe frquemment. Lors d'un voyage
en TGV entre Rennes et Paris, deux professionnels de l'informatique discutaient
boulot . En moins de deux heures, entre lobservation de leur ordinateur por-
table et lcoute de leur conversation, nous en avons appris suffisamment sur leur
entreprise, son environnement sociologique et son environnement informatique
pour potentiellement mener une attaque par ingnierie sociale : logiciels utili-
ss, habitudes, penchants et travers de l'administrateur systme, nom du
directeur technique, informations sur des dossiers commerciaux en cours Et si
la jolie blonde qui leur faisait face et qui tait la cible involontaire de leurs
propos hbleurs avait t un pirate informatique ou la complice dun hacker
assis plus loin, leur entreprise aurait pu payer un prix trs lev pour leurs fanfa-
ronnades verbales.
Autre exemple ahurissant : un ingnieur commercial a communiqu son mot de
passe et son login par tlphone sa secrtaire (les mobiles tant d'ailleurs une
aubaine pour les attaquants) et discut avec elle d'un dossier d'un client, avec force
dtails. Le TGV ou autres transports en commun, mais aussi le caf et le restaurant
(o les personnels d'une entreprise ou dune administration ont l'habitude de se
retrouver) sont des lieux propices pour la collecte d'informations.
Une autre approche, plus active, consiste discuter de faon anodine avec des
personnels de la socit vise (la standardiste, une secrtaire). Il est toujours trs
intressant de savoir que l'administrateur systme est un mordu de jeux ou est parti-
culirement sensible la gent fminine. Et pourtant, ce ne sont pas des informa-
tions techniques !
La ruse et l'inventivit des attaquants d'un ct, la crdulit ou le manque coupa-
ble de professionnalisme et de srieux des utilisateurs d'un autre ct, montrent
rgulirement que la liste prcdente n'est malheureusement pas exhaustive.

2.1.3 Quelques exemples
Une usurpation d'identit

Il provient d'une attaque relle mene contre une socit dont nous tairons liden-
tit. Par discrtion sur cette affaire, nous avons volontairement modifi quelques
points essentiels. L'attaque s'est droule selon le scnario suivant. Lors de la phase
de renseignements, les attaquants taient parvenus recueillir des informations :
noms, coordonnes, dossiers traits et renseignements divers (habitudes, anecdotes
rcentes) de plusieurs ingnieurs commerciaux, du directeur technique et des
administrateurs systmes. Ils avaient aussi collect des informations relativement
dtailles (dates, lieux, personnes impliques) sur la ngociation en cours d'un
contrat trs important. La plupart de ces renseignements avaient t obtenus sans
grande difficult, notamment par les indiscrtions (involontaires) en milieu
ouvert de certains employs.
Simultanment une runion chez le gros client, le pirate mne son attaque. Il
tlphone l'administrateur systme, en se faisant passer pour l'ingnieur commer-
cial responsable de la ngociation. Feignant la panique, il dclare qu'il ne parvient
pas se connecter sur l'ordinateur de la socit partir de son PC portable malgr
des essais rpts : son mot de passe est constamment refus. Il affirme, avec force
effets de persuasion et dtails sur le contrat et la ngociation en cours, qu'il est vital
pour lui de se connecter afin de fournir des informations au client, sans quoi le con-
trat risque d'tre remis en cause, voire annul. Bien sr, les informations en question
ne sont accessibles qu' partir de son compte !
Au final, grce de nombreux dtails convaincants et avec beaucoup de per-
suasion (o alternent ple-mle l'appel la solidarit, la menace de reporter la
faute d'un ventuel chec sur l'administrateur systme ou le risque pour la
socit), l'administrateur accepte de changer le mot de passe en le remplaant par
un autre, constitu par une information commune aux deux (en l'occurrence le
prnom de la secrtaire), discrtion au tlphone oblige ! Bien sr, l'attaquant
assure que par mesure de prcaution, il va immdiatement mettre un mot de passe
plus robuste.
Que dire de la grave faute commise par cet administrateur systme ? Rien sinon
qu'elle a permis l'attaquant de s'introduire sur le rseau de cette entreprise, selon le
principe de mutuelle confiance et de drober en trs peu de temps de nombreuses
informations et notamment une partie de la base clients.
Des manipulations psychologiques

Lexploitation de penchants spcifiques
L'approche s'appuie sur le fait qu'un utilisateur (information cible obtenue durant
la phase de renseignement) est attir par un domaine particulier : les checs,
certains types de jeux, la musique L'attaquant peut aussi exploiter des sentiments
ou rflexes gnralement rpandus : solidarit, piti, amour (le plus bel exemple est
le ver IloveYou, en 2000), amiti, humour (excutables humoristiques ; nombreux

sont les utilisateurs qui ont envoy leurs collgues, sur le rseau dentreprise le petit
jeu de massacre o la cible n'est autre qu'un Ben Laden apparaissant alatoirement,
des cartes de vux lectroniques ou des diaporamas Power Point humoristico-
pornographiques1)
Mais la plus redoutable des approches est celle qui utilise la pornographie.
Combien d'attaques ont utilis ce ressort avec succs. Et malheureusement, dans
ce cas-l, les neurones cdent devant les hormones. Lexemple le plus typique res-
tera celui du macro ver W97M/Melissa. Initialement, ce ver est apparu en mars
1999. Il a t distribu dans un fichier LIST.DOC dans le forum de discussion
alt.sex. Le fichier en attachement contenait une liste de login (identifiant) et de
mots de passe pour des sites pornographiques. Le ressort utilis (le sexe) se rvla
extraordinairement efficace. Melissa est l'un des macro vers dont la propaga-
tion a t l'une des plus foudroyantes. Des multinationales comme Microsoft ont
d, pendant plusieurs heures, fermer leur service de messagerie pour endiguer la
dissmination. Il nest donc pas tonnant que des codes malveillants faisant appel
au sexe apparaissent rgulirement.
Un autre exemple rapport2 est particulirement intressant. La collaboratrice
de la socit Quartier Libre Productions reoit un e-mail l'objet engageant : Une
journe Belle-Ile . Cette invitation est d'autant plus attractive que c'est prcis-
ment le titre d'une nouvelle crite par le frre de cette collaboratrice (pure conci-
dence ou attaque cible ?). Au final, un dossier du disque dur envoy tout son
carnet d'adresses et 99 % des fichiers dtruits en une heure (notamment la compta-
bilit et les courriers avec les clients). Et pourtant cette socit tait protge par un
antivirus mis jour rgulirement. Le sentiment de scurit induit par ces logiciels
diminue souvent la vigilance des utilisateurs qui leur accordent une confiance
inconsidre (voir le chapitre 11). Dans notre cas prcis, il est possible d'imaginer
qu'un renseignement judicieusement utilis permette une attaque d'autant plus effi-
cace qu'elle est cible.
Ego ou appt du gain

Dans cette catgorie, la proposition d'une rcompense (quelle que soit sa nature) est
le ressort utilis par l'attaquant. L'exemple suivant a t rapport par B. Hatch, J.
Lee et G. Kurtz3 dans leur livre. Le lecteur intress trouvera d'ailleurs dans cet
ouvrage d'autres exemples d'attaques par ingnierie sociale.
Dans le dortoir d'une universit, une affiche avec le texte suivant avait t colle :
Concours de mots de passe !
Vous voulez faire la preuve de votre crativit ? Vous voulez gagner un prix ?
Inscrivez ici votre nom d'utilisateur pour le rseau du campus et votre mot de
passe. Les cinq mots de passe les plus originaux et les plus drles recevront des
maillots de l'quipe de football de l'Universit. Ceux-ci devront respecter les
1. De nombreux exemples sont rpertoris sur le site http://hoaxbusters.ciac.org/.

2. Quand le virus informatique tue la mmoire, Ouest-France, 27/02/2002.
3. B. Hatch, J. Lee et G. Kurtz, Halte aux Hackers Linux, Osman Eyrolles Multimedia Editions, 2001.

contraintes d'UNIX pour les mots de passe : pas plus de 8 caractres, respect des
majuscules/minuscules. Le mot de passe devra tre vrifiable par notre jury.
Les auteurs rapportent que rien n'indiquait la provenance de cette annonce, ni
les informations usuelles (composition du jury, remise des prix). Malgr cela, une
cinquantaine d'utilisateurs ont inscrit les donnes demandes sur cette affiche. Il va
sans dire que leurs comptes ont t attaqus presque immdiatement.
Dans le mme registre, et plus rcemment, certaines attaques de dni de service
ont t ralises en exploitant lappt du gain. Les chanes de courriers lectroni-
ques proposant de gagner des tlphones mobiles en faisant suivre le-mail dix per-
sonnes et en mettant en copie la socit vise (en loccurrence un des leaders de la
tlphonie mobile), provoquaient leffet de saturation dsir.
Un autre exemple rcent concerne un cas dinfection de tlphones portables par
le virus Skulls.L. Lutilisateur reoit un message linvitant installer une copie pirate
de lantivirus pour mobiles de F-Secure.
Figure 2.1 Les tlphones vont devenir lune des nouvelles cibles des pirates.
Motiv par le gain dune fonctionnalit acquise gratuitement mais frauduleu-

sement , labonn qui accepte se fait alors infecter par le code qui modifie lenvi-
ronnement, dgrade les fonctionnalits et les performances et installe deux autres
vers tout en dfaant le bureau de travail du mobile (voir figure de droite). L
encore, une simple manipulation exploitant le manque de scrupules des utilisateurs
a permis la ralisation de lattaque (voir galement [4]). A lavenir, les utilisateurs de
tlphones mobiles devront tre plus vigilants car ils vont devenir lune des nouvel-
les cibles des pirates (voir le chapitre 18).
Exemples d'exploitation de manque de connaissances

Dans ce cas de figure, l'attaquant va exploiter les lacunes techniques de l'utilisateur
pour lamener effectuer une action prcise (en gnral, la modification de l'int-
grit du systme, saturation du rseau). La technique de base (il y en a beaucoup
d'autres) est le canular qui peut tre plus ou moins cibl. L'exemple suivant est bien
rel mais malheureusement peu connu car l'attaque a t trs cible. Il illustre parfai-

tement notre propos. Il s'agit d'un virus dit psychologique . Ce genre de virus
et autres canulars sont recenss sur le site www.hoaxbuster.com.
Dans le courant fvrier 2002, certains utilisateurs ont reu un message alarmiste les
avertissant qu'un virus particulirement destructif venait d'apparatre. Pour vrifier
une ventuelle infection, le destinataire du message tait invit regarder si un fichier
KERNEL32.DLL se trouvait dans le rpertoire C:\WINDOWS\SYSTEM de son dis-
que dur. Dans l'affirmative, l'utilisateur devait effacer au plus vite ce fichier et redmar-
rer immdiatement son ordinateur. Or, ce fichier est un excutable lgitime et
essentiel Windows. Il est charg au dmarrage du systme d'exploitation et gre la
mmoire, les entres-sorties et les interruptions. Le-mail, par son style et son appa-
rence, ressemblait s'y mprendre une alerte srieuse. Il n'tait pas demand de dif-
fuser ce message. Mais gnralement, les destinataires le diffusent leur entourage, par
solidarit. L'utilisateur sans connaissance technique de base sur le systme d'exploita-
tion de Microsoft qu'il utilise, paniqu par l'ide d'avoir sa machine infecte (et la peur
d'une ventuelle sanction de la part de sa hirarchie sil travaille dans un bureau),
effectue les oprations conseilles. Le mal est fait et Windows ne peut plus redmarrer.
Il y a atteinte la disponibilit et ventuellement perte des donnes si aucune sauve-
garde n'a t faite et qu'aucun CD ou DVD de sauvetage n'a t prvu.
2.1.4 Comment lutter contre l'ingnierie sociale

Il ne semble pas facile de contrer ce genre dattaques, tant les possibilits et les
approches sont nombreuses et tant la dtermination et la ruse des pirates sont fortes.
Mais l'observation de certaines rgles de base permet de limiter les risques :
Etre suffisamment paranoaque et ne pas faire spontanment confiance. Il est
bon d'exercer un doute salutaire et constant. Il est important de se renseigner
et de remettre en question ce qui semble vident ;
Ne jamais communiquer d'informations sensibles (en premier lieu login et mots
de passe) sans une authentification certaine et si possible physique et en interne.
Il faut toujours refuser ce genre de communication. Dans le premier exemple
voqu, il valait mieux courir le risque de passer ct d'un contrat, que celui de
mettre en pril les ressources informatiques toutes entires de la socit ;
Vrifier l'origine des demandes et surtout rendre compte aux chelons sup-
rieurs. Cela permet de recouper les informations ;
Restreindre les possibilits d'obtention d'informations de l'extrieur en dic-
tant des rgles prcises et rigoureuses dans le contenu et la gestion de la messa-
gerie lectronique, des pages web, des annuaires, des brochures publicitaires,
des cartes de visite, pages jaunes, de la gestion des rebuts (l'usage d'un broyeur
devrait tre systmatique)
Etablir des rgles et des procdures strictes concernant les interventions ext-
rieures (maintenance, stagiaires, entretien, assistance technique) et la scu-
rit en gnral. Dans ce dernier cas, il est par exemple essentiel que le

2.2 Les failles de scurit logicielles 23
responsable scurit soit parfaitement identifi comme le seul autoris diffu-

ser des alertes (gestion hirarchise et centralise des alertes).
Il faut surtout sensibiliser et former les personnels, quels qu'ils soient, par le biais
de stages ou lors de runions rgulires. Le point le plus important tant de les sensi-
biliser aux risques de l'indiscrtion hors de l'entreprise.
Il est surtout fondamental de garder constamment l'esprit que personne n'est
l'abri ou naturellement immunis (par la grce d'une position hirarchique sup-
rieure ou d'une forte expertise) contre ce genre d'attaque. Cest ce qua dcouvert la
directrice de la scurit de Bouygues. En faisant ensemble un audit de scurit
nous avons en effet remarqu que ce ntaient pas les employs qui faisaient le plus
derreurs en matire de scurit mais les cadres suprieurs, nous explique le Commis-
saire principal Yves Crespin, Chef de la Brigade denqutes sur les fraudes aux
technologies de linformation (BEFTI). Estimant tre protgs par leur direction
informatique, ils font des fautes de scurit que ne ferait mme pas un dbutant. Cet
exemple montre quil faut une vision globale en matire de scurit. Cela implique
une coopration entre la direction informatique et celle des ressources humaines
pour mieux duquer les employs.
Il vaut mieux surestimer l'attaquant que l'inverse. Mais surtout il convient de gar-
der l'esprit que dans une politique de scurit, l'lment humain (c'est--dire les uti-
lisateurs en y incluant les administrateurs systme) restera toujours le facteur limitant.
2.2 LES FAILLES DE SCURIT LOGICIELLES
Ce genre de failles, encore connues sous le nom de vulnrabilits, est lautre facteur
trs important permettant de raliser des attaques avec une facilit dconcertante.
Une vulnrabilit est un dfaut de programmation ou de gestion affectant soit un
logiciel ou soit limplmentation dune fonctionnalit ou dun protocole. Elle per-
met de pntrer sans aucune procdure dautorisation ou de contrle, un systme et ce
avec des privilges maximaux (qui sont ceux du systme lui-mme). On appelle
exploit le code permettant dexploiter cette vulnrabilit.
A ct de la notion de vulnrabilit, il est ncessaire de dfinir la notion de vul-
nrabilit 0-Day (et donc galement dexploit 0-Day). Il sagit dune vulnrabilit
permettant de compromettre des systmes mis jour. Lexistence de ces vulnrabili-
ts particulires a plusieurs explications [1] :
Lditeur est au courant de la faille mais na pas encore publi de correctif (cas
de la faille WMF de janvier 2006).
Lditeur nest pas au courant de la faille, cette dernire nest partage que par
un nombre restreint de personnes.

Ce dernier cas il est difficile voire impossible den valuer limportance est le
plus grave puisque non seulement les systmes sont totalement vulnrables, mais cette
situation est aggrave par lignorance totale de la part des professionnels de scurit.
Comment en effet se protger contre quelque chose que lon ne souponne mme pas.
Ce qui est clair, cest que des groupes et notamment dans les pays de lEst ainsi quen
Asie connaissent et exploitent ce genre particulier de vulnrabilits. Le cas de la
faille WMF (Windows Meta File) lors dune attaque venant de Chine (voir chapitre 11)
le dmontre clairement. Nous verrons un autre exemple dattaque de ce type.
Les Franais en retard d'un patch

La prcipitation est parfois mauvaise conseillre en matire de scurit informa-
tique. Mais il ne faut pas non plus tre trop ngligent. De faon plus ou moins
rgulire et rapide, les diteurs dcouvrant des failles proposent des mises jour
ou des patchs de scurit. En la matire, les Franais semblent un peu lents. Selon
une tude publie en avril 2006 par lditeur de scurit McAfee, 27 % des entre-
prises nationales prennent une bonne semaine pour appliquer les correctifs, et
39 % plus de 2 jours. A titre de comparaison, les socits espagnoles ne sont que
8 % attendre deux jours.
Deux remarques importantes doivent tre faites concernant le problme des

vulnrabilits :
Les vulnrabilits concernent tous les systmes dexploitation et toutes les
applications, en particulier les logiciels de scurit comme les antivirus ou les
pare-feux. Si les logiciels Microsoft et Mac sont les plus touchs, cela sexpli-
que, en partie, par la position dominante de ces diteurs. De nombreuses
vulnrabilits sont dcouvertes chaque anne pour tous les autres systmes.
Un dveloppement logiciel dans une situation de concurrence extrme est la
principale cause de vulnrabilits. Les programmeurs ne disposent pas de
conditions ou de formation suffisantes leur permettant un dveloppement
logiciel de qualit. Il est parier quun systme comme Linux dj touch,
pour certaines distributions, par ce problme sil devenait majoritairement
rpandu, serait concern avec la mme ampleur par les vulnrabilits. Dans ce
domaine, il nexiste pas de sanctuaire ni de Nirvana logiciels.
Cela concerne galement du moins potentiellement car les exceptions
commenant devenir moins frquentes, pour ne pas dire rares tous les
environnements : la tlphonie ou les environnements mobiles (Wi-fi et la
faiblesse dans le protocole de gestion des clefs [2], le protocole Bluetooth [3]
En mai dernier, une alerte a annonc une vulnrabilit concernant le logiciel

Word de la suite Office. La faille pourrait tre exploite via des pices jointes infectes
envoyes avec les e-mails. Un code malveillant pourrait tre excut sur lordinateur.1
1. Source : CERT sur http://www.cert.org/stat/cert_stats.html


Figure 2.2 Ce graphique montre lvolution du nombre des vulnrabilits1,

tous systmes confondus, entre 1995 et 2005.
2.2.1 Lattaque Scob/Padodor

Orchestre en juin 2004, elle est assez remarquable par de nombreux aspects [5] :
deux codes malveillants agissent de concert et exploitent deux vulnrabilits logi-
cielles simultanment. L'attaque s'est droule de la manire suivante :
Le 22 juin 2004, plusieurs serveurs dans le monde ont t infects par le code
malveillant SCOB la liste n'a pas t publie mais il semble trs probable
que de nombreux serveurs (importants qui plus est) aient t concerns..
L'infection a t rendue possible par la prsence d'une faille affectant le logi-
ciel Web serveur IIS1 de Microsoft.
Tout utilisateur consultant ces sites, l'aide d'une version vulnrable d'Inter-
net Explorer 6 SP1 a t automatiquement infect par le cheval de Troie

PADODOR (tlcharg partir d'un autre site). Ce code ralise une attaque
par phishing (voir chapitres 4 et 5). De plus, cette attaque comme la plupart
de celles sappuyant sur lhameonnage utilise l'ingnierie sociale (simula-
tion dune requte de scurit semblant maner d'un site bancaire et incitant
l'utilisateur fournir des donnes confidentielles). Toutes les donnes saisies
par linternaute imprudent sont voles et envoyes vers plusieurs sites russes.
1. Ce logiciel est indispensable pour organiser un serveur web, mettre disposition des pages et
services attachs et permettre aux internautes de se connecter sur un tel serveur.

Une course contre la montre

Dans la neuvime dition de son Internet Security Threat Report (avril 2006),
Symantec a calcul le temps ncessaire aux attaquants pour compromettre la
scurit de systmes d'exploitation nouvellement installs :
S'agissant des serveurs, Windows 2000 Server sans patch est en moyenne
compromis plus rapidement que les autres systmes, tandis qu'il a t impossible de
compromettre Windows 2003 Web Edition avec patch et RedHat Enterprise Linux
3 avec ou sans patch durant la priode de test. S'agissant des ordinateurs person-
nels, Microsoft Windows XP Professional sans patch est en moyenne compromis
plus rapidement que les autres systmes, tandis que le mme systme dot de tous
ses patches et le systme SuSE Linux 9 Desktop n'ont pas t compromis.
Au cours de la priode rapporte (dernier semestre 2005), il s'est coul en
moyenne 6,8 jours entre la publication d'une vulnrabilit et l'apparition du
code d'exploitation correspondant, contre 6 jours pour le prcdent semestre. Les
fournisseurs diffusent les patchs requis en moyenne 49 jours aprs la publication
de la vulnrabilit. Les entreprises et le grand public sont donc exposs des atta-
ques potentielles pendant 42 jours, ce qui montre que les utilisateurs doivent
appliquer les patchs disponibles aussi vite que possible. Selon Symantec, la
commercialisation des recherches de vulnrabilit devrait augmenter, en paral-
lle avec le dveloppement des forums de march noir et l'accroissement des
achats de vulnrabilits des fins criminelles.
2.2.2 Lattaque GDI+

Elle a exploit le 29 septembre 2004 la faille du mme nom (faille GDI+ corrige le
13 octobre 2004 bulletin MS04-28 ; donc une vulnrabilit 0-Day au moment de
lattaque). Les attaquants ont utilis simultanment deux axes : des images porno-
graphiques (disponibles sur des forums de discussion) et la messagerie instantane
dAOL. La faille affecte un grand nombre de versions de Windows et d'applications,
et notamment Internet Explorer 6 SP1.
Cette attaque utilisait des images au format JPEG dans lesquelles du code mal-
veillant avait t pralablement insr. Lorsquelles taient visualises avec un logi-
ciel concern par cette faille, ce dernier excutait automatiquement et en parallle
le code malveillant. En labsence de faille, ce code malveillant naurait pas pu tre
activ. L'attaquant pouvait alors obtenir les mmes privilges que lusager et prendre
le contrle de son systme.
Dans le cas de la messagerie instantane dAOL, les utilisateurs recevaient le
message suivant : Check out my profile. Click GET INFO . En cliquant sur le lien
contenu dans le message, la personne tait redirige vers une image contenant le
code malveillant et l'affichait. Le code malveillant tait ipso facto activ (grce la
faille). Il prenait le contrle du carnet de contacts AOL pour se propager et installait
une porte drobe (backdoor) dans le systme.

2.2.3 Les attaques du protocole Bluetooth

Ce protocole de connexion sans fil est prsent sur un trs grand nombre denviron-
nements mobiles (tlphones mobiles, ordinateurs portables, PDA). Ces appareils
nomades sont des cibles privilgies pour les attaquants. En 2005, des vulnrabilits
au niveau de limplmentation des fonctions de scurit de ce protocole ont t
dcouvertes. Elles affectaient un trs grand nombre denvironnements.
Parmi les attaques possibles, exploitant ces vulnrabilits, citons les trois principales,
dont nous conserverons la dnomination originelle.
Attaque BlueJacking
Elle consiste envoyer un fichier pour transmettre un message et, ce sans authenti-
fication, un autre quipement Bluetooth. Le nom de lquipement Bluetooth
metteur peut tre modifi afin de faire croire une communication lgitime et
normale (fournisseur de services de tlphonie par exemple). Cela autorise une
forme nouvelle de spam et une mthode denvoi de codes malicieux.
Attaque BlueSnarfing
Le pirate peut accder en lecture et en criture aux informations contenues dans
lenvironnement mobile vis (rpertoire tlphonique par exemple). Les donnes
contenues dans lappareil vis peuvent tre modifies. De nouvelles variantes de
cette attaque sont dcouvertes rgulirement. Dans tous les cas, un dfaut dauthen-
tification est lorigine de la faille.
Attaque BlueBugging
Elle permet de prendre le contrle des appels (et ainsi, par exemple, permet de trans-
former le tlphone en micro). Il est galement possible lattaquant dmettre, de
lire ou deffacer des SMS ainsi que de lire ou dcrire les entres du carnet dadresse.
Il peut galement rediriger le trafic tlphonique
En rsum
Ingnierie sociale et vulnrabilits sont les deux principaux angles dapproche que
tout attaquant qui se veut efficace doit connatre et matriser. En face, tout
dfenseur se doit de connatre lexistence de ces possibilits. Si la lutte contre
les vulnrabilits reste encore une chose relativement facile quoique vite con-
traignante dans un systme informatique complexe la gestion technique des
vulnrabilits dites 0-Day est impossible. Quant la gestion de lutilisateur et de
sa sensibilit vis--vis de lingnierie sociale la gestion du fameux facteur
humain existe-t-il seulement un espoir dfaut dune solution. Tout officier
de scurit est pass par suffisamment de grands moments de solitude pour savoir
ce quil en est. Et lattaquant le sait aussi

3
Vols et pertes
de donnes personnelles
Les tourdis ne devraient jamais prendre lavion seul ! En dcembre 2005, un

employ du cabinet daudit Deloitte & Touche oublie un CD-Rom dans un avion.
Pas un CD de musique ou de jeu vido. Mais un support contenant les donnes
personnelles de quelque 9 000 employs de McAfee, une entreprise amricaine
spcialise dans la scurit informatique. Et le comble, cest que ce fichier ntait pas,
selon les informations publies dans la presse, protg par un systme de chiffrement.
Si ce prcieux document est tomb entre les mains de pirates, les personnes con-
cernes peuvent craindre le pire, dautant que ltourdi en question naurait averti sa
hirarchie que trois semaines aprs sa bvue Grce ces prcieuses donnes, des
malfrats pourraient en profiter pour effectuer des achats personnels ou des virements
sur des comptes en Russie ou ailleurs. Ils pourraient aussi acheter du matriel infor-
matique et des logiciels pour les revendre ensuite sur des sites denchres ou via des
spams, ces e-mails non sollicits qui inondent le web. Apparemment, McAfee tait
prvoyant, ou pas rassur sur la scurit informatique, car elle avait souscrit une assu-
rance garantissant ses employs un service de surveillance de leurs comptes bancai-
res gratuitement pendant deux ans. Mais il est bien sr trs difficile den savoir plus sur
les consquences relles pour les employs. Comme dans toutes ces affaires, les entrepri-
ses restent trs discrtes
3.1 DONNES PERSONNELLES : PERTES ET PROFITS
Laffaire McAfee/ Deloitte & Touche peut prter sourire tellement elle parat
invraisemblable ! Malheureusement, il ne sagit pas dun cas isol. Depuis un peu
plus dun an, diffrentes affaires de pertes et de vols de fichiers informatiques

30 Chapitre 3. Vols et pertes de donnes personnelles
dfrayent la chronique surtout aux tats-Unis. Une tude publie au printemps 2006
par le ministre de la Justice amricain estime 3,6 millions le nombre de victimes.
La majorit dentre elles aurait entre 18 et 24 ans et se situerait dans les couches
sociales aises (revenu annuel suprieur 75 000 dollars). La moiti des cas recenss
concernent des escroqueries la carte de crdit et 15 % des vols d'identit dans le
but d'ouvrir de nouveaux comptes ou de bnficier de prts.
Il nest donc pas surprenant que bon nombre dAmricains commencent srieu-
sement douter des capacits des entreprises et surtout des organismes financiers
protger efficacement les donnes personnelles quils stockent. Plus de la moiti des
consommateurs amricains utilisant lInternet craignent davantage depuis un an le
dtournement de donnes confidentielles comme les codes bancaires. Beaucoup ont
mme chang leurs habitudes, dcidant de moins recourir aux achats en ligne.
Ces affaires de pertes de donnes sont en effet dautant plus inquitantes quelles
concernent des banques rputes. Cest le cas de la Bank of America. En fvrier 2005,
la troisime banque amricaine (quelque 38 millions de comptes privs et dentre-
prises) a perdu des donnes financires de 1,2 million de fonctionnaires de l'tat
fdral amricain. Cet organisme semble dailleurs avoir quelques soucis avec la
scurit informatique. En fvrier 2006, il a annul les cartes de crdit de nombreux
clients suite un mystrieux incident technique Le palmars de Javelin Strategy
& Research, une socit amricaine spcialise dans les finances, apparat dans ce
cas trs surprenant. Pour la seconde anne conscutive (2004 et 2005), la Bank of
America a dcroch la premire marche du podium de la scurit en ligne. Dans cette
tude comparant vingt-huit banques, elle a aussi obtenu la premire place concer-
nant la prvention et la rsolution de vol didentit.
Les clients des autres banques ou organismes ne sont pas mieux lotis. En avril
2005, Citigroup a perdu des bandes magntiques contenant les donnes prives
denviron 4 millions de comptes. Le fichier se serait gar lors dun envoi dans un
avion affrt par une socit connue pour ses livraisons express.
En mars 2005, LexisNexis, spcialise dans la recherche et la vente d'informa-
tions personnelles de millions de consommateurs amricains, annonce la disparition
frauduleuse de 32 000 fichiers de donnes.
Mais laffaire la plus retentissante a lieu en fvrier 2005. Le service amricain de
renseignements financiers ChoicePoint a vendu par erreur un extrait de son fichier
clients de mystrieux acheteurs. Une mine dor pour tous les cyberdlinquants
puisquil contient l'identit personnelle (numro de scurit sociale, numros de
tlphone, adresses e-mails) et la situation bancaire (tat d'endettement notam-
ment) de quelque 160 000 personnes. Un vent de panique sempare du pays. Vingt-
deux tats ouvrent une enqute afin de vrifier notamment si le nombre de victimes
potentielles (dont une bonne partie se trouve en Californie) annonce par lorga-
nisme nest pas sous-valu. Les magistrats sappuient notamment sur le Privacy
Act of 2005 qui stipule que citoyen amricain doit tre inform ds quun
incident informatique concerne ses donnes. Mais comme cette lgislation nest

3.2 Les pertes de donnes sensibles 31
pas applique partout, des procureurs de ces tats-l ont demand des complments
dinformations auprs de ChoicePoint et ont averti le grand public.
Cette absence dune lgislation homogne explique en partie la difficult va-
luer, avec plus ou moins derreurs, le nombre de vols ou de pertes de fichiers de ce
genre. Image de marque oblige, les banques et les organismes de crdit restent trs
discrets sur ces dgts collatraux . Il faut donc se tourner vers des institutions
plus indpendantes pour obtenir des renseignements plus prcis. Ainsi, la Federal
Trade Commission (Commission Fdrale du Commerce aux tats-Unis) estime
quen 2005 un peu plus de 9 millions de ses concitoyens auraient t victimes d'un
vol ou d'une arnaque par usurpation de leur identit durant les 12 derniers mois ! Le
cot pour les entreprises ou les internautes est estim 50 milliards de dollars. Une
rcente tude1 de la Privacy Rights Clearinghouse, une association de dfense des con-
sommateurs amricains, value 53 millions le nombre de personnes qui auraient
perdu des informations personnelles entre mars 2005 et le printemps dernier.
3.2 LES PERTES DE DONNES SENSIBLES
Une thse ne peut pas sappuyer que sur des anecdotes. Mais celles-ci ont au
moins le mrite dtre significatives si elles sont choisies bon escient. Cest la
mme chose pour les exemples qui suivent. On peut en tirer toutes les conclusions
que lon veut et estimer que les exemples que nous allons prsenter sont rares. Cela
reste prouver. Tous les spcialistes en scurit que nous avons rencontrs nous ont
racont quelques bvues croustillantes. Les Gaston Lagaffe sont partout, y compris
dans lArme ou la police Quelques officiers franais ont par exemple oubli dans
des vhicules des tlphones portables contenant quelques numros classs
Mais lhistoire la plus connue remonte 2004. Lors de lopration Licorne en
Cte dIvoire, les militaires franais sont repartis un peu trop vite et ont laiss der-
rire eux un ordinateur contenant des renseignements classifis : cartes, inven-
taires de matriel des forces gouvernementales et rebelles, 200 fiches biographiques

dresses par les services du renseignement sur de hautes personnalits ivoiriennes et
des diplomates trangers Quelques jours aprs, un curieux CD ROM2 se retrouvait
sur les tals de quelques commerces d'Abidjan. A un prix dfiant toute concurrence :
moins de 6 euros ! Sa pochette affichait le titre sibyllin Le CD ROM oubli et la
photographie du gnral Henri Poncet, le chef de cette opration.
Les pertes de donnes concernant des centrales thermiques sont toutes aussi
inquitantes. Elles prouvent que les rseaux informatiques dinfrastructures sensibles
ne sont pas toujours bien protgs. En mai 2006, une infection virale a provoqu la
fuite sur Internet dinformations confidentielles (concernant la scurit et des don-
nes sur le personnel) sur une centrale thermique appartenant lentreprise japo-
1. http://www.privacyrights.org/ar/ChronDataBreaches.htm.
2. Le monde. 14/04/2005.

naise Chubu Electric Power. Les donnes se seraient retrouves sur le web via le
logiciel de partage de fichiers Share. Quelques mois plus tt, la mme socit avait
connu un incident similaire Enfin, en juin 2005, lditeur dantivirus Sophos avait
rvl la diffusion dinformations secrtes sur une centrale nuclaire, drobes sur
lordinateur priv dun employ de Mitsubishi Electric Plant Engineering.
Toujours au Japon, des donnes sur des victimes japonaises de violences sexuelles
sont apparues sur Internet la suite de linfection de lordinateur dun enquteur de
la police.
Ces exemples peuvent paratre anecdotiques et le lecteur peut objecter que
somme toute, de tels cas sont fort heureusement peu nombreux. Que faut-il en
penser ? Sil est effectivement trs difficile, voire impossible, dtablir des statisti-
ques, cest en partie parce que le secret est de rigueur et qu moins dindiscrtions,
ces affaires et autres fautes graves ne sont jamais rendues publiques. Cest parfaite-
ment comprhensible si lon considre que leur rvlation donne aux attaquants
sinon des ides du moins des informations utiles pour savoir o chercher. Une autre
illustration du duel entre lpe et le bouclier.
3.3 LE VOL DES DONNES : LE MARCH AUX PUCES
La consultation du rapport de la Privacy Rights Clearinghouse1, une organisation

non gouvernementale amricaine de dfense des intrts des consommateurs, montre
quel point les ordinateurs portables sont devenus des proies faciles pour les voleurs
en tout genre mais aussi pour les organisations criminelles. Elles cherchent surtout
exploiter les fichiers stocks dans le disque dur qui sont rarement protgs par des
mots de passe et un systme de chiffrement. Voici les faits plus marquants constats
entre avril 2005 et mars 2006.
Avril 2005, San Jose Mdical Group (San Jose, Californie) : le PC contenait
un fichier de 185 000 noms.
Mai 2005, Dpartement de la justice (Washington) : 80 000 rfrences.
Dcembre 2005, Firstrust Bank : 100 000 noms.
Fvrier 2006, cabinet Ernst & Young : 38 000 rfrences (donnes personnel-
les et numros de scurit sociale demploys de BP, Sun, Cisco et IBM.
Mars 2006, Metropolitan State College (Denver) : un fichier vol contenant
les donnes prives de 93 000 tudiants scolariss entre 1996 et 2005.
Le record a pendant un temps t dtenu par la Fidelity Investments, un fonds

dinvestissement situ Boston. En mars 2006, un ordinateur contenant des infor-
mations personnelles de 196 000 salaris travaillant notamment pour lentreprise
informatique HP a t vol. Fidelity a tenu prciser qu'aucun mot de passe permet-
tant de s'identifier sur ses services n'tait dans le PC

3.3 Le vol des donnes : le march aux puces 33
Mais deux mois plus tard, ce record est tomb. Une base de donnes contenant
les informations personnelles denviron 26 millions d'anciens combattants amri-
cains a t drobe. En cambriolant le domicile dun analyste du ministre des
anciens combattants, les malfrats ont en effet mis la main sur un PC portable conte-
nant ce prcieux document.
Une autre tude publie en mai 2006 est tout aussi rvlatrice. A la demande du
groupe Kensington, le cabinet IDC a interrog 200 entreprises europennes.
Conclusion : en moyenne, une PME perd quatre ordinateurs portables par an, avec
trs peu de chances (5 %) de les retrouver. Le quart des vols serait d des employs.
Ce nest pas tellement la perte dun PC qui inquite le plus les entreprises mais le
cot li la disparition des donnes. Dans cette mme enqute, IDC annonce que
seulement 13 % des entreprises interroges font de la scurit matrielle de leur
matriel informatique une priorit
Le premier hold-up virtuel

En juin 2005 le groupe Mastercard publie un communiqu qui fera date dans
lhistoire de la cybercriminalit. Le groupe rvle quenviron 40 millions de titu-
laires de cartes de crdit (dont prs de 14 millions de cartes MasterCard, les
autres concernant Visa et Discover) venaient de passer du ct obscur, en
loccurrence celui du casse informatique. Un pirate est en effet parvenu accder
aux donnes confidentielles de ces comptes (numros des cartes ainsi que les
codes de scurit mais pas les adresses des usagers parmi lesquels 70 000 Fran-
ais). Pour russir son hold-up, il sest attaqu au maillon faible du systme, Card-
Systems Solutions une socit amricaine charge d'assurer la scurit des
transactions par carte bancaire. La disparition de 40 millions de cartes ne signifie
pas que ce braquage a fait autant de victimes. Cela signifie qu'elles taient dans
le systme au moment de l'intrusion. Nous avons inform les tablissements
metteurs afin qu'ils prennent les mesures ncessaires auprs de leurs clients ,
indique Herv Kergoat, directeur gnral de Mastercard Europe1.
Le vol de donnes bancaires passe aussi par lutilisation de chevaux de Troie con-
us spcialement pour la rcupration de ce genre dinformations. Selon lditeur de
scurit Kaspersky, ces codes malicieux sont de plus en plus nombreux. Le taux de
croissance de cette catgorie est le plus lev parmi les programmes malicieux. Il
reprsente 402 % la fin de lanne 2005.1
Les Amricains ne sont pas les seuls tre concerns. Les pertes lies ce genre de
larcins atteindraient 1,7 milliard de livres Sterling en Angleterre selon les propos
tenus dbut 2006 par Andy Burnham, le secrtaire d'tat du ministre de l'Intrieur.
Lune des dernires affaires remonte au mois davril 2006. Le quotidien britannique
The Times2 rvle que des informations lies aux cartes de crdit de 300 400 Britan-
1. 01Net.com. 21/06/2005.
2. 15/04/ 2006.

Figure 3.1 Les codes malicieux deviennent de plus en plus spcialiss.

Source : Kaspersky. 2005.
niques ont t mises en vente sur l'Internet par des pirates qui les ont voles sur des sys-
tmes informatiques d'entreprises mal protges. Un vrai march aux puces ! Un
numro de carte cote 1 euro environ. Plus on paie, plus on obtient dinformations
facilitant les achats comme le code de scurit de trois chiffres cote (quelques euros)
et le code secret (entre 10 et 100 euros). Pour diffrentes raisons, lies notamment la
lgislation, ces sites ne se trouvent pas en France. Ils sont en principe hbergs hors
d'Europe et bien souvent aux tats-Unis, explique Yves Crespin, chef de la Brigade
denqutes sur les fraudes aux technologies de linformation (BEFTI). Dans ce pays, les
pirates profitent de la libert d'expression et de communication (1er amendement de
la Constitution) Autres terres daccueil : les pays de lEst et dAsie.
En France, les donnes officielles concernant ce genre de dlits sont rares, tous
les organismes bancaires (cest aussi la mme chose ltranger) restant trs discrets
sur ce genre de sujet. Selon lObservatoire de la scurit des cartes de paiement (cr
en 2003), le taux global de fraudes sur les cartes de paiement, toutes transactions
nationales et internationales confondues, a t estim en 2004 0,07 %. Il tait de
0,09 % en 2003 et de 0,08 % un an plus tt. Le montant de la fraude est pass de
273,7 millions deuros en 2003 241,6 millions deuros en 2004 (soit une diminu-
tion de 11,7 % alors que dans le mme temps les capitaux changs ont augment de
7,8 %, passant de 320 345 milliards deuros.

Mais le plus intressant est que cet observatoire constate une augmentation des
piratages des bases de donnes : la frquence est peu prs dun piratage par
semaine, alors que celle-ci tait dune par mois, voire une par anne, il y a peu de
temps. Ces piratages proviennent notamment des tats-Unis et de Turquie peut-on
lire dans un compte-rendu rcent1.
L'Office central de lutte contre la criminalit lie aux technologies de l'informa-
tion et de la communication (OCLCTIC) fournit aussi des statistiques. Sur les
59.964 faits enregistrs en 2004, 83,24 % concernent la falsification et l'usage de
cartes de crdits, en diminution de 0,45 % par rapport 2003.
Concernant la protection des donnes personnelles, de srieux doutes concer-
nent la carte Vitale. Il y a un an, deux ingnieurs ont dmontr quelle ntait pas
scurise. Ils ont dmontr quil tait possible davoir accs aux donnes confiden-
tielles mais aussi de crer des cartes compatibles acceptes par les professionnels
de la sant. Cette facilit serait due au fait que les donnes sont codes et non pas
chiffres (il ny a pas dalgorithme de cryptographie).
Ces deux informaticiens nen sont pas leur premire rvlation. Lun dentre
eux affirme avoir prvenu le GIE Sesam Vitale, ds 2000, de la prsence dun bogue
qui permettait dintercepter les codes porteurs confidentiels. Son compre avait de
son ct consacr deux articles, publis dans Pirates Mag de mai et aot 20052, dans
lesquels il indiquait quil tait possible de lire et de copier lensemble des donnes
prsentes dans cette carte et donc de la cloner.
Mais cest en Russie que la situation est la plus catastrophique. Du numro de
scurit sociale la date de naissance en passant par le prnom de sa mre, le
numro de compte bancaire ou de carte de crdit avec son code, toutes ces donnes
peuvent permettre d'accder diffrents comptes, le plus souvent des fins d'extor-
sion financire, mais aussi pour fabriquer de fausses pices d'identit, de faux
certificats, etc. Ces donnes pirates sont stockes sur des sites clandestins fonction-
nant comme des self-services d'informations voles. Pour pouvoir y accder, il faut
montrer patte blanche, et prouver sa bonne foi criminelle en apportant un lot de
donnes pirates3.
La gangrne russe va-t-elle stendre dautres pays ? Il est difficile dapporter une
rponse prcise car les lgislations, les murs, lorganisation des rseaux financiers
varient dun pays un autre. Faut-il en conclure que les socits spcialises dans la
scurit informatique crient au loup pour mieux vendre leurs solutions ? La menace
est-elle vraiment leve ? Des spcialistes estiment en effet que les exploitations de
donnes personnelles pirates seraient assez rares. Dans le cas de laffaire Choice-
Point, les donnes prives auraient servi essentiellement dtourner le-mail des
victimes et il ny aurait eu que 800 victimes sur les 160 000 noms figurant sur les
fichiers. Les risques seraient donc limits. Ce sont du moins les conclusions de deux
1. Commission des finances de lconomie gnrale et du plan. Compte rendu n 48. 8/02/2006.
2. http://www.acbm.com/pirates/num_18/carte-vitale-ald.html et http://www.acbm.com/pirates/
num_19/problemes-securite-carte-vitale.html.
3. Libration. 11 /02/2006.

tudes ralises en 2005. Celle commande par le Better Business Bureau (cre en
1912 aux tats-Unis, ce bureau d'thique commerciale est une organisation but
non lucratif) et par Javelin Strategy & Research1, indique que seulement 11,6 % des
fraudes relatives l'identit auraient t commises via Internet.
Selon cette enqute, les internautes qui accdent leurs comptes financiers en
ligne pourraient plus rapidement dtecter les transactions suspectes que ceux qui
n'utilisent que la version papier. Cette rapidit pourrait expliquer que les pertes
encourues par les premiers s'lvent en moyenne 550 euros contre 4 500 euros
pour les seconds.
La seconde tude a t ralise par ID Analytics. Selon ce cabinet, un vol d'iden-
tit sur 1 000 seulement aboutirait un dtournement de fonds ou un dommage
rel. Les analystes d'ID Analytics ont suivi le quotidien de 500 000 consommateurs
amricains victimes dune des affaires de vols de fichiers. Principale cause de ce fai-
ble taux de transformation : la rapidit avec laquelle une carte ou une informa-
tion bancaire est annule lorsque sa disparition est avre. Encore faut-il que les
clients en soient informs le plus tt possible. Or dans laffaire du casse du sous-trai-
tant CardSystems Solutions, les possesseurs de cartes de crdit nont t informs
que quinze jours aprs le forfait ! Les victimes se sont dailleurs regroupes pour
dposer une plainte en nom collectif auprs d'une cour en Californie. Mme lenteur
du ct de ChoicePoint. Le courtier a attendu plusieurs mois avant de reconnatre
publiquement sa terrible erreur.
Un peu plus dun an aprs, la sanction est tombe. La FTC (Federal Trade Com-
mission) a condamn ChoicePoint une amende de 10 millions de dollars. L'hber-
geur de donnes personnelles devra aussi verser 5 millions de dollars de dommages
intrts aux victimes. Cest la plus grosse amende jamais inflige par la FTC pour un
vol de ce genre. Avec ce type de record, lorganisme public espre faire comprendre
aux entreprises la ncessit de mieux se protger.
En fvrier 2006, cest au tour de la banque d'investissement amricaine Morgan
Stanley dtre sur le devant de la scne. Elle devrait payer 15 millions de dollars dans
un arrangement l'amiable avec le ministre de la justice et la SEC, la Securities and
Exchange Commission, le gendarme de la Bourse aux tats-Unis. La banque est cou-
pable de ne pas avoir suffisamment protg la confidentialit des courriers lectroni-
ques d'Amricains.
Ces premires condamnations visent notamment sensibiliser encore plus les
entreprises ainsi que leurs clients qui deviennent de plus en plus dpendants
des technologies de la communication. La protection des donnes personnelles est
devenue un enjeu majeur pour toute la chane des transactions financires : du com-
merant au consommateur en passant par tous les organismes dtenant des donnes
confidentielles (centres de traitement informatique de cartes de crdit, organismes
de crdits, diteurs de cartes bancaires). Cette pratique touche aussi les sites de
commerce lectronique et ceux qui sont spcialiss dans les enchres.
1. The 2005 Javelin Identity Fraud Survey Report. http://www.bbb.org/alerts/article.asp?ID=565.


Commerce lectronique : le business de la parano

Peur sur le Web ! Publies quelques semaines avant les ftes de Nol 2005, deux
tudes amricaines ont d refroidir quelques inconditionnels du commerce lec-
tronique. Ainsi, 67 % des internautes interrogs par Harris Interactive pour Sun
Microsystems ont confirm qu'ils mettraient fin leurs achats en ligne s'ils
dcouvraient que leurs informations personnelles sont compromises. Un tiers des
personnes a dclar avoir t victime personnellement d'une usurpation d'iden-
tit ou quelqu'un de leur entourage.
Une autre tude, signe Forrester Research, a rvl que la majorit des consom-
mateurs amricains se sentent particulirement concerns par les pratiques de
vente des fichiers amasss par les sites. Ces rsultats doivent malgr tout est pris
avec toutes les prcautions dusage. Lune de leur conclusion est que les sites
marchands doivent renforcer la protection de leur rseau informatique en
faisant appel notamment des spcialistes comme Sun Microsystems !
En rsum
Les donnes des internautes deviendraient-elles de moins en personnelles ? Les diffrentes
affaires que nous relatons tendraient le montrer. Dautant, quil est trs difficile destimer
le nombre de ces fichiers qui ont disparu ou qui ont t vols puis revendus. En France, la
police estime quelle na connaissance que de 10 % des affaires de cybercriminalit. Les
victimes, quil sagisse de particuliers ou dentreprises, portent rarement plainte.

4
Le phishing :
lapproche artisanale
Un nouveau type de pche fait fureur sur le Web : le phishing contraction des mots
anglais fishing, qui veut dire pche en franais, et phreaking, dsignant le piratage de
lignes tlphoniques. Pratique par les pirates, cette technique profite notamment
de la navet des internautes pour leur soutirer leurs donnes personnelles (notam-
ment bancaires) afin effectuer des achats avec leur numro de carte bancaire.
Contrairement ce que lon pourrait croire, cette technique nest pas apparue
avec le dveloppement des connexions internet. Cette arnaque existait dj avec
le papier, prcise Patrick Pailloux, directeur central de la scurit des systmes
d'information. Des entreprises recevaient de faux fax de France Telecom leur
demandant de payer leur facture. Cette escroquerie marchait surtout avec les PME
ou les artisans car ils navaient pas le temps de tout contrler comme dans une
grande socit o il y a des comptables, un service de scurit
Aujourdhui, lre du tout numrique, ce procd reprsente le nec plus ultra de
ce quil est possible de faire en ingnierie sociale (voir chapitre 2). Mme lorsquelles
sappuient sur des techniques basiques, ces attaques font de nombreuses victimes par
la simple manipulation des esprits.
Les risques sont dautant plus levs que ce genre descroquerie ne concerne pas
uniquement les banques. Il y a aussi les sites de commerce lectronique et ceux des
oprateurs tlcoms sur lesquels on peut acheter des cartes prpayes ou des for-
faits. Trs souvent, plus la ficelle est grosse, plus lattaque a de chances de russir ! En
2005, il y a eu une tentative de phishing qui reprenait les logos de la CIA et du FBI ,
dclare Yves Crespin de la BEFTI. Le texte de le-mail tait peu prs celui-ci : Vous
avez surf sur des sites interdits et vous avez t repr par nos services. Mettez-vous
rapidement en relation directe avec nous par retour de-mail sous peine de poursuites.
Indiquez-nous toutes vos coordonnes, y compris bancaires et code secret.

40 Chapitre 4. Le phishing : lapproche artisanale
Le chef de la BEFTI voque aussi les faux e-mails de scurit provenant soi-
disant de Microsoft. Les pirates ne proposent plus aux internautes de tlcharger
le dernier tube de Madonna car le grand public commence savoir que la pice
jointe peut contenir un virus. Par contre, ils sont moins vigilants concernant un e-
mail leur demandant de cliquer sur un lien pour une mise jour de scurit ! ,
constate ce spcialiste.
Le plus frustrant est donc de constater que, attaques aprs attaques, les victimes
sont toujours aussi nombreuses, bien que les ressorts psychologiques du phishing
naient gure volu depuis lorigine.
Cette situation amne deux constats : le manque dinformations des internautes
est encore extrmement important et, deuximement, certains acteurs impliqus
dans la scurit des utilisateurs (diteurs de logiciels, constructeurs, fournisseurs de
services bancaires par exemple , assureurs, mdias) nont pas uvr avec suf-
fisamment dnergie pour djouer les attaques par phishing
Le phishing recouvrant de multiples facettes, nous allons laborder en deux chapi-
tres, en allant des procds artisanaux aux techniques les plus sophistiques .
4.1 INTRODUCTION
Le terme de phishing, appliqu au numrique, date de 1996. Il a t identifi dans le

clbre forum de hackers alt.2600 pour dsigner des techniques de vol de mots de
passe dutilisateurs dAOL. Ces mots de passe taient ensuite utiliss comme
monnaie virtuelle dchange entre les pirates pour acheter des logiciels cracks
(10 mots de passe contre un logiciel pirat). Depuis cette date, les techniques
voluant et les cibles se diversifiant, cette expression dsigne la mise en uvre de
techniques visant voler des donnes personnelles confidentielles en vue dune
utilisation frauduleuse, dlictuelle ou criminelle.
Dire que le phishing est une technique rpandue est un doux euphmisme. Il sagit
en ralit dune sorte de peste lectronique moderne avec laquelle nous devrions
vivre sans espoir de rmission ou de gurison.
Pour mesurer lampleur du phnomne voici dautres chiffres difiants. Selon le
Anti-Phishing Working Group (association amricaine regroupant plus de
2 300 membres provenant de 1 500 entreprises) et selon lditeur dantivirus
Sophos1 (membre de lAPWG), 58 % des utilisateurs en entreprises reoivent au
moins un message de phishing par jour, 22 % en reoivent plus de cinq par jour.
Ce groupe a reu pour le seul mois de dcembre 2005, 15 244 signalements de
phishing comparer aux 8 829 en dcembre 2004. Un autre rapport2 prcise que
1. http://www.sophos.fr/pressoffice/news/articles/2006/02/phishstats.html.
2. A. Litan, Phishing Victims Likely Will Suffer Identity Theft Fraud, Gartner Research Note, 14 Mai
2004.

4.1 Introduction 41
57 millions dinternautes amricains ont identifi une attaque reposant sur ce pro-
cd. Cette mme tude estime quenviron 1,7 million dentre eux en ont t victi-
mes et ont divulgu des informations confidentielles.
Toujours selon les chiffres du groupe APWG, lvolution du nombre des sites
construits chaque mois, pour raliser des attaques de phishing, est en constante aug-
mentation comme le montre la figure 4.2. Entre 2000 et 7 000 nouveaux sites appa-
raissent chaque mois. L'APWG affirme galement que le temps moyen d'existence
d'un site d'escroquerie est de 6 jours et que 80 % des faux sites copient des sites
financiers (banques, organismes de crdit).
De son cot, le leader mondial de la scurit, Symantec, estime quil y avait au
premier semestre 2006 quelque 8 millions de tentatives de phishing par jour. Lors
de la priode prcdente, lditeur nen avait comptabilis que 5,70 millions.
Des statistiques plus dtailles concernant la France sont plus rares. Mais cela ne
signifie pas pour autant que notre pays soit pargn. Quelques cas ont t reprs en
2005. Mais lune des grandes nouveauts est l'apparition dattaques de phishing en
franais , constatent diffrents spcialistes. Les premires sappuyaient sur des tra-
ductions approximatives. Mais les plus rcentes sont parfaites ou en tous les cas suf-
fisamment bien conues pour que le grand public ny voit que du feu. Cette
volution peut tre inquitante. Les pirates ont peut-tre dnich la mthode
dapprentissage dune langue la plus efficace ou alors ils sont Franais.
Pays dorigine (adresse IP) Pourcentage des attaques
Etats-Unis 27,74 %
Core du sud 17,35 %
Chine 8%
France 6,27 %
Allemagne 4,85 %
Royaume-Uni 3,95 %
Espagne 3,59 %
Japon 3,49 %
Italie 2,43 %
Figure 4.1 Malgr larmada judiciaire et technique,

de nombreux phishers travaillent depuis les Etats-Unis. Source : APWG.
Toutes ces donnes dmontrent lactivit incessante des phishers, laquelle

nest encourage que par la russite des attaques pour un nombre non ngligeable
des victimes vises. Les chiffres couramment cits voquent une moyenne de 5 %
de personnes tombant dans le pige tendu par les phishers. Mais le taux de

russite pourrait tre plus lev. Un sondage ralis par linstitut TNS-Sofres
en 2005 outre-Rhin rvle que 80 % des clients de la Deutsche Postbank
(premire banque de dtail allemande) se laisseraient tromper par un e-mail
frauduleux !
Lexploitation des donnes

Elles sont utilises des fins lucratives et mafieuses. Les mots de passe de compte
serviront prendre possession distance dun ordinateur et lutiliser pour orga-
niser un crime ou un dlit (tratre dtres humains, trafics divers, pdophilie)
impliquant au passage les innocents propritaires lgitimes des machines
ainsi compromises. Les codes de cartes bleues et autres informations relatives
serviront quant elles entre autres possibilits fabriquer des vraies faus-
ses cartes bancaires utilises par des organisations criminelles pour dbiter les
comptes des victimes.
Ces informations voles se ngocient selon des cours variables. Alors quun
simple numro de carte vaut de 1 5 dollars selon que le pictogramme visuel est
fourni ou non, la fourniture additionnelle dun code secret valide fait monter les
prix jusqu 100 dollars.
Il est galement difficile destimer correctement les prjudices financiers causs

par cette arnaque. Pour deux raisons principales : les statistiques ne sont gnrale-
ment pas rendues publics et, deuximement, 90 % de dlits ne seraient pas signals.
Le rapport Gardner indique un prjudice de 1,2 milliard deuros pour les seuls ta-
blissements bancaires en 2003 avec un cot estim 88,5 millions deuros pour le
seul Royaume-Uni.
4.2 LES TECHNIQUES DU PHISHING
Elles sont nombreuses et limagination des attaquants na pas de limites. Toutefois, il

est possible de distinguer deux principaux groupes de techniques :
Certains sappuient sur un simple procd dingnierie sociale (voir
chapitre 2), sans relle astuce technique. Dautres reposent toujours sur la
manipulation psychologique mais utilisent des ressorts techniques qui
peuvent tre trs volus et requrir des organisations plus complexes.
Dans ce chapitre, nous prsentons celles que lon peut qualifier
dartisanales . Les mthodes plus sophistiques seront dtailles dans le
chapitre suivant.
Les secondes, abordes dans le chapitre 5, constituent une approche plutt
industrielle .

4.2 Les techniques du phishing 43
4.2.1 Comment harponner la victime

Le courrier lectronique
La technique la plus simple mais galement la plus rpandue est celle utilisant le
spam (voir chapitre 6) ou des e-mails cibls. Le cas le plus simple est un courrier
lectronique provenant de ladresse support_technique@votrebanque.com (ladresse
est usurpe ; une manipulation trs simple raliser). Prtextant un contrle de
scurit de votre compte, cet e-mail vous invite cliquer sur le lien www.votre-
banque-validate.info (ce nom de domaine qui ressemble sy mprendre au site rel
de la banque appartient lattaquant) et fournir des informations confidentielles
pour vous authentifier. Le tour est jou.
Cette astuce est souvent automatise laide des outils traditionnels des spammeurs.
Lobjectif est bien sr denvoyer moindre cot et risque (utilisation de PC zombies)
plusieurs millions de courriers chaque jour. Comme pour le spam, les auteurs de ces
attaques achtent galement des noms de domaine (les adresses des sites qui vont
voler vos donnes) en grand nombre. Les ressorts psychologiques utiliss sont trop
nombreux pour tre tous numrs mais signalons les principaux :
Mise jour de logiciels ou de la scurit du site ncessitant la confirmation de
dtails bancaires (attaque de la Socit Gnrale, voir figure 4.2).
Figure 4.2 Phishing de la Socit Gnrale (mars 2006).
Fin 2005 et dbut 2006, les clients des banques LCL et BNP Paribas ont t la
cible des mmes types de-mails (voir figure 4.3). Le lecteur remarquera que la con-
texture des courriers est quasi-identique. Les pirates adoptent une dmarche syst-
matique et aucune banque (ou autre cible ainsi exploitable) nest pargne.

Figure 4.3 Attaque par phishing de la banque BNP Paribas (mars 2006).
Activation de nouvelles options sur le site (site AGF en aot 2005). Des
donnes confidentielles doivent tre fournies pour lactivation
Lutte contre le vol didentit et renforcement des mesures de scurit. Lutili-
sateur doit fournir des donnes personnelles bancaires sinon son compte est
suspendu (site de Citibank)
Scurisation du compte suite des tentatives de connexions douteuses. L
encore, cette scurisation est active en donnant des donnes bancaires.
Mise jour des donnes personnelles sous peine de ne plus pouvoir accder
certains droits (site eBay en 2005).
Tous ces courriers lectroniques utilisent les mmes approches. Les plus frquen-
tes tant :
La simulation par un courrier dun contenu professionnel, officiel ou
commercial.
La duplication de contenus connus ou reconnus auxquels sont insrs une ou
plusieurs modifications imperceptibles, dans lURL par exemple.
Lutilisation du format HTML pour dissimuler ladresse du site de phishing.
Lutilisation de courriers cibls ou fabriqus pour une victime ou un groupe de
particuliers. Rcemment des attaques par phishing cibl utilisaient le nom de
jeune fille. Une telle approche cible a de plus grandes chances de russir.
Lutilisation de codes malveillants en pice jointe (voir plus loin figure 4.6).

4.2 Les techniques du phishing 45
Les sites web malicieux

Cest comme pour la pche : on utilise un leurre (un faux poisson aux couleurs vives)
et on attend quun plus gros poisson morde lhameon. Rapporte Internet,
lastuce consiste crer un site frauduleux et attendre que des victimes sy connec-
tent. Une autre approche consiste sintroduire sur un site tiers et y inclure une
page web malicieuse (en utilisant par exemple une vulnrabilit du serveur hber-
geant le site compromis). Il est vident que pour attirer des victimes en grand nombre
les sites malicieux doivent tre attractifs. La pornographie, les contenus pirats
(appels warez ) sont de bonnes chausse-trappes en terme dingnierie sociale.
Les attaques par sites web utilisent en gnral :
Des liens HTML cachs au sein de sites trs populaires (donc pirats) et
renvoyant sur des sites administrs par le phisher.
De fausses bannires publicitaires ou autres liens sponsoriss renvoyant vers
des sites de phishing.
Des techniques dites de web-bugs (des objet cachs dans une page HTML
comme une image de taille nulle) pour identifier et tracer de futures victimes.
Des fentres pop-up pour dissimuler lorigine vritable dun message de
phisher.
Des codes malveillants dans des pages HTML de serveurs vulnrables qui
permettent alors dexploiter les vulnrabilits du navigateur de tout utilisateur
consultant ces sites et les infecter laide dun code offensif qui ralisera latta-
que proprement dite (cheval de Troie, keylogger). Cest le cas, par exemple
du code Padodor (voir chapitre 2) qui affiche la fentre suivante :
Figure 4.4 Le pige est gros mais il est efficace !


La messagerie instantane, IRC et VoIP

Ladoption de la messagerie instantane (IM Instant Messaging) en tant que
mdia de communication en entreprise est aujourdhui une ralit. Le cabinet IDC
value un milliard le nombre de messages instantans changs quotidiennement
en entreprise, un chiffre qui devrait dpasser celui de le-mail en 2006 selon les
prvisions de Gartner.
Quant aux forums de messagerie instantane, ils sont devenus galement des
canaux de communication trs priss des phishers. Leur popularit est due notam-
ment linclusion de contenus dynamiques (images, sons, liens hypertexte,
URL). Toutes les techniques connues de phishing sont transposables ces nou-
veaux moyens de communication, avec dautant plus de succs pour les attaquants,
il faut le craindre, que les utilisateurs nont pas encore conscience du risque attach
ces nouveaux canaux de communication.
Et la situation ne risque pas de samliorer car les escrocs ont plus dun tour
dans leur sac. En mai 2006, la socit Cloudmark, spcialise dans le filtrage de
courriers lectroniques, a annonc avoir identifi une nouvelle forme de phishing
utilisant la tlphonie sur Internet. Le serveur vocal exploit pour lattaque se fait
passer pour un tablissement financier et demande la personne de rentrer ses
identifiants de compte (mot de passe inclus). Selon cette socit, lutilisation de la
voix sur IP (VoIP) devrait accentuer ce type de procd car ce genre de communi-
cation est encore trop nouveau pour que les utilisateurs le peroivent comme ris-
qu. Lexplosion de la tlphonie sur Internet prsente deux aspects favorisant le
phishing : elle permet de toucher un grand nombre de victimes et la simulation
dun serveur vocal devient conomiquement moins onreux que celle dun serveur
vocal classique.
Les PC domestiques pirats

Avec laugmentation des vulnrabilits (voir chapitre 2) et autres techniques
dinfection classiques (virus, vers, chevaux de Troie), un grand nombre dordina-
teurs domestiques sont attaqus par les phishers et ensuite utiliss comme vecteur
dattaques par phishing (ils deviennent en effet des PC zombies). Comme pour les
autres formes de cybercriminalit, tracer et remonter jusquaux auteurs vritables de
lattaque devient de plus en plus difficile pour ne pas dire impossible.
La compromission de milliers dordinateurs (rseau de botnet) permet non seule-
ment de les utiliser comme des relais pour des attaques mais galement comme de
formidables sources dinformation sur de futures victimes (analyse des courriers lec-
troniques de la victime par exemple).
Un exemple rcent dutilisation de vulnrabilit (avril 2006) montre comment
les malfrats peuvent agir et profiter de toutes les faiblesses dans nos environne-
ments informatiques. Bien que rvle, cette vulnrabilit na t corrige
quaprs plus dune semaine. Elle permet dexcuter une animation Flash quel-
conque (envoye comme pice jointe humoristique par exemple) en faisant affi-
cher au navigateur Internet Explorer nimporte quelle adresse. Ainsi le phisher

4.3 Les mcanismes dattaques 47
peut faire afficher ladresse de son choix dans la barre du navigateur de la victime
tout en contrlant le contenu apparaissant lcran. Cela permet de concevoir des
sites de phishing quasi-indtectables puisque la barre dadresse indiquera la vraie
URL du site imit au lieu de celle du serveur contrl par le pirate et utilise pour
lattaque.
Figure 4.5 Alors que lURL est celle de Google,

la page en elle-mme correspond un tout autre site.
4.3 LES MCANISMES DATTAQUES
Dun point de vue technique, ces attaques sont souvent perues comme requrant
un haut niveau de savoir-faire et donc accessible une lite peu nombreuse. Par
exemple, les sites de banque tant souvent utiliss, le grand public imagine que
cela ncessite dattaquer pralablement le ou leurs serveurs. Ces organismes tant
bien protgs, le risque est ipso facto rduit. Pour la majorit des attaques de
phishing, il nen est rien. La plupart du temps, une bonne utilisation de lingnierie
sociale suffit. Le phisher aura russi son coup si, sur des millions de tentatives, un
pourcentage mme faible dutilisateurs y succombent. Ces attaques deviennent
alors rentables.

Toutefois, assez souvent les mcanismes mis en place par les escrocs ne peuvent
fonctionner que si les victimes elles-mmes ralisent des actions prcises. Les tech-
niques tant trs nombreuses, nous nen dtaillerons que les principales1.
4.3.1 Attaque par le milieu

Le principe est lmentaire : comme toute communication relie un poste client
(lutilisateur qui consulte une page web) et un serveur hbergeant des pages, il suffit
lattaquant de se placer au milieu de la communication pour observer et analyser
toutes les transactions et changes entre les deux points. Laspect le plus intressant
est que cette technique fonctionne aussi bien pour le protocole HTTP que pour sa
version scurise (HTTPS). La situation est rsume sur la figure suivante :
Figure 4.6 Une connexion scurise nest pas une garantie
Rsultat ? Le client se connecte sans le savoir (de manire transparente) sur le

site du phisher (incitation par un e-mail au format HTML par exemple) comme sil
sagissait du site lgitime. Le malfrat opre une connexion en temps rel sur le site
lgitime mais tout en utilisant ses propres fins les donnes fournies par le client.
Dans le cas de communications chiffres (par protocole SSL par exemple), la liaison
1. Pour plus de details, vous pouvez consulter : Gunter Ollman, The Phishing Guide : Understan-
ding and Preventing Phishing Attacks, NGSSoftware Insight Security Research, 2004.

client/pirate est bien chiffre, dchiffre par le pirate puis rechiffre pour la liaison
pirate/serveur rel. En clair, linternaute nhsite pas une seconde taper toutes ses
coordonnes personnelles puisquil croit tre labri de tout risque de pirate grce
cette fameuse connexion chiffre ! On vous laisse imaginer les consquences pour le
commerce lectronique (voir chapitre 7).
La partie la plus dlicate consiste, pour le phisher parvenir intercaler un ser-
veur de type proxy1 entre le client et le serveur. Plusieurs techniques existent :
Technique du serveur proxy transparent : le serveur install par lattaquant
est situ sur le mme segment rseau que celui de la victime (ou le mme
chemin de routage). Lintrt de cette approche est quaucune modification
de la configuration rseau de la victime nest ncessaire (do le terme
transparent ; linterception des donnes est totalement passive).
Technique dite de lempoisonnement DNS : le but est de perturber le
chemin normal (routage) existant entre la machine de la victime et le serveur
dun site victime de phishing. En injectant le cache DNS dun firewall avec de
fausses adresses IP, le routage vers le serveur est drout vers le serveur du
phisher.
Modification de la configuration proxy du navigateur : le truand va modifier
la configuration proxy de la victime (avec un code malveillant par exemple)
de faon rerouter le trafic vers un serveur contrl par lattaquant.
4.3.2 Obfuscation dURL

Le principe de base de toute attaque de phishing consiste inciter la victime, sans
lalerter, consulter le lien (URL) du site sous la matrise du phisher. Ce dernier va
donc obfusquer ce lien, autrement dit le dissimuler dans le message destination de
la victime. Il est important davoir conscience quun examen minutieux certes
quelquefois un peu complexe pour un nophyte dune message de pirate suffit
dtecter une tentative dattaque. Les principales techniques sont :
Utilisation de noms de domaine modifis

Cest la mthode de dissimulation la plus couramment utilise. Les phishers achtent
des noms de domaine trs proches de ceux existants. Imaginons le nom de domaine
banque-picsou.com (nom de domaine appartenant la banque du mme nom).
Cette banque gre un site de transactions dont lURL est http://transactions.banque-
picsou.com. Le pirate peut alors amnager et utiliser des sites, dont il a la matrise,
dont ladresse peut tre (les possibilits tant bien sr trs nombreuses) :
http://banque-picsou.transactions.com
http://transactions.banque-picksou.com
http://transactions.banque-pcsou.com
1. Un serveur proxy est un fait une sorte de pare-feu applicatif (couche 7 du protocole ISO).

Dans le dernier cas, il est important de noter la prsence discrte dun ren-
due possible par le fait que depuis trs rcemment les noms de domaine peuvent tre
rgionaliss et tenir compte des particularits linguistiques de chaque pays.
Ainsi, il y a quelques annes, une socit russe a acquis le nom de domaine
microsoft.com tout simplement en remplaant un o du mot Microsoft par un
o cyrillique. De mme le i majuscule, en caractre ASCII peut trs facile-
ment tre confondu avec le L minuscule. Les possibilits sont trs varies.
Cette approche a donc de beaux jours devant elle pour trois raisons principales :
Le manque dattention des utilisateurs : il est d, en grande partie, un abus
dergonomie (trop de fonctionnalits destines faciliter de faon exagre
le travail des utilisateurs et qui constituent autant de fonctionnalits
exploitables par un attaquant).
Certains ressorts psychologiques naturels : un nom est facilement lu et
reconnu quel que soit lordre de ses lettres la condition que la premire et la
dernire restent non permutes.
Le manque de vigilance et de contrle de lenregistrement des noms de
domaine : les socits charges denregistrer les nouveaux sites font parfois
preuves de lgret Il y a mme des sites de phishing qui ont des certificats
serveurs puisque lenregistrement des .com est trs laxiste , rvle Pascal
Lointier, prsident du Clusif.
Liens ergonomiques
Dans un but dergonomie, certains navigateurs autorisent des liens incluant directe-
ment des informations dauthentification tels que le login et le mot de passe. Une
faute grave en matire de scurit ! Le format gnral de ces liens est
nom_utilisateur:mot_de_passe@nom_hote/chemin_du_site. Un phisher peut alors
substituer les champs login et mot de passe par le lien du site vers lequel il souhaite
attirer la victime. Ainsi, en remplaant le champ nom_utilisateur par celui de la
banque et le champ mot de passe par le nom dhte correspondant au serveur du
phisher, ce dernier peut parvenir leurrer les victimes. Ainsi ladresse suivante :
http://banque-picsou.com:e-bank@site_du_phisher.com/phishing/fausse_page.html
peut russir faire croire un utilisateur peu attentionn quil consulte une page
lgitime de la banque Picsou. Face ce type dattaque, la plupart des versions
rcentes des navigateurs actuels nautorisent plus ce type de codage ergonomique.
Dtournement de service de simplification dURL
la complexit et la longueur croissantes des URL de sites ont fait apparatre de
nombreuses socits proposant des services de simplification dadresses web. Ainsi
des adresses de type http://petite_url.com ou http://min_url.com sont substitues par
ces socits de services (en gros, il sagit dun service dalias) en lieu et place des liens
dmesurment trop longs. Cette facilit avec de lingnierie sociale et des URL
volontairement incorrectes et/ou trop longues a t exploite avec succs par les
phishers pour cacher la vritable destination dun lien.

Fausse lettre, vraie arnaque !

Voici un exemple dattaque tir du guide de Gunter Ollman (modifi et traduit
pour le lecteur franais) :
Cher client de la banque Picsou,
Nos systmes de scurit automatiss ont indiqu que laccs votre compte en ligne a
t temporairement bloqu le vendredi 13 septembre entre 22h 32 et 23h46 suite des
tentatives rptes de connexion.
Nos journaux de connexions indiquent que votre compte a refus 2 935 tentatives de
connexion pendant cette priode. Il est plus que probable que votre compte a fait lobjet
dune attaque par force brute (pour plus dinformation, consulter le site http://
support.banque-picsou.com/definitions/attacks.aspx?type=bruteforce).
Bien que notre banque ait pu bloquer ces attaques, nous recommandons cependant de
vous assurer que votre mot de passe est suffisamment complexe pour prvenir des atta-
ques futures. Pour vous connecter et changer ce mot de passe, cliquez sil vous plait sur
le lien suivant :
https://banque-scurise.banque-picsou.com/banque-scurise/e-banque_v2/secure/
support_client.aspx?messageID=332434l&Sess=asp04&passwordvali-
date=true&changepassword=true. Si ce lien ne fonctionne pas, utilisez sil vous plait le
lien suivant qui vous redirigera vers la page souhaite http://min_url/4outd
Sincres salutations.
Service clients de la Banque Picsou
Ladresse https est volontairement fausse afin dinciter la victime se connecter
via ladresse rduite qui est sous le contrle du phisher. Le tour est jou.
Techniques dobfuscation proprement dites

Le phisher utilise les multiples faons de coder une adresse de site. Rappelons quun
lien Internet est gnralement reprsent par une adresse du type http://banque-
picsou.com Mais le systme travaille lui avec des adresses IP quatre champs du
type 222.102.41.125. La traduction de la forme habituelle (nom dhte) en adresse
IP est assure par les serveurs de noms de domaine. Un phisher peut alors jouer de
multiples manires en utilisant des codages varis la fois site dun pirate dont le
nom dhte est www.site-phisher.com et ladresse IP correspondent est
208.132.201.40. Ainsi le lien malicieux http://banque-picsou.com:e-banque@site-
phisher.com/phishing/fausse-page.html peut tre obfusqu par ladresse suivante :
http://banque-picsou.com:e-banque@209.132.201.40/login.html
Il existe de trs nombreuses autres possibilits de modification de lien par obfusca-
tion. Les diffrents types de codage de linformation (caractres dchappement,
bases octales, dcimales, hexadcimales, codages unicode, codage UTF 8). A
moins de dcortiquer tous les liens proposs ce que ne fera jamais un utilisateur
il trs difficile de dtecter la nature malicieuse dun lien.

4.4 LES DIFFRENTES PROTECTIONS
Lexprience montre que dans la trs grande majorit des cas les attaques repo-
saient dune manire plus ou moins importante sur lingnierie sociale et la
connaissance des habitudes des utilisateurs gnriques. Cela implique quau-del
des techniques de protection, la sensibilisation des internautes et leur niveau de
connaissances restent les meilleures parades. Les techniques de phishing voluant
trs rapidement, les techniques de protection doivent voluer constamment. Or,
dans ce duel sans fin entre la lance et la cuirasse qui est toujours en faveur de
lattaquant lutilisateur na aucune chance de survie sil base sa protection sur la
seule technique.
Dun autre ct, nous sommes surpris que les banques et autres socits vises par
le phishing ne simpliquent (ou ne communiquent) pas plus dans la sensibilisation
de leurs clients. A lheure actuelle, la principale protection dveloppe (du moins la
plus visible) est le pav numrique virtuel. Il est utilis pour saisir les mots de passe
de connexion aux comptes en ligne et ainsi dfaire les keyloggers qui enregistrent les
frappes de clavier. Pour entrer son mot de passe, le client doit cliquer avec sa souris
sur les bonnes touches.
Figure 4.7 La Socit Gnrale a t lune des premires recourir au clavier virtuel .

4.4 Les diffrentes protections 53
Ces techniques ont efficaces mais elles ne prennent en compte quune partie des
attaques existantes. Il existe en effet quelques keyloggers spcialiss dans lenregistre-
ment des mouvements de souris On les appelle des screenloggers.
Toutefois les dimensions de ces pavs ne varient pas tellement dune banque
une autre et, surtout, sa position sur lcran nest pas assez alatoire. Nous avons pu
constater en tant que client de la Socit Gnrale et en nous rendant plusieurs
fois par semaine sur le site pendant plusieurs mois que le pav ne va jamais cer-
tains endroits de lcran
La vigilance de lutilisateur tant la meilleure des protections, voici un rappel des
mesures quil doit prendre et les rgles quil doit observer sont les suivantes :
Ne jamais communiquer des donnes confidentielles que ce soit par e-mail,
par tlphone ou par quelque autre moyen. Un banquier ou une autre
autorit (police, service de scurit informatique) ne doit pas vous
demander ni votre code PIN ni votre mot de passe. Au pire, il vaut mieux
avoir son compte bloqu par la banque que vid par un pirate.
Ne jamais autoriser la mmorisation des mots de passe par le systme
dexploitation : ils sont stocks sur votre disque dans des fichiers en gnral
peu protgs. Un simple code malveillant peut les rcuprer et les envoyer
un pirate qui saura les extraire facilement.
Faire preuve de mfiance et de bon sens : Les courriers dalerte concernant
des comptes ou autre ressources sont souvent des piges. Rappelez-vous quen
cas de problmes, votre conseiller bancaire vous contactera. En cas dalerte
par courrier lectronique, contactez-le par tlphone. Mfiez-vous de tout
formulaire HTML dans un courrier lectronique. Ne succombez pas aux
propositions allchantes et autres attrape-nigauds. Contrairement ce que
lon peut faire croire, on ne gagne rien par e-mail et on ne fait pas non plus
fortune. Enfin, analysez et contrlez un minimum les liens sur lesquels vous
cliquez et rejetez tous ceux pour lesquels vous avez un doute.
Se mfier de lergonomie : lindustrie informatique nous offre chaque jour

un peu plus de facilit et daisance dutilisation (liens automatiques, mmori-
sation des liens et des mots de passe, la souris). Mais cette ergonomie
devient chaque jour un peu plus incompatible avec une scurit efficace.
Plutt que de cliquer sur un lien, ressaisissez-le ou utilisez uniquement des
liens de confiance.
Vrifier manuellement vos comptes rgulirement : cest la meilleure
manire de dtecter des actions frauduleuses. Or, trop dutilisateurs ne font
pas ces vrifications et ne tiennent mme pas leur compte jour.
Installer un antivirus, un firewall, un anti-spam et un dtecteur de
spyware : Leur installation ne suffit pas. Mettez-les jour rgulirement.
Mais rappelez-vous encore une fois que ces produits ne font pas de miracles et
que ce sont des solutions imparfaites (voir chapitre 11) ayant toujours un
temps de retard.

Porter plainte : trop de victimes ne le font pas. Or, sans plainte, il nest pas
possible notamment quand le code PIN na pas t utilis par le phisher
dtre indemnis par la banque. De plus, porter plainte permet aux forces de
police de lancer des enqutes, aux dcideurs davoir des statistiques fiables.
Bref, porter plainte participe du civisme.
En rsum
Les attaques par phishing augmentent jour aprs jour et avec elles le nombre de vic-
times, provoquant outre des prjudices financiers considrables, une crise de con-
fiance croissante dans les technologies de linformation et de la communication.
Faut-il jeter le bb avec leau du bain ? Certainement pas, mais la situation
sexplique en grande partie par la folie consumriste dans le domaine des services,
notamment des services en ligne. Domaine dans lequel le matre mot est fonction-
nalit et non pas scurit. Il ne faut jamais oublier, en dpit dun discours marke-
ting absurde que tous ces services, logiciels et fonctionnalits ne doivent pas
remplacer lhumain dans la chane de communication. Or, cest prcisment parce
que beaucoup lont oubli que le phishing fait des ravages. Alors que la socit a
pour vocation de protger les plus faibles, les services et outils mis notre disposi-
tion la socit de consommation les livrent aux malfrats numriques. Mais
les techniques prsentes dans ce chapitre restent encore assez rudimentaires. Les
phishers semblent tre passs la vitesse suprieure comme vous pourrez le consta-
ter dans le chapitre suivant. La vigilance est plus que jamais de rigueur.
5
Le phishing :
lapproche industrielle
Dans le chapitre prcdent, les techniques de phishing prsentes agissaient au

niveau de lutilisateur, lequel prenait une part dterminante dans le dclenchement
de lattaque. La protection passait par la sensibilisation des utilisateurs, linformation
et la vigilance. Les pirates ont trs vite compris que les techniques de phishing classi-
ques trouveraient de fait naturellement leurs limites.
La phase suivante a consist industrialiser les techniques pour voluer vers des
attaques beaucoup plus volues, contre lesquelles lutilisateur, sil nest pas un mini-
mum paranoaque, est quasi-dsarm. Ces techniques sont de diffrents types : soit
laction du pirate se situe bien en amont du poste client de lutilisateur, il sagit alors du
pharming, soit le pirate utilise la loi du nombre en mobilisant une vritable arme de
programmes, les fameux botnets, soit enfin il utilise des technologies tellement rcentes
que lutilisateur ne se doute pas de la possibilit dune attaque, et cest le vishing.
5.1 LE PHARMING
Cette technique, dont le vritable nom est DNS Pharming1, consiste piger les utili-
sateurs non plus en sattaquant leur propre ordinateur, mais en attaquant les infras-
tructures du rseau Internet. Ainsi, des millions de connexions lgitimes et anodines
ont pu tre dtournes vers des sites sous le contrle des attaquants. La technique de
pharming est mise en uvre par le biais dune attaque pourtant ancienne (fin des
annes 90) appele DNS Poisoning (empoisonnement du cache DNS)
1. Le terme provient de la contraction de deux termes : phone breaking (piratage tlphonique) et

farming (culture).

56 Chapitre 5. Le phishing : lapproche industrielle
5.1.1 Lattaque par empoisonnement du cache DNS et le pharming.

Rappelons tout dabord ce quest un serveur DNS (Domain Name Service) et quoi il
sert. Le TCP/IP, protocole de base pour les rseaux, fonctionne avec des adresses
numriques du type 193.205.23.100. Ces adresses ne sont pas dun usage ergono-
mique. Aussi associe-t-on chaque adresse IP numrique un nom de domaine et plus
exactement une adresse en clair plus facile grer du type banque-
picsou.com. Lassociation dune adresse IP une adresse en langage courant sappelle
une rsolution. Un serveur DNS est en fait un serveur dont le rle est de raliser ces
rsolutions. Dun point de vue pratique, lorsquun serveur interroge un autre serveur
DNS pour raliser une rsolution (obtenir ladresse IP dun nom de domaine)
loccasion dun requte, il stocke temporairement le rsultat dans sa mmoire cache
(en moyenne deux trois jours). Lobjectif de cette mmorisation temporaire est
dacclrer les rsolutions en cas de requtes rptes.
Le principe de lattaque est alors trs simple. Si le serveur est vulnrable (faille de
scurit logicielle, dfaut dadministration) et quun attaquant parvient sy
introduire il peut facilement manipuler les rsultats des rsolutions contenus dans la
mmoire cache et associer un nom de site connu, ladresse IP dun autre site, qui est
lui sous le contrle du malfaisant. Lutilisateur sera alors redirig en toute transpa-
rence vers le site du pirate. Cest lattaque par empoisonnement de cache.
Le principe gnral dune attaque par DNS Pharming est alors trs simple. Elle se
droule en trois tapes :
1. Corruption des caches DNS de plusieurs serveurs.
2. Redirection des requtes destination dun site de confiance (gnralement
des sites bancaires, financiers ou commerciaux) vers un site sous le contrle
dun attaquant.
3. Tentative dinstallation de logiciels malveillants (keyloggers, logiciels
espions, vers) ou de captation de donnes confidentielles par ingnierie
sociale et phishing traditionnel.
Depuis peu, une version scurise du DNS, DNSSEC a t publie. Elle rend ces
attaques thoriquement impossibles du fait de lutilisation de signature lectronique
laide de certificats lectroniques de confiance. Mais en 2006, ce protocole est
encore trs peu dploy et de trs nombreux serveurs sont vulnrables lattaque par
empoisonnement de cache DNS.
5.1.2 Quelques exemples dattaques

Les annes 2004 et 2005 ont vu de nombreuses attaques par DNS Pharming et
lanne 2006 ne semble connaitre quune trs relative diminution. En 2005, trois
attaques majeures ont vis les sites americanexpress.com, msn.com et trendmicro.com
ainsi que des milliers dautres sites. Le trafic vers tous ces sites (courriers lectroni-
ques compris) a t redirig vers des sites sous le contrle des attaquants. En fvrier

5.1 Le pharming 57
2005, une premire vague a vis prs de 1 000 socits qui disposaient de leurs
propres serveurs DNS. Un peu plus tard, en 2005, tous les sites en .com ont t
dtourns1. La plupart du temps, la corruption du cache a t permise par lexistence
dune ou plusieurs failles de scurit dans linstallation par dfaut du serveur DNS de
Windows NT4 et 2000 SP2. Cela illustre le fait quune bonne administration des
serveurs couple une veille technologique permanente est indispensable si lon
veut viter ce type doprations. Le plus surprenant est de constater que des socits
de grande envergure, pour lesquelles la scurit est soit le fonds de commerce
(comme la socit dantivirus TrendMicro), soit une part essentielle de son activit
(americanexpress.com ou msn.com), puissent souffrir de carences dadministration
de leurs serveurs aussi graves que le suivi des correctifs de scurit.
5.1.3 Quelques mesures de lutte

Pour lutilisateur mfiant mais un peu vers dans la technique, il est possible de vri-
fier le DNS dun site. Ainsi avant daller sur le site www.banque-picsou.com,
consultez le site Netcraft (http://news.netcraft.com). Si ce dernier vous indique que
ladresse est en Chine, lutilisateur devra renoncer se connecter ses comptes.
Figure 5.1 Voici les informations renvoyes par Netcraft

pour vrification de DNS sur le site bnpparibas.com.
1. Jrme Saiz, Internet : lattaque des serveurs DNS clones . 4/04/2005. http://www.lesnouvel-
les.net/attaques.

La socit Fortinet propose quant elle cinq mthodes pour stopper un site web
utilis pour du pharming :
1- Le site na pas lair normal . Par exemple, certains lments nouveaux sont
apparus sur le site auquel vous tes habitus. Sans doute parce que le site est
une copie imparfaite de la version lgitime. La mfiance est alors de mise.
2- Le site demande plus dinformations que ncessaires. Toute demande dinfor-
mations confidentielles non habituelles (numro de carte de bleue alors que
vous ne faites pas dachat en ligne, mot de passe) est rejeter.
3- Licne du cadenas SSL (protocole de chiffrement des informations) nappa-
rait pas sur le navigateur alors que le site vous demande des informations
sensibles (code de carte bancaire lors dun achat en ligne).
4- Le prfixe HTTPS (S pour scuris) napparait pas dans la barre dadresse
URL. Les sites pharms nont gnralement pas de certificats de scurit
et par consquent le site reste en mode HTTP mme lorsquil vous est
demand des informations confidentielles normales (achat en ligne).
5- Le navigateur met une alerte concernant un problme de certificat. Le site
utilise des faux certificats SSL. Le site est trs probablement frauduleux.
Dans tous les cas, si vous avez un doute, notamment aprs un achat en ligne,
nhsitez pas contacter votre banque.
5.2 LES BOTNETS
Un botnet (littralement rseau de bots) est un rseau de machines compromises

(appeles bot de robot ou encore machine zombie) qui ont t infectes par un
cheval de Troie, un ver ou un virus, et qui sont administres par un attaquant. Les
logiciels malveillants de ces machines peuvent communiquer ensemble. Le pirate a
en fait dploy un vritable rseau parallle, utilisant les machines dentreprises ou
de monsieur tout-le-monde. Ce rseau va lui servir pour commettre des actions frau-
duleuses la plus connue tant le phishing ou le pharming voire des dlits ou pire
des crimes (organisation de rseau mafieux). Cela signifie que des milliers de
machines appartenant de simples utilisateurs ou des serveurs dentreprises sont
utilises linsu de leur propritaire pour raliser des exactions numriques. Et
lADSL et le cble ne font que rendre lorganisation et la gestion de tels rseaux
malveillants encore plus aises. Le pire est que ceux qui dploient ces botnets ne sont
pas forcment ceux qui les utilisent. Ainsi, trouve-t-on dans des forums des offres de
location de temps dutilisation de botnets (quelques centaines deuros les mille
machines pendant une heure). Les mafias de tous ordres nont plus qu se servir

5.2 Les botnets 59
5.2.1 Quelques chiffres

Les machines compromises sont essentiellement sous les diffrentes versions de
Windows et lont t par utilisation de failles logicielles ce qui laisse augurer, tant au
niveau des simples utilisateurs que de nombreux serveurs dentreprises, des
ressources normes pour les attaquants.
La taille de ces botnets peut tre extrmement importante. Des rseaux de
10 000 100 000 machines zombies sont couramment rencontrs. Selon honey-
net.org, la moyenne des botnets comprend 2 000 machines avec un maximum
observ de 226 585 machines ! La plupart des tudes font tat dun total de 500 000
deux millions de machines zombies dans le monde. Selon plusieurs sources
(CipherTrust, Trend Micro), en 2005, en moyenne apparaissent 170 000 machines
zombies infectes par un ver comme Sober par jour ! Chaque machine zombie pro-
pageant son tour lattaque, les adresses IP infectes, quant elles, montaient
250 000 par jour. Le cot induit en termes de bande passante, de stockage et con-
sommations de ressources informatiques en interne est galement trs lev.
Pour se faire une ide plus prcise, selon lditeur dantivirus Sophos, prs de
40 % du spam mondial serait aujourdhui mis par les PC familiaux devenus des
machines zombies. Chez Comcast1, lun des plus gros fournisseurs daccs Internet
aux Etats-Unis, sur les 800 millions de-mails envoys chaque jour par ses abonns,
100 millions seulement transitent par ses serveurs officiels. Le reste part des PC de
ses abonns.
EN ce qui concerne la localisation des machines dtournes , les chiffres sui-
vants de 2005, permettent de se faire une ide assez prcise2.
USA 19,08 %
Chine 14,56 %
Core du Sud 9,61 %
Allemagne 5,99 %
France 5,69 %
Brsil 5,56 %
Japon 3,70 %
Royaume-Uni 3,13 %
Espagne 2,96 %
Taiwan 2,31 %
1. Jrme Saiz, La guerre aux zombies est dclare, 2005, les Nouvelles.net
2. P. Judge et D. Alperovitch, Mapping the Email Universe, Conference Virus Bulletin, 2005.

5.2.3 Les attaques par botnets

Les botnets reprsentent un outil puissant permettant de lancer de nombreuses atta-
ques. Une seule personne lattaquant peut lancer des commandes sur des
milliers de machines de manire synchronise et anonyme (via les canaux IRC
notamment). Dtaillons les principales attaques possibles.
Le lancement de dnis de service distribus, dans un but de nuisance (atteinte
la disponibilit) ou crapuleux (faire tomber le site dun concurrent ou ranonner une
entreprise). Ce genre dattaque est quasi-impossible bloquer car les sources des
paquets proviennent du monde entier et de sources diverses. Ainsi, avec un botnet de
1 000 machines, disposant chacune de 512 kbits par seconde, on peut gnrer un
trafic total de plus de 100 Mbits, ce qui est trs largement suprieur la grande majo-
rit des dbits des accs Internet. Selon honeynet.org, un botnet de 13 machines peut
suffire faire tomber un site !
Lenvoi de spam. Linstallation de serveurs SOCKS permet de faire partir de cha-
que machine zombie des courriers non sollicits (voir figure).
Figure 5.2 Une grande partie des spams sert aux attaques par phishing.

5.2 Les botnets 61
Espionnage de flux. Chaque machine zombie peut tre configure en coute

passive pour sniffer les trames rseaux et rcuprer des adresses de courriers lectro-
niques (qui deviendront des cibles pour le spam ou dautres attaques), des identi-
fiants/mots de passe, lesquels pour beaucoup circulent en clair sur le rseau.
Espionnage de clavier et rcupration de mot de passe et autres informations
confidentielles introduites via le clavier.
Diffusion et installation de virus ou de vers, de spywares, lesquels pourront par-
ticiper, ventuellement laction du botnet ou son dveloppement.
Abus de publicits sur Internet. Un grand nombre de publicits fonctionnent
sur le principe du paiement au clic. Une arme de bot peut donc gnrer des millions
de clic au profit du gestionnaire du botnet.
Figure 5.3 En mai 2006, le service Google Adsense a t victime dune arnaque aux clics.
Manipulation de sondages ou de jeux en ligne.

Attaques massives par phishing. Des milliers de mails de type phishing sont
gnrs. Mais les machines zombies peuvent aussi hberger des faux sites de
phishing sur lesquels les victimes seront rediriges pour se faire drober leurs don-
nes confidentielles.
De telles attaques peuvent avoir une ampleur sans prcdent. Ainsi, le 2 aout
2006, des socits du Royaume-Uni ont t bombardes de millions de courriers
lectroniques de phishing. Le botnet utilis contrlait plus de 20 000 adresses IP zom-
bies. Pendant 24 heures, plus de 8 millions de courriers de phishing ont t envoys.
Ils semblaient provenir de la banque NatWest ou de la banque dEcosse :

0fficial Information To Client Of NatWest bank Mon, 31 Jul 2006 16:58:33 -0800
Bank of Scotland: Urgent Security Notification For All Clients Mon, 31 Jul
2006 23:49:13 -0100
NatWest bank: Important Fraud AIert
Verify Your Data With NatWest bank
NatWest bank: urgent security notification [Tue, 01 Aug 2006 03:57:17 +0300]
Verify Your DetaiIs With NatWest bank Mon, 31 Jul 2006 16:59:35 -0800
PROTECT YOUR NatWest bank ACCOUNT Mon, 31 Jul 2006 16:56:07 -
0800
NatWest bank: URGENT SECURITY NOTIFICATION FOR CLIENT
Chaque message contenait une image et si les destinataires de ces courriers cli-
quaient dessus, ils taient immdiatement redirigs vers des sites de phishing.
Mais les pirates sadaptent trs vite et savent user de finesses. Ainsi, le ou les ser-
veurs web dattaque du botnet peuvent tre dupliqus sur le botnet lui-mme. Il sera
ainsi ais de dplacer ce serveur trs rapidement et trs souvent, dun point un
autre de la plante. A chaque fois, il suffira de modifier la rsolution du nom de
domaine dans la table du DNS.
Figure 5.4 Une fois collectes, les informations seront envoyes au maitre du botnet.

5.3 Le vishing 63
5.3 LE VISHING
Ce terme qui rsulte de la contraction de VoIP (voix sur IP) et phishing dcrit une
volution rcente des techniques dhameonnage des victimes, Lutilisation des
nouveaux moyens de communication permet aux attaquants dinnover en perma-
nence et de piger des victimes qui ne sont pas encore conscientes du danger.
Gageons que les prochaines volutions technologiques (le monde de la 3G : la
vido en ligne par exemple) seront ainsi exploites par les attaquants La tech-
nique du vishing mrite dtre dtaille. Ces attaques se sont dveloppes depuis le
printemps 2006 et les organismes amricains (Bureau fdral de la consommation
et de la protection des consommateurs) et canadiens (Agence de la consommation
en matire financire du Canada) ont d mettre plusieurs alertes tant le phno-
mne prenait de lampleur. En Europe, des cas dattaques via des tlphones
mobiles envoyant des SMS aux victimes ont t enregistrs au Royaume Uni et en
Islande.
La technique est simple. Lescroc met en place des serveurs de VoIP, lesquels com-
posent de manire alatoire des numros de tlphones fixes commenant par des
indicatifs des rgions quil souhaite cumer. Lorsquune personne finit par dcrocher,
un message enregistr sur une bote vocale, lincite appeler un serveur vocal, dont
le numro est fourni. On lui demandera, pour prtendument lidentifier, de fournir
ses identifiants de carte bancaire ou autres informations confidentielles, par saisie sur
le clavier du tlphone. Une variante consiste non pas utiliser un serveur vocal
mais de simples courriers lectroniques ou des SMS.
Ces attaques sont trs faciles monter. Dune part, les socits de tlphonie sur IP
sont peu nombreuses et les vrifications louverture dun compte, quasi-inexistantes,
linverse dune ouverture de ligne tlphonique traditionnelle. Le tour est jou, il suf-
fit ensuite de matriser un minimum les outils de base de la tlphonie sur IP.
A titre dexemple, voici quelques attaques rcentes :
Juillet 2006, Angleterre : Des courriers lectroniques sont envoys indiquant

que votre compte Paypal ou eBay fonctionne mal. Ce courrier, au lieu de vous
inciter consulter un faux site technique classique de phishing vous indi-
que un numro de tlphone correspondant un service clientle eBay ou
PayPal. A ce numro, un rpondeur automatis vous demande de fournir vos
identifiants (numro de compte et mot de passe) en les saisissant sur le clavier
de tlphone. Si la victime le fait, il est trop tard : lescroc peut exploiter ces
informations pour acheter par exemple un appareil photo sur eBay en puisant
dans son compte Paypal.
Juin 2006, Etats-Unis : la Banque de Santa Barbara a t victime dune
attaque de ce genre de grande ampleur semble-t-il. Un e-mail, usurpant
ladresse de la banque et ayant pour objet Message 156984 Client's Details
Confirmation (Santa Barbara Bank & Trust). est envoy aux clients de
cette banque.

Le message est le suivant1 (traduction) :

Cher client,
Nous avons constat que vous avez eu des problmes pour vous connecter au site en
ligne de la banque Santa Barbara Bank & Trust.
Aprs trois tentatives infructueuses de connexion, votre compte en ligne sur le site
de la banque Santa Barbara Bank & Trust Online Profile a t verrouill. Ceci a
pour but de scuriser votre compte et protger ainsi vos informations confidentielles.
La Santa Barbara Bank & Trust sest en effet engage toujours protger vos
donnes et faire en sorte que vos transactions en ligne soient scurises.
Appelez ce numro de tlphone (1-805-XXX-XXXX) pour vrifier et valider votre
compte et votre identit.
Sincrement
Santa Barbara Bank & Trust Inc.
Service clientle.
Le lecteur remarquera le ciblage prcis des victimes et lingnierie sociale mise en
uvre. Il est craindre que les victimes aient t nombreuses.2 3
En rsum
Le pire est devant nous. Les escrocs ont de limagination et certains maitrisent par-
faitement les dernires techniques. Face au pharming, au vishing et aux techniques
qui immanquablement vont apparatre, il est essentiel de rappeler quil ne faut
jamais communiquer des donnes confidentielles que ce soit par courrier lectroni-
que ou par tout autre moyen. Les attaques de demain prendront peut tre la forme
de communications vido (avec la tlphonie 3G) dans laquelle votre conseiller
financier (ou plutt sa doublure, son sosie ou tout btement son remplaant) vous
demandera de vous authentifier . Couples des techniques de morphing, qui sait
ce que pourront tre ces attaques. Mais la dfense sorganise jour aprs jour, mme
si les grands noms de lindustrie de la scurit informatique affichent un certain
pessimisme1. Trois partenaires de Microsoft Cyota, Internet Identity et Mark-
Monitor se sont allis pour alimenter la base anti-phishing de Microsoft. Cette
base contient les informations de toutes les attaques rpertories2, lesquelles ali-
mentent les outils de filtrage de lditeur (Phishing Filter, SmartScreen Technology).
Ces solutions ne sont pas suffisantes en elles-mmes mais cest un dbut dautant
plus intressant que les techniques dattaques actuelles ne laissent plus beaucoup
despoirs de rsoudre les choses au niveau de lutilisateur seul.
1. Le lecteur pourra couter le message vocal qui avait t mis en place par lattaquant en consul-
tant le lien suivant http://www.websense.com/securitylabs/images/alerts/june_vishing.wav.
2. TrendMicro affiche son pessimisme, 2005, http://www.Silicon.fr.
3. Microsoft : trois listes noires pour lutter contre le phishing, 2005, http://www.Silicon.fr.
6
Le racket numrique
Cette technique, qui consiste selon le droit franais obtenir par violence, menace
de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la
rvlation dun secret, soit la remise de fonds, de valeurs ou dun bien quelconque , existe
depuis des lustres. Les malfrats ont toujours su ladapter aux moyens de lpoque. En
ce XXIe sicle, les racketteurs utilisent linformatique. Exit donc les brigands stop-
pant des diligences et les organisations criminelles enlevant le fils dun grand patron.
La mthode est certes moins violente mais le rsultat semble tout aussi efficace.
Des bandes ou des mafias dEurope de lEst, du Brsil et de Chine en ont fait leur
spcialit. Le racket informatique nest pas nouveau. Des chantages la bombe
logique sont devenus des cas dcole pour les spcialistes en scurit. Il sagit dun
programme malveillant qui ne se dclenche que lorsque certaines conditions sont
ralises (date systme, prsence ou absence dune donne dite dactivation ,
action particulire de lutilisateur). La bombe peut tre introduite de deux mani-
res diffrentes :
Par programmation directe, ce qui impose que l'attaquant dispose d'un accs
logique au systme et de bonnes connaissances en programmation ;
Par l'introduction dans le systme l'aide d'un support matriel (mdia) ou
par le biais des rseaux, de logiciels dj infects, ce qui impose l galement
de disposer d'un accs physique ou logique au systme.
Cette bombe est camoufle dans un virus ou un ver, deux codes qui ont la facult
soit de se reproduire en de nombreux exemplaires (le premier), ou de se dplacer
d'un ordinateur un autre (le second). Aprs une phase d'installation, de repro-
duction ou de dplacement, durant laquelle ils passent gnralement inaperus, et
lorsque les conditions dfinies pour l' explosion de la bombe logique sont rem-
plies, la charge finale du virus ou du ver devient active : l'action de la bombe logique
est gnralement brve et dfinitive. Le but est essentiellement destructif (informa-
tions et parfois matriels) explique-t-on la Direction centrale de la scurit des

66 Chapitre 6. Le racket numrique
systmes d'information (DCSSI) qui dpend des services du premier ministre

(Secrtariat gnral de la dfense nationale ou SGDN).
Ces bombes logiques sont gnralement utilises dans le but de crer un dni
de service en saturant les connexions rseau d'un site, d'un service en ligne ou
d'une entreprise. Mais les racketteurs disposent de diffrentes techniques.
6.1 LES ATTAQUES CONTRE LES ENTREPRISES
Les blogs sont la mode. Il nest donc pas tonnant que les sites qui hbergent ces
journaux personnels soient devenus depuis quelques annes les cibles des pirates.
Lune des dernires grosses attaques a eu lieu en mai 2006. Plus de 10 millions de
sites personnels et blogs hbergs par la socit amricaine Six Apart ont t inac-
cessibles pendant plusieurs heures le 2 mai. Lattaque a t contre en filtrant les
spams envoys.
Les pirates ont en effet ralis une attaque DDoS (voir chapitre 1) qui consiste
bloquer lactivit dun serveur en le submergeant de requtes (des millions en quel-
ques secondes) afin dengendrer un trafic de connexions ingrable. Dans quel but ?
Selon les propos de Loc Le Meur, directeur gnral de Six Apart Europe, recueillis
par le site Silicon.fr, l'attaque visait prioritairement Blue Security, qui cherche
dvelopper des outils contre le spam et dont le site Web est hberg par Six Apart.
L'indisponibilit des blogs n'en a t que la consquence.
Victoire des spammeurs

Cible de lattaque contre lhbergeur Six Apart, la Blue Security a jet lponge
quelques jours plus tard. Cette socit isralienne avait dvelopp une solution
qui semble-t-il tait efficace puisquelle a entran cette vive raction des spam-
meurs et plus prcisment de PharmaMaster, bas en Russie et souponn d'tre
l'origine de l'attaque. Le logiciel isralien avait trouv lun des points sensi-
bles. Comme dautres logiciels antispams, il filtrait les e-mails de ses dizaines de
milliers de clients. Mais en plus, il envoyait automatiquement des avertisse-
ments aux sites sources et aux hbergeurs lorigine de ces courriers non sollici-
ts. Si lexpditeur en question ne rpondait pas, Blue Security linondait son
tour de-mails.
Mais une tentative de racket nest pas exclure. Ce ne serait dailleurs pas la
premire fois. Lanne dernire, un hbergeur de sites Paris a t victime de rac-
ket. Son rseau a t satur pendant plusieurs heures. En aot 2003, le site de
Microsoft a t bloqu pendant plus de deux heures. Durant le Superbowl 2003
aux tats-Unis, un racketteur avait menac plusieurs sites de paris en ligne dune
attaque en dni de service sils ne sacquittaient pas dune somme allant de 10 000
50 000 dollars.

6.2 Les attaques contre les particuliers 67
En 2004, cest au tour d'Akamai, l'un des principaux fournisseurs de services

rseaux, dtre touch avec pour consquence l'interruption du trafic de sites parmi
les plus frquents au monde tels que Yahoo !, Google, Microsoft ou Apple.
La mme anne, la banque japonaise Softbank est son tour touche. Une
somme de 28 millions de dollars lui est rclame contre la non divulgation de don-
nes personnelles touchant 4,5 millions de clients. Depuis, quatre suspects ont t
arrts au pays du soleil levant. La mme anne, Google est vis par un matre chan-
teur. Il rclame 100 000 dollars pour la non utilisation dun logiciel qui fausserait le
systme de paiement des publicits postes sur le clbre moteur de recherche.
L'auteur prsum de ce chantage a t inculp. C'est d'ailleurs pour cela que l'affaire
s'est bruite.
Comme dans de nombreuses affaires de cyberdlinquance, il est en effet trs diffi-
cile de savoir si des entreprises ont t vises et encore moins si elles ont finalement
pay la ranon. Les pertes occasionnes par la paralysie du systme sont par contre
un peu plus connues. Les sites de bookmakers anglais Tote et SportingBet ont t
victimes descrocs il y a quelques annes. Ils nont pas pay mais les pertes financires
auraient atteint plus de 20 millions d'euros.
Apparues au dbut des annes 2000, ces attaques se multiplient selon diffrentes
sources. Les auteurs sont en gnral des mafias des pays de lEst ou dAsie. Il est en
revanche difficile davoir des chiffres prcis.
6.2 LES ATTAQUES CONTRE LES PARTICULIERS
Les internautes ne sont pas non plus labri dune tentative de racket. videmment,
il ne sagit pas pour les malfrats de rcuprer autant dargent que sils sattaquaient
une entreprise. Il sagit dans ce cas-l dextorquer de petites sommes dargent des
particuliers. Inutile dans ce cas de dployer la grosse artillerie (attaque DDoS). Le
courrier lectronique suffit. Pour atteindre son but, le pirate va essayer dimmiscer
dans le PC vis des donnes compromettantes (photographies pdophiles notam-

ment) ou dy glisser un petit programme qui va rendre inaccessible une partie du
disque dur. Et comme toujours, linsu de la personne.
Que ce soit les images ou la prise dotage de documents personnels, linternaute
ne peut pas y accder pour les supprimer (systme de chiffrement) moins dtre un
spcialiste de ce genre de protection. Il ny a donc que le pirate qui dtient la cl per-
mettant de dverrouiller la partie du disque dur. Il exige quelques dizaines deuros
quil faut verser sur un compte bancaire bien labri dun paradis financier ou sur un
compte eGold.
Les premires tentatives remontent 1991 avec un cheval de Troie baptis
AIDS. Sous couvert dun logiciel dinformation sur le SIDA, il utilisait le chiffre-
ment de donnes pour extorquer une somme de 378 dollars. Ce genre dattaque est
ensuite rapparu sous diverses formes. On en a beaucoup reparl avec le code Tro-

jan.PGPcoder en 2005. Ce type dattaque relve de la crypto-virologie dfinie par

Young et Yung1.
Selon diffrents diteurs dantivirus, plusieurs attaques de ce genre auraient t
repres au printemps 2006. SophosLabs aurait ainsi identifi un cheval de Troie qui
encrypte les donnes de ses victimes, avant d'exiger 300 dollars de ranon contre le
mot de passe permettant de les retrouver. Baptis Zippo-A (galement dnomm
CryZip), il recherche sur lordinateur les fichiers de type documents Word, bases de
donnes ou feuilles de calcul et les transforme en fichiers ZIP.
Figure 6.1 Le cheval de Troie Zippo ranonnerait les internautes
Deux mois plus tard, cest au tour de Ransom A de faire parler de lui. Du moins,
il permet surtout Sophos de faire reparler de lui. Ce cheval de Troie menace sa vic-
time de dtruire un fichier toutes les 30 minutes sur son ordinateur jusqu' ce qu'elle
paie une ranon de 10,99 dollars pour obtenir le code de dsactivation.
Les salaris peuvent aussi tre viss. F-Secure, un diteur informatique finlandais
spcialis dans la scurit, a rvl que le personnel dune grande universit scandi-
nave avait t la cible dune tentative d'extorsion de ce genre. Ils avaient reu un e-
mail, apparemment en provenance dEstonie, qui indiquait que lexpditeur avait
dcouvert plusieurs failles de scurit dans le rseau informatique et menaait deffa-
cer un grand nombre de fichiers, sauf si les destinataires payaient 20 euros sur un
compte bancaire en ligne.
1. Adam L. Young et Moti Yung Malicious cryptography : exposing cryptovirology, Wiley.


6.3 Les spams 69
Il ne faut bien sr pas accepter ce chantage car ensuite lescroc pourra rcidiver et
demander plus Quelles sont alors les solutions pour sen sortir ? Il faut mettre
beaucoup de scurit en amont car une fois que ce type de code a frapp, il nexiste
aucune solution, du moins accessible un utilisateur ou une PME.
6.3 LES SPAMS
Les programmes malveillants ne sont pas les seules techniques utilises pour extor-
quer une somme dargent plus ou moins consquente un internaute. Le spam est
aussi trs efficace et beaucoup plus rpandu que les chevaux de Troie qui bloquent
quelques dossiers. Le spam est mme devenue une vritable pandmie. Les botes
aux lettres lectroniques (e-mail) des internautes sont parfois envahies par ces
messages publicitaires sauvages envoys des millions de personnes qui nont rien
demand. Achetez du Viagra bas prix , Obtenez les prts les plus bas ,
Rendez les femmes heureuses ce genre de messages racoleurs envahit de plus
en plus les e-mails des internautes
Figure 6.2 Rpartition des spams par contenu.
Aprs avoir touch les tats-Unis depuis le milieu des annes 90, ce phnomne
tend se gnraliser en Europe. Selon une tude ralise en octobre 2004 dernier par
le Pew Internet & American Life (un des organismes amricains but non lucratif
les plus respects en matire danalyse du rseau), la part du spam est value 50 %
du trafic e-mail total. 90 % des internautes franais recevraient du spam selon une
tude AOL-Novatris doctobre 2003.

Les particuliers, les entreprises et les fournisseurs daccs Internet (FAI)

paient trs cher cette avalanche de spams. En Europe, la facture est estime plus
de 10 milliards d'euros. Selon l'diteur Sophos, les spams envoys au cours du pre-
mier trimestre 2006 proviennent essentiellement des tats-Unis (pour plus de
23 %), de la Chine (22 %) et de la Core du sud (9,8 %). En Europe, la France est
le principal pays pourvoyeur de spam (avec 4,3 %), suivie de la Pologne (3,8 %),
de l'Espagne (3,3 %) et de l'Allemagne (3 %). Daprs lassociation amricaine
but non lucratif Spamhaus qui exploite un Registre doprations spam
connues (ROKSO, Register of Known Spam Operations) , 90 % des spams reus
par les internautes en Amrique du Nord et en Europe sont envoys par un groupe
restreint de quelque 180 personnes seulement, presque toutes fiches dans la base
de donnes ROKSO.
Des millions de spams en une heure !

Pour inonder la plante en quelques heures, les spammeurs ont souvent recours
une mthode trs efficace : ils utilisent les PC dabonns haut dbit. La techni-
que est simple : un petit fichier excutable est cach dans le corps dun e-mail
quils vous adressent. Ce procd leur permet ainsi dutiliser votre PC comme
relais, le fameux PC zombie . A moindre frais (cest vous qui payez en quelque
sorte la bande passante) et de faon incognito (cest votre adresse IP qui appa-
rat). Lautre technique consiste se connecter illgalement au serveur (mal
protg) dune entreprise afin dutiliser sa ressource pour expdier des spams.
Grce ces mthodes, des millions de spams peuvent tre envoys en une jour-
ne. Selon le site amricain www.spamhaus.org, le numro 1 mondial des spam-
meurs serait Eddy Marin. Habitant en Floride, cet homme de 41 ans est capable
d'expdier quelque 50 millions de spams en une journe.
Comment les spammeurs rcuprent-ils les adresses e-mails ? Ils disposent de dif-
frentes pistes. La principale ? les forums de discussion. Une tude amricaine estime
que 100 % des e-mails des chat room sont dtournes. La proportion atteint
86 % pour les newsgroups et les pages Web dun site. Ils peuvent aussi rcuprer un
listing de-mails quun FAI a revendu un tiers, qui la lui-mme revendue un
autre, etc.
Une fois sa base de donnes alimente, le spammeur se transforme en commer-
ant. Il vend tout et nimporte quoi mais surtout des produits miracles ou des
affaires en or . Et a marche ! Une tude de Pew Internet & American Life Pro-
ject indique que 7 % des internautes ont command un bien ou un service propos
par un e-mail non sollicit (mais ils ntaient pas tous de purs spams) et 33 % dentre
eux ont au minimum cliqu sur le lien propos pour avoir plus dinformations.
6.3.1 Le spam nigrian

Imagine par des escrocs du Niger il y a une dizaine dannes, cette technique
consiste demander aux internautes de verser une certaine somme dargent afin de

6.3 Les spams 71
Arrestation de spammeurs
En mai 2006, les autorits sud-corennes ont arrt un homme souponn de
grer une arme de 16 000 ordinateurs zombies . Elle lui aurait permis
denvoyer 18 millions de spams par jour. Quelques mois plus tt, en Australie, un
homme a t arrt pour avoir envoy 56 millions de spams. Il sappuyait sur une
base de donnes de 11,8 millions d'adresses. Il risque une amende denviron
660 000 euros
toucher une commission plus leve sur une plus grosse somme. Trs souvent, le-
mail est soi-disant envoy par un haut fonctionnaire, un haut grad de l'arme, un
politicien, un membre d'un fonds ptrolier ou une trs jolie femme. Son problme :
faire sortir du pays une somme de plusieurs millions deuros (dans le cas de la jeune
femme, il sagit dobtenir les quelques euros qui lui manquent pour acheter un billet
davion et rejoindre sa cousine en France par exemple). Il recherche un prte-nom
et vous demande donc d'ouvrir, votre nom, un compte dans une institution finan-
cire de votre pays et de lui en communiquer le numro. Pour vous rcompenser, il
vous offrira une commission qui peut atteindre 25 % du montant transfr. Quel-
ques semaines aprs l'ouverture du compte, une deuxime lettre vous informe que
les fonds sont sur le point d'tre dbloqus mais que vous devez au pralable vous
acquitter de frais juridiques minimes (environ 300 ) qui correspondent de soi-
disant frais de douanes ou davocat. videmment, vous ne verrez jamais la couleur
de largent !
Cette arnaque marche toujours trs bien car elle vise ce que les gens ont de plus
sensible : le sexe, le dsir dargent immdiat, laffection , indique Yves Crespin de la
BEFTI.
Mais la police a du mal reprer les personnes lorigine de ces arnaques car trs
souvent les victimes nosent pas porter plainte. Selon Yves Crespin, les cas de spams
nigrians sont rarement connus car les personnes nosent pas contacter les autorits
avant davoir t escroque de 15 000 euros : en dessous, elles portent rarement
plainte , nous a-t-il indiqu.

Il existe nanmoins quelques cas de dmantlement de rseau. Dbut 2006, les
autorits nerlandaises ont arrt douze personnes Amsterdam. Elles sont soupon-
nes davoir mont une arnaque du type spam nigrian. Leur affaire leur aurait rap-
port quelque 2 millions deuros. En 2005, les autorits espagnoles avait mis fin aux
agissements dun rseau encore plus important. Environ 310 personnes avaient t
arrtes Malaga car elles taient souponnes davoir dtourn prs de
300 millions d'euros. Cette escroquerie aurait fait plus de 20 000 victimes dans 45
pays, dont la France, l'Espagne, le Royaume Uni, l'Allemagne, les tats-Unis, l'Aus-
tralie et le Japon.

Microsoft s'attaque au spam nigrian

Fin 2005, le gant amricain a annonc quil allait collaborer avec la Commis-
sion gouvernementale nigriane charge des dlits financiers et conomiques
(Nigerian Economic and Financial Crimes Commission). L'objectif est de renforcer
la collaboration entre Microsoft et l'Etat nigrian. L'EFCC indique enquter sur
plusieurs centaines de suspects dans le cadre d'une cinquantaine de cas d'actes
identifis jugs malveillants. Des investigations qui auraient permis la mise en
accusation d'une centaine de personnes.
6.4 DES PARADES PLUS OU MOINS EFFICACES
L'OCDE aurait-elle accouch dune souris ? En avril 2006, lOrganisation de coop-

ration et de dveloppement conomiques, (club des pays riches du bloc occidental)
s'est dote d'une task force anti spam . Son premier travail a t de publier un
document intitul Oecd AntiSpam Toolkit (www.oecd-antispam.org). Cest un
dossier trs complet sur ltat du spam. Mais les solutions prconises pour endiguer
ce flau laissent septiques bon nombre de spcialistes. Les mesures restent gnrales.
Des formations sur le spam et la scurit sur l'Internet devraient tre intgres aux
cours d'informatique dispenss dans les coles et la population ge , estime par
exemple l'OCDE.
La position de cet organisme diffre de celle de lUIT1 (Union internationale des
tlcommunications) qui sest clairement prononce pour une vritable prise de
conscience politique et une volont d'change Nord-Sud efficace :
Activits de sensibilisation, promotion de la coopration et de lducation
Organisation de confrences sur le spam, groupes de travail, etc.
Sensibilisation des pays membres sur les problmes et limpact du spam et sur
les solutions possibles
Dveloppement de normes techniques.
A loccasion de la Journe Mondiale des Tlcommunications , qui comm-

more c chaque 17 mai sa naissance en 1865, lUIT a lanc une campagne de sensibi-
lisation et dducation des consommateurs. Ces derniers sont invits tre trs
vigilants et protger leur bote aux lettres lectroniques en utilisant des solutions
logicielles
1. www.itu.int/osg/spu/spam/.

6.4 Des parades plus ou moins efficaces 73
6.4.1 Les logiciels antispams

Ces solutions antispams peuvent tre classes en trois catgories : les logiciels
installer sur son ordinateur, les gestionnaires de-mails en ligne et les services en
ligne. Linternaute a lembarras du choix puisquil existe plus dune centaine de rf-
rences. Les deux tiers sont payants (de 30 50 ) et la majorit ne fonctionne que
sous Windows. Mais sont-ils vraiment efficaces ? Principal reproche : ils laissent
toujours passer des spams mais bloquent par erreur des e-mails valides.
Quelle que soit la catgorie, ces solutions reposent sur deux types de
technologies :
Les techniques (statistiques) de filtres baysiens qui utilisent des estimateurs
statistiques lesquels sont affins en permanence en apprenant partir du
spam reu. Ces techniques, par leur nature statistique mme, sont faillibles.
Les probabilits de fausse alarme et de non dtection ne peuvent tre nulles et
ne le seront jamais.
Les techniques de Turing. Il sagit de faire la diffrence entre un humain et un
automate. Ces techniques sont fiables 100 % mais requirent un pr-traite-
ment initial des e-mails. Lautre contrainte tient au fait que le trafic e-mail de
lutilisateur est en gnral hberg pour le traitement du spam ce qui peut
poser des problmes de confidentialit pour certaines entreprises. Une solu-
tion quasi-parfaite est par exemple le logiciel/service propos par la socit
franaise MailInBlack.
Des logiciels perfectibles

Une tude comparative publie en 2004 par le mensuel 60 Millions de consomma-
teurs indique quils ne sont pas la panace. Voici quelques-unes de ses
conclusions : Ils ne permettent pas eux seuls de rsoudre le problme. ()
Pour tre efficaces, la plupart de ces programmes exigent de passer beaucoup de
temps peaufiner les rglages et comprendre les diffrentes notions de filtrage.
() La plupart des antispams tests par 60 mriteraient davoir un param-
trage et une interface plus accessibles pour le grand public . Ils sont donc
encore perfectibles.
Ces antispams en ligne sont, notre avis, plus efficaces car ils sattaquent au
point faible des logiciels-robots des spammeurs : ils ne savent pas lire et crire !
Avant de transmettre le-mail son client, le site antispams demande lexpditeur
de sauthentifier en tapant un code confidentiel de 6 caractres fourni dans cette
requte. Sil rpond, le-mail est immdiatement transmis et son adresse est ajoute
la liste des expditeurs autoriss. Ses prochains messages seront directement rcu-
prs (sans procdure dauthentification). Comme le logiciel-robot ne va pas rpon-
dre, son courrier sera donc bloqu.

Figure 6.3 schma d fonctionnement du service propos par la socit franaise Mailinblack.
Dautres solutions sont envisages. Les logiciels antispams pourraient sappuyer

sur une technique de filtrage issue de la bio-informatique. Au lieu danalyser des
squences dADN, lalgorithme Chung-Kwei (nom dun talisman cens protger la
maison des esprits diaboliques) a t utilis pour dmasquer des spams. Dvelopp
par IBM, ce programme en a repr 64 665 sur 66 697 messages identifis comme
spam lors dun test. IBM pourrait lintgrer SpamGuru, son produit antispam.
6.5 LES SPAMMEURS ONT TOUJOURS

UN COUP DAVANCE
L'innovation est forte dans ce domaine car les spammeurs ont les moyens (finan-
ciers) pour leur propre R&D , reconnat Franois Paget, chercheur chez lditeur
dantivirus McAfee. Pour contourner les diffrents obstacles mis en place notam-
ment par les diteurs et les fournisseurs daccs Internet, les spammeurs sont
lafft de tout nouveau procd.
6.5.1 Le-mail furtif

Pour vivre de son business, vivons cachs . Telle pourrait tre la devise des spam-
meurs. Pour ne pas veiller les soupons, ils commencent privilgier les petits
volumes de spams plutt que les normes vagues, quon appelle mass mailing .
Envoyer une quarantaine de-mails par heure permettrait de passer inaperu. Cest
en effet le meilleur moyen pour chapper aux sondes de surveillance sur Internet
(pour les vers par exemple).

6.5 Les spammeurs ont toujours un coup davance 75
6.5.2 Des e-mails qui leurrent les logiciels antispams

Pour contourner ces obstacles, les spammeurs sont lafft de tout nouveau procd.
Publie dbut 2006, ltude1 mene par deux chercheurs du dpartement
Computer Science de luniversit de Calgary au Canada pourrait donc les int-
resser. Ils annoncent avoir dcouvert une nouvelle technique de spam capable de
passer au travers des filtres les plus efficaces et donc de tromper les internautes.
Les chercheurs canadiens se sont appuys sur deux bases de donnes. La premire
contient des courriers lectroniques crits par des particuliers. La seconde comprend
des e-mails publicitaires. Un programme informatique a ensuite combin les donnes
en identifiant de manire statistique les tournures de phrases types (et les fautes
dorthographe ou de grammaire les plus classiques), les abrviations et les signatures.
Un second programme utilise ensuite cette criture naturelle pour crire des spams.
Pour mettre en pratique ce procd, les spammeurs pourraient infecter les ordi-
nateurs des particuliers pour enregistrer leur insu leurs e-mails. Lobjectif serait
alors de sinspirer des courriers changs entre les internautes pour faire des spams
moins reprables , explique John Aycock, lun des deux scientifiques canadiens.
Pour linstant, ils nont pas encore mis en pratique cette nouvelle technique. Ce
n'est qu'une question de temps , estime le chercheur canadien. Quant aux solu-
tions, elles sont ralisables techniquement mais elle n'existent pas encore sous forme
commercialisable , prcise-t-il. En publiant les rsultats de leurs travaux, ces cher-
cheurs ne font-ils pas le travail des pirates ? En fait, leur objectif est daider le monde
de la scurit informatique mettre au point des parades tenant compte des derni-
res techniques en matire de spam.Cette activit tait autorise par luniversit et
lgale car couverte par lactivit de recherche scientifique.
Pour Yves Roumazeilles, du site www.SpamAnti.net, cette technique ne mar-
che qu'avec les adresses e-mail collectes sur les PC zombies. Cela risquerait sans
doute d'amliorer le taux de pntration du spam dans une population de plus en
plus considre comme risque mais cela toucherait beaucoup moins la popula-
tion gnrale. Or, l'objectif d'un spammeur est de toucher 10 100 millions d'inter-
nautes rpartis dans la population. Avec 100.000 zombies, il faudrait avoir 100
adresses indpendantes par zombie. Mme en supposant la technique trs effi-
cace, le rendement pourrait bien rester trs faible par rapport l'effort dployer
pour implmenter une telle approche.
6.5.3 Faux blogs, vrais spams

Les journaux personnels sont-ils victimes de leurs succs ? Attirant beaucoup
dinternautes, les blogs deviennent une nouvelle cible pour les spammeurs. Ces spam
blogs sont en train d'envahir le web. Selon lannuaire spcialis Technorati, sur
environ 35 millions de blogs, 9 % seraient en ralit des blogs crs par des spam-
1. http://pharos.cpsc.ucalgary.ca/Dienst/UI/2.0/Describe/ncstrl.ucalgary_cs/2006-808-01.
Ces travaux ont t prsents la confrence EICAR 2006 Hambourg en mai 2006.

meurs. Autre signe inquitant : 60 % des messages signalant des nouveaux contenus
un annuaire spcialis proviendraient de sources identifies comme spam.
Malgr les filtres mis en place par Technorati, un cinquime des messages
indexs par le site serait du spam , estime Tim Finin, professeur d'informatique
l'universit du Maryland qui a prsent une tude sur la dtection de spam blogs en
mars denier.
Faux concours, vraie escroquerie

Plus le pige est grossier, plus il est efficace ! Comme pour le phishing, qui permet
de rcuprer notamment lidentifiant et le mot de passe dinternautes un peu
trop crdules (ou pas assez sensibiliss par les FAI et les banques), les concours
qui promettent la Lune sont aussi une redoutable arnaque. Cette escroquerie
semble surtout svir sur le continent africain.
Dans son dition du 18 mai 2006, le quotidien Mutations, situ Yaound (au
Cameroun) rapporte cette histoire invraisemblable. Une journaliste camerou-
naise sinscrit sur un site organisant un jeu-concours sur le Sida. A la cl : la
possibilit de participer une confrence au Canada, tous frais pays par le
comit d'organisation. Pour tre lheureux lu, il suffit de rpondre correctement
quelques questions trs simples. Moins d'une semaine plus tard, un e-mail
envoy notre journaliste lui apprend quelle a dcroch le gros lot. Pour
dobscures raisons administratives, elle doit scanner une photo couleur et
envoyer une copie de sa carte d'identit.
Le courrier prcise aussi : Votre rservation de 61 euros doit parvenir au Pr
Eugne H. de la Rpublique du Bnin par Western Union au plus tard le 12 mars
2006. Voici l'adresse que vous utiliserez l'agence Western Union pour le transfert
() Pour la convaincre dfinitivement, son correspondant lui prcise quelle
reviendra dans son pays avec le titre dambassadeur de lutte contre le Sida. Pour
expliquer ce flau ses compatriotes, elle disposera dun tlviseur, dun lecteur
DVD, de dpliants, de prservatifs, etc. Une semaine plus tard, et malgr de
nombreuses relances, toujours pas de nouvelles des organisateurs. Un mois plus
tard, non plus ! La journaliste doit alors admettre quelle a eu affaire des escrocs.
En rsum
Le spam est un flau qui encombre les e-mails des particuliers et des entreprises.
Ces courriers indsirables peuvent tre lorigine dune infection virale (intru-
sion dun code malveillant) ou dune escroquerie financire. Face au dveloppe-
ment des diffrentes techniques de racket, les polices manquent de moyens et
dun rel soutien des tats. Quant aux internautes, ils doivent faire avec le peu de
moyens quils peuvent plus ou moins contrler : les logiciels antispams. Autant
dire, une arbalte face une arme de robots
7
La scurit
du commerce en ligne
L'clatement de la bulle Internet au printemps 2000 nest plus quun mauvais

souvenir. Six ans plus tard, la slection naturelle a permis aux sites les plus
comptents de rsister et de prosprer. Hsitants au dbut, les Franais se sont depuis
rattraps et multiplient les achats sur la toile. Selon les rsultats de la dernire tude
mene par Mdiamtrie//NetRatings en avril 2006 pour le compte de la Fdration
des entreprises de vente distance (Fevad), la part des acheteurs en ligne a
augment de 21 % entre le premier trimestre 2005 et le premier trimestre 2006. Une
croissance suprieure celles de nos voisins europens (Royaume-Uni + 2 %, Alle-
magne + 6 %, Espagne + 17 %). Le nombre dacheteurs en ligne crot mme quatre
fois plus vite que celui des internautes. Ils sont 15 millions avoir achet sur le web
au premier trimestre 2006.
Comme le nombre de connexions haut dbit ou encore le tlphone mobile, les
Franais se sont donc convertis plus rapidement que prvu lre numrique. Cette
expansion du commerce lectronique nest pas propre lHexagone. Pour le cabinet
dtudes Forrester Research, les ventes en lignes vont progresser de 20 % en 2006 et
atteindre 211 milliards de dollars lchelle mondiale.
Les internautes commencent avoir moins peur. Mais il reste encore quelques
rticences lever. Selon une tude mene par le Credoc (juin 2004), 32 % des Fran-
ais interrogs estiment que la scurit des paiements sur lInternet ne semble pas
assure. En 2001, ils taient 48 %. Lune des principales craintes est le dtournement
du numro de carte bancaire lors dun achat en ligne. Un mythe qui a la vie dure
mais qui ne reflte pas du tout la ralit. Lensemble des auditions menes par
lObservatoire confirme cependant quaucune interception dun numro de carte
bancaire, loccasion dun achat en ligne sur un site marchand dot dun espace
scurit, na eu lieu en France , peut-on lire dans le Deuxime rapport de lObser-

78 Chapitre 7. La scurit du commerce en ligne
vatoire de la Cyber-Consommation , publi en mai 2005, par le Forum des droits

sur lInternet. Cette crainte nest donc pas justifie pour deux raisons principales.
Le cyber-marchand ne conserve que dans de trs rares occasions (cas des paie-
ments rcurrents par exemple, enregistrement dun profil pour raliser des achats en
un clic, etc.) le numro de carte bancaire ayant servi la transaction. Dautre part,
le mcanisme de cryptage mis en place autour des espaces de paiement en ligne
demeure trs difficilement contournable , explique le Forum.
Passe cette crainte, les consommateurs nhsitent pas acheter sur le Web.
Dailleurs, 80 % environ des paiements en ligne effectus en France en 2005 utili-
saient cette solution.
Ce dveloppement des achats lectroniques ne semble pas entraner plus de
fraude que pour les paiements classiques. Publie en mai 2006, une tude de Mer-
chant Risk Council (Etats-Unis) indique que le taux de fraude du commerce en
ligne ne dpasse pas celui des boutiques du monde rel. Quil sagisse dun site ou
dun vrai magasin, il serait infrieur 0,1 % des ventes. Il faut nanmoins relativiser
ce chiffre. Ce taux de 0,1 % nest annonc que par 48 % des boutiques en ligne
interroges par linstitut. Par comparaison, lassureur Fia-Net a annonc en juin
2006 un taux de fraudes dtectes proche des 2 %.
Dautres informations trouves dans ltude amricaine laissent en effet penser
que la fraude est peut-tre sous estime. De nombreux sites de commerce lectroni-
que (80 % environ) disposent en effet d'un systme de vrification des adresses et des
codes des cartes bancaires et ils demandent trs souvent l'autorisation de la carte
bancaire en temps rel. Ce nest pas le cas des 20 % restants. De l penser que le
paiement lectronique prsente quelques failles
7.1 LA FRAUDE AUX PAIEMENTS
La tentation de payer moins cher ou de ne pas payer du tout une marchandise a

toujours exist. Mais avec le commerce lectronique, elle devient un peu plus
tentante. Ni vu, ni connu, linternaute indlicat se cache derrire lcran de son
ordinateur pour commettre son forfait. Le moyen le plus utilis, du moins par les
escrocs les moins au fait des techniques de cyberdlinquance, consiste utiliser la
carte bancaire.
Le rglement frauduleux en ligne sappuie gnralement sur deux mthodes trs
connues :
Le vol dune carte ou lexploitation de faux numros de cartes : dans le
premier cas, cest un vol classique de la carte en elle-mme ou dun ticket.
Dans le second cas, la personne utilise un petit programme spcialis (gnra-
teur) dans cette application. On en trouve facilement sur Internet. Dans les
deux cas, lescroquerie repose sur lutilisation linsu dun porteur de carte de
bonne foi, de son numro.

7.1 La fraude aux paiements 79
Lutilisation abusive et dtourne de la Loi sur la scurit quotidienne du

15 novembre 2001 : lacheteur affirme son banquier ne pas tre lorigine
des achats afin de pouvoir les rvoquer et ne pas les rgler. Dans ce cas de
figure, la diffrence du prcdent, il y concidence entre le fraudeur et le
porteur du numro de carte.
Nombre de fraudeurs en 2005 (Identits diffrentes) 9 752
Nombre de fraudeurs recenss par FIA-NET depuis 2000 25 171
Nombre de fraudes commises en 2005 31 518
Montant total des fraudes en 2006 10 942 668
Nombre moyen de fraudes par individu 3,23
Montant moyen par fraude 347
Montant moyen par individu 1 122
Figure 7.1 Nombre de fraudeurs et volume de fraude par individu.

Source : Fia-Net, mai 2006
Selon le spcialiste de la garantie des transactions par Internet, Fia-Net, la

fraude la carte bancaire sur Internet est une menace de mieux en mieux matrise
par les sites marchands. En extrapolant les taux de tentatives de fraudes du porte-
feuille Fia-Net lensemble du march, estim 7 milliards deuros en 2005 par le
Benchmark Group, on aboutit plus de 120 millions deuros de tentatives sur
lensemble de lanne (contre un peu plus de 100 millions en 2004) 1.
700 Panier moyer des impays Taux dimpays/ventes Taux de commandes frauduleuss /ventes 3,00 %
600 2,41 %
2,50 %
2,22 %
500
1,83 % 1,73 % 2,00 %

400
1,50 %
300
1,00 %
200 578 569 505 360
100 0,27 % 0,50 %

0,46 % 0,22 %
0,07 %
0 0,00 %
2002 2003 2004 2005
Figure 7.2 Evolution annuelle de la fraude depuis 2002. Source : Fia-Net, mai 2006.
1. Livre Blanc La scurit des transactions commerciales sur Internet . Fia-Net, mai 2006.

Selon lassureur, cette baisse du panier moyen des impays est clairement le
rsultat des efforts des commerants afin de lutter contre les fraudes la carte
bancaire : devant limpossibilit de dtourner des marchandises de valeur leve, les
fraudeurs concentrent leurs efforts sur des produits de valeur plus faible, sur lesquels
les contrles des commerants ne sont pas forcment aussi pousss et aussi systma-
tiques que pour des articles plus chers .
9 752 fraudeurs actifs ont t reprs en 2005 (nombre didentits distinctes
employes), soit une augmentation de 16 % par rapport lanne prcdente.
Depuis 2001, plus de 25 000 identits diffrentes ont t employes pour commettre
des escroqueries la carte bancaire. Ces fraudeurs ont ralis plus de 31 000 com-
mandes en 2005 pour environ 11 millions deuros, soit 3,23 fraudes et 1 112 euros
par identit employe.
Figure 7.3 Poids respectifs de chaque secteur dans la fraude en 2005 en valeur et en volume.
Source : Fia-Net, mai 2006.
Dans son tude, portant sur 1 109 sites marchands et lanalyse denviron
961 millions deuros de ventes ralises par les commerants Fia-Net en 2005, lassu-
reur note une volution inquitante : Les rseaux organiss identifis (groupe pr-
sentant au moins deux identits et deux adresses de livraison distinctes, utilises
pour commettre des tentatives de fraudes et relies entre elles par au moins un l-
ment personnel commun, comme le numro de tlphone, le-mail ou encore le
numro de carte bancaire employs lors de la commande) ont clairement volu par
rapport 2004. Ils sont nettement plus nombreux en 2005 quen 2004 : 679 contre
378, soit une hausse de prs de 80 %.

7.2 Les diffrentes solutions de paiement scuris 81
Comme les spammeurs qui tentent de ne pas veiller lattention des sondes mises
sur Internet pour reprer les normes envois de-mails (technique du mass mailing,
voir chapitre 6), les escrocs sont devenus moins gourmands. A la diffrence des
annes prcdentes, ces fraudeurs organiss prsentent un panier moyen nettement
infrieur celui du fraudeur type. Ceci peut laisser penser quils ajustent leurs strat-
gies de dtournement de marchandises , peut-on remarquer dans le Livre blanc de
Fia-Net. En clair, les malfrats se sont aperus que les sites marchands surveillaient en
priorit les gros achats, au dtriment de ceux ne dpassant pas une certaine somme.
Autres donnes surveilles : les coordonnes tlphoniques et numriques. Les frau-
deurs organiss se sont mis changer plus souvent de coordonnes : de-mail tous les
4,49 achats (4,24 en moyenne en 2004), dadresse postale tous les 3,59 achats (2,97
en 2004) ou de tlphone tous les 3,87 achats (3,13 en 2004).
Comme les spammeurs, ils essaient de passer au travers des mailles du filet mis en
place ! Rsultat : ils reprsentent toujours plus de la moiti des tentatives de fraudes
en nombre, ils reprsentent en valeur moins de la moiti des fraudes contre lesquel-
les doit lutter un commerant.
La gnralisation du paiement lectronique

Le 1er janvier 2008 sera une date importante pour tous les acteurs du monde de la
finance. Quelque 7 000 tablissements bancaires travaillent en ce moment aux
derniers rglages du SEPA (Single Euro Payments Area). Si aucun grain de sable
ne vient enrayer cette cash machine , dans quelques mois, les entreprises et les
particuliers pourront effectuer cot rduit des paiements lectroniques par vire-
ment, prlvement ou carte bancaire partout dans la zone euro. Pour traiter ses
normes flux, les banques vont devoir mettre en place des plates-formes techno-
logiques trs efficaces et parfaitement scurises. Selon la Commission euro-
penne, cette gnralisation du paiement lectronique permettrait de rduire le
nombre de chques et de transactions en liquide. A la cl : 20 30 milliards
deuros dconomies par an. Mais cette politique pourrait aussi favoriser le dve-
loppement de la cybercriminalit
7.2 LES DIFFRENTES SOLUTIONS

DE PAIEMENT SCURIS
A partir du moment o vous envoyez des informations sur le net, de manire scu-
rise ou non, il y a toujours un risque de les voir dtournes. Concernant les achats en
ligne, les sites les plus fiables proposent systmatiquement plusieurs moyens de paie-
ment, savoir : carte bancaire, chque, mandat et contre remboursement. Privilgiez
le contre remboursement, c'est le moyen de paiement le plus scurisant. Pour
l'acheteur : mme s'il ne reoit pas sa marchandise, il ne paiera pas une promesse. Pour
le vendeur : il est sr d'tre rgl. Par contre, fuyez comme la peste les sites qui n'accep-
tent que les rglements par carte bancaire . Ces propos extraits dun forum sur la scu-
rit du ministre de lIntrieur sont suffisamment clairs : le risque zro nexiste pas !

Comme dautres solutions, le paiement lectronique a des failles plus ou moins

inquitantes. Le principal maillon faible reste le stockage des donnes bancaires et
personnelles. Le serveur central qui les stocke peut faire lobjet dune attaque ou
dune dfaillance technique. Les exemples sont peut tre rares (ou jamais rendus offi-
ciels) mais ils nen restent pas moins angoissants. Le cas le plus mdiatique concerne
le fournisseur daccs Internet amricain Netcom. En 1995, le clbre hacker amri-
cain Kevin Mitnick a russi lui drober plus de 17 000 numros de cartes de crdit
avant de se faire interpeller.
Autre exemple : Ikea. En 2000, son site de commerce lectronique a d tre
arrt aprs la dcouverte dune faille de scurit. Elle permettait de consulter des
informations sur les clients du site. A cause dune surcharge de la base de donne, un
message d'erreur tait envoy l'internaute. C'est partir de ce message d'erreur
qu'il devenait possible d'accder aux informations clients. Pour limiter les risques,
diffrentes solutions ont t mises en place.
7.2.1 Les protocoles de scurit

A l'heure actuelle, la plupart des sites de commerce lectronique utilise les proto-
coles SSL (Secure Socket Layer)/TLS (Transport Layer Security) pour chiffrer les
informations sensibles comme votre numro de carte bancaire. Problme : ces proto-
coles n'ont pas t conus lorigine pour garantir la scurit du paiement mais pour
assurer la confidentialit des informations changes entre deux postes, votre ordi-
nateur et le serveur du site marchand par exemple.
Cette situation prsente diffrents inconvnients. Le numro de la carte bancaire
du client peut se retrouver la vue de tout le monde ou presque si le serveur du site
nest pas bien configur et protg. Dun autre ct, le commerant ne peut savoir si
le client a tap son vrai numro ou la obtenu avec un gnrateur
A l'heure actuelle, le seul moyen de lutter contre les fraudes consiste demander
linternaute de taper les trois chiffres du cryptogramme visuel figurant au dos de la carte.
Cette technique consiste simplement ajouter un mot de passe supplmentaire.
Elle est a priori efficace dans la mesure o les gnrateurs de faux-vrais identifiants
de cartes bancaires ne peuvent produire cette information. Mais si pictogramme
visuel rduit le risque de fraude, il ne le supprime pas. Et cela est vrai pour tous les
autres protocoles, prsents ci-aprs. Il ne faut pas oublier que la scurit informati-
que environnante est primordiale. Tous les protocoles connus rclament de saisir un
ou plusieurs mots de passe, code PIN, pictogramme visuel Ce sont autant de don-
nes critiques que des virus, keyloggers, chevaux de Troie pourront aisment drober
au moment o vous les saisissez si lordinateur est infect par de tels codes. A lautre
bout de la transaction, au niveau du serveur, labsence de scurit peut tre tout aussi
critique et permettre aux attaquants dagir de la mme manire. Il faut juste conser-
ver lesprit que tous ces protocoles ne protgent que le tuyau celui par lequel
passe la transaction mais nullement ce qui est connect au tuyau le client et le
serveur. La scurit informatique et la vigilance des utilisateurs restent essentielles.

Pour mettre un terme cette situation anxiogne, de nouveaux protocoles1 ont

t annoncs. Citons pour mmoire ceux qui ont t des checs comme l'initiative
franaise Cyber-COMM (terminal de paiement install chez l'internaute) ou la
norme SET (Secure Electronic Transaction) de Visa qui tait considre comme
trop complexe utiliser. Dautres sont en cours de dveloppement :
La norme EMV
Dvelopp la fin des annes 90, lEuropay Mastercard Visa (EMV) est propose par
les deux rseaux prestataires de services de paiement par carte Eurocard-Mastercard
et Visa. Le groupe a t rejoint depuis par le japonais JCB International. Lessentiel
de la protection rside dans la puce intgre la carte. Cette solution permet :
Une interoprabilit internationale, quel que soit l'metteur de la carte et
quel que soit le terminal de paiement.
Une vrification et un chiffrement de la cl personnelle par la puce. La saisie
du code remplace la signature de la facturette.
La norme 3D-Secure
Prvue pour 2007 au plus tt, cette norme est l'tude depuis 2001 par Visa et Master-
card. Lobjectif est de permettre lauthentification en ligne au moment de l'acte de paie-
ment de faon logicielle. 3D-Secure est un protocole beaucoup moins contraignant
que le SET pour l'acheteur comme pour le marchand. Principale raison : la complexit
du systme de paiement se trouve au niveau des plates-formes Visa et des banques.
Le principe est le suivant : le dtenteur de la carte s'enregistre auprs de sa ban-
que et choisit ensuite un mot de passe, qui assurera son authentification auprs de sa
banque. Pour que l'authentification soit rciproque, le client slectionne une phrase
secrte qui sera affiche par la banque sur l'cran du client. Cette phase ne se droule
qu'une seule fois par session.
1. Le client navigue sur le site web du marchand et slectionne les produits qu'il
souhaite acheter. Une fois la slection termine, il saisit son numro de carte
bancaire. Toutes ces informations sont transmises au plug-in du marchand

(Merchant Server Plug-in) qui est activ. Ce plug-in peut tre situ sur le site
marchand, sur celui de la banque du marchand, ou chez un tiers.
2. Le plug-in met une requte contenant le numro de carte de l'acheteur au
Visa Directory Server.
3. Le Visa Directory interroge grce au numro de carte, le serveur d'accs
(Access Control Server) de la banque de l'acheteur pour savoir si le numro est
inscrit au service 3D Secure.
4. Le serveur d'accs (Access Control Server) indique au Visa Directory si une
authentification est disponible pour le numro de carte.
1. Un comparatif trs clair a t ralis par la socit Teamlog : http://www.securite.teamlog.com/

publication/9/20/27/217/index.html.

Figure 7.4 Principe de fonctionnement. Source : Teamlog.
5. Le Visa Directory transfre la rponse du serveur d'accs au plug-in du

marchand. Si le porteur de la carte n'est pas inscrit, ou si l'authentification,
n'est pas disponible, le marchand et sa banque arrtent le procd.
6. Sinon le plug-in du marchand met une demande de paiement (Payer Authen-
tification Request) au serveur d'accs via le navigateur de l'acheteur.
7. La demande de paiement est reue par le serveur d'accs.
8. Le serveur d'accs authentifie l'acheteur par exemple par un mot de passe
(dfini l'inscription) ou par biomtrie (La mthode d'authentification est
choisie par la banque). Ensuite il formalise la rponse de paiement (Payer
Authentification Response) et la signe.
9. Le serveur d'accs transmet la rponse de paiement au plug-in du marchand
via le navigateur de l'acheteur. Le serveur d'accs envoie une copie de la
rponse de paiement l'historique des authentifications (Authentification
History) qui conserve une trace de la transaction, utile en cas de litige.
10.Le plug-in reoit la rponse de paiement signe.
11.Il vrifie la signature pour s'assurer que le message n'a pas t modifi durant
la transmission.
12.Le marchand met une autorisation de paiement auprs de sa banque.
Source : Teamlog, une socit de conseil en ingnierie situe Paris.


Le SPA/UCAF
MasterCard a dvelopp son propre outil qui s'articule autour de deux dispositifs : la
Secure Payment Application et la Universal Cardholder Authentification Field .
La carte puce scurise

Lun des points-cls de la scurisation des paiements en ligne est lauthentifica-
tion de lacheteur. Or, les mots de passe statiques sont loin dtre la panace (voir
chapitre 11) ! Pour de nombreux experts, la seule rponse offrant une vritable
garantie de scurit consiste utiliser un mot de passe imprvisible et non rejoua-
ble. Cest ce quon appelle mot de passe dynamique (OTP ou One Time Password)
de 6 8 chiffres. Il est gnr par un objet que seul lutilisateur habilit dtient (il
est donc lauthentificateur) et il est complt par un code que lui seul connat (le
code PIN). Cest le principe retenu pour les cartes puce scurises dveloppes
par quelques entreprises et notamment la franaise nCryptone. Rachete en avril
2006 par Prosodie, elle a conu en partenariat avec InCard Technologies la nC
DisplayCard. De la taille dune carte bancaire, elle est constitue dune batterie,
dun cran flexible, dun crypto processeur et dun bouton dclencheur, Une pres-
sion sur le bouton permet de gnrer un mot de passe dynamique. Lutilisateur
saisit alors ce mot de passe sur son terminal (ordinateur, tlphone, PDA),
complt par un code PIN.
Figure 7.5 Principe de la nC DisplayCard (Source : Prosodie).

Pour linstant, cette solution est encore teste par les banques.
7.2.2 Les solutions de micro paiement

Pour inciter les internautes acheter sur le web sans utiliser leur carte bancaire,
diffrentes entreprises ont lanc leur solution. Avec plus ou moins de succs. Qui se
rappelle encore de Kleline ? Apparue en 1996, cette solution logicielle avait t
lance par BNP-Paribas. Il sagissait la fois dun porte-monnaie virtuel pour de
petits montants et une parade contre le piratage de la carte bancaire puisque le
numro du client tait stock sur les serveurs de Kleline. Environ 500 sites de
commerce lectronique avaient adopt ce systme dont 80 % d'origine trangre.

Mais en janvier 2000, le groupe bancaire dcide de jeter lponge et de miser sur une
solution cette fois matrielle (lecteur de cartes puce) dnomme Cyber-Comm
(nom dun consortium runissant une dizaine de banques, Visa, Mastercard). Mais
cette solution na pas non plus dur trs longtemps. En 2002, les banques jettent
nouveau lponge ! Il est vrai que le prix du boiter (60 euros environ) ntait pas trs
attractif
Autre exemple dchec : Cybercash. Cre par William Melton, l'un des fonda-
teurs de Verifone (systme de vrification des cartes de crdit) cette socit avait mis
au point un systme permettant aux clients dutiliser un logiciel gratuit pour faire des
achats. Le numro de leur carte bancaire avait t enregistr sur le serveur de Cyber-
cash qui tait lui-mme reli au rseau bancaire. Cette solution sappuyait sur une
connexion crypte. Mais en 2002, la socit a fait faillite.
Avec le dveloppement des sites de tlchargement lgal de musique et de vido
et le succs des sites denchres et de vente entre particuliers, le micro paiement
devrait trouver un second souffle. Ce march a reprsent, aux Etats-Unis,
1,6 milliard de dollars en 2003 et 1,8 milliard de dollars un an plus tard. En Europe,
le chiffre daffaires atteignait544 millions deuros en 2003. Il pourrait atteindre un
volume de 2,37 milliards deuros en 2007.
Voici quelques-unes des solutions les plus dveloppes.
PayPal
Cest la solution la plus connue et la plus utilise. Selon Paypal (qui appartient
eBay), A lt 2005, il y avait environ 71,6 millions de comptes travers 56 pays. Le
volume total des transactions transitant par le systme PayPal, dans le monde, a
atteint 6,2 milliards de dollars au premier trimestre 2005.
Cette solution prsente plusieurs avantages mais aussi quelques limites. Pour la
rception d'un paiement, Paypal offre des tarifs comptitifs : par exemple entre 0 et
2 500 euros, les frais pour le vendeur sont de 3,4 % + 0,25 euro. Le crdit du compte
Paypal peut tre vir sur le compte bancaire (le cot est d'1 pour une somme inf-
rieure ou gale 99,99 euros. Un systme d'assurance garantit l'achat dans une
limite de 500 euros, mais pour un nombre de recours limit.
PayPal envoie une confirmation par e-mail de chaque transaction sur le compte.
Si la personne reoit la confirmation d'une transaction inconnue, elle doit contacter
le service clientle de Paypal. Selon PayPal, sa solution repose sur les technologies
anti fraude le plus sophistiques . La socit crypte automatiquement les donnes
confidentielles qui transitent entre lordinateur de lacheteur et le systme PayPal
grce au protocole SSL (Secure Sockets Layer) et avec une longueur de cl de cryp-
tage de 128 bits (niveau le plus lev actuellement disponible sur le march). Toutes
ces prcautions expliqueraient que le taux d'impays li la fraude soit trs bas. Au
premier trimestre 2005, ce taux s'tablissait 0,3 % 1.
1. Interview de prsident de Paypal, Jeff Jordan, au Journal du net du 1/7/2005.


PayPal victime de phishing

Aucune solution de paiement en ligne nest infaillible. Les utilisateurs de PayPal
lont appris leurs dpens. Fin juin 2006, une vulnrabilit permet d'exploiter un
certificat de scurit valide dans une fausse page PayPal ! Rvle par la socit
de services Internet NetCraft elle permet de drober le log-in d'un client du
service, son numro de carte de scurit sociale (important aux Etats-Unis) et les
dtails de sa carte bancaire.
Comme larnaque sappuie sur une vritable adresse URL d'une page du site de
paiement, la fraude est difficilement dtectable par la majorit des internautes.
Source : Silicon.fr
Signalons quil existe un autre systme semblable Paypal : eGold1

Ticket Surf
Cre en 2003, cette start-up franaise issue du groupe France Tlcom propose des
cartes de paiement gratter de 2 10 euros. Il suffit de taper le numro de son Ticket
Surf dans le champ de la page de paiement d'un site partenaire pour valider et payer
sa transaction. Chaque ticket est unique et possde 11 caractres alphanumriques,
garantissant ainsi l'acheteur et au vendeur une scurit optimale. Les deux cibles
que nous visons sont trs porteuses, explique Gilles Moro, PDG de Ticket Surf.
Mme si le risque de fraude baisse, de nombreuses personnes hsitent encore pour de
petits achats. Cette population reprsente 60 % de nos clients. Le reste, ce sont les
jeunes non "banquriss" qui peuvent ainsi payer pour jouer en ligne ou acheter des
fichiers comme des images ou des sonneries de mobile. 2 Seul problme : cette
socit na pour linstant que 147 sites partenaires.
eCarte Bleue
Apparue en 2002, le-Carte Bleue est un service optionnel de la carte de paiement
internationale. Elle est aujourdhui propose aux clients de certaines banques fran-
aises (Socit gnrale, la Poste, Crdit Lyonnais, Groupe Banque populaire et
groupe Caisse dEpargne). Dautres banques proposent des produits analogues

(P@yweb Card et Virtualis au Crdit mutuel). Entre 2002 et le printemps 2005, ce
service a enregistr prs de 1,5 million de transactions pour un montant total de
110 millions deuros.
Pour chaque achat, elle dlivre en ligne un numro de carte bancaire usage uni-
que. Lacheteur ne transmet donc plus son numro de carte rel et il est possible de
fixer soi-mme le plafond du paiement. Mais cette scurit a parfois un prix. Si cer-
taines banques la proposent gratuitement dautres facturent 2.5 euros chaque acte.
Dou son dveloppement assez limit.
1. Ce site explique comment utiliser cette monnaie : http://goldstrategie.lovadoo.com/

index24.html
2. Silicon.fr du 22/5/06.

Les tokens (jetons en anglais)

Il s'agit de mini lecteurs de carte ressemblant une calculatrice de poche. Mais la
procdure est un peu contraignante. Lutilisateur donne toujours son numro de
carte bancaire (ainsi que la date dexpiration et son nom) et valide l'opration. Il
obtient ensuite un code alatoire sur le site du commerant. Il doit le taper sur son
token, puis son traditionnel code PIN quatre chiffres. Ensuite, un numro (valable
uniquement pour lachat en cours) saffiche sur l'cran du token. L'acheteur devra le
retaper sur le site du commerant pour finaliser sa commande.
Fastidieux et pas si scuris que a selon un reprsentant de Visa : Outre son prix
de fabrication [lev], le petit lecteur de cartes que l'on branche sur un PC doit rsou-
dre trop de problmes , prcise David Main, directeur du dveloppement technolo-
gique de Visa Europe. D'abord des problmes de compatibilit entre les botiers, les
systmes d'exploitation et les pilotes ; ensuite, il faut tre sr que le code PIN ne soit
pas stock sur l'ordinateur. Autant de soucis que l'on oublie avec les tokens.1
7.3 LES SITES DE PAIEMENT SONT-ILS FIABLES ?
Trs en vogue, les sites denchres attirent de plus en plus de particuliers mais aussi
quelques escrocs. Dbut 2006, deux Roumains rsidant Londres ont arnaqu des
milliers d'acheteurs du monde entier via le site Internet d'enchres eBay. Ils leurs
vendaient des biens qui n'existaient pas ! Un super filon : ils ont amass environ
370 000 en moins de deux ans. Largent tait rcupr par un troisime larcin qui
se chargeait ensuite de blanchir largent en Roumanie.
Cette affaire ne signifie pas pour autant que eBay soit un repaire de malfrats en
tous genre. Dans la majorit des cas, ce site permet de dnicher la perle rare ou de
faire de bonnes affaires sans tre escroqu. Comme dautres sites de commerce lec-
tronique, les eBay et consorts ne sont pas plus risqus. Ils exigent nanmoins un peu
plus de vigilance car ils mettent en relation un acheteur et un vendeur qui nest pas
toujours professionnel . Notons au passage que cet amateurisme a nanmoins ten-
dance sestomper. Selon une tude publie en avril 2006 par eBay, il y a plus de
170 000 personnes en Europe qui lutilisent comme source de revenus unique ou
complmentaire. 70 % d'entre elles affirment que leur prsence sur ce site leur a per-
mis d'augmenter leurs ventes. En France, 15 240 utilisateurs se dclarent comme
vendeurs professionnels. Ce chiffre nintgre pas les internautes qui ne sont pas en
rgle avec la loi, en ne se dclarant pas comme professionnels malgr les montants et
la rgularit de leurs ventes sur le site. Un internaute franais a dailleurs t rcem-
ment condamn pour ce motif.
Cette professionnalisation deBay va de pair avec larrive descrocs dun nou-
veau genre. Ils ne se contentent pas de vous vendre du vent comme le couple de
Roumains. Leur dernire combine consiste mettre en avant de faux sites de paie-
1. ZDNet .fr 5/11/04.


7.3 Les sites de paiement sont-ils fiables ? 89
ment. Le principe est simple : au moment de conclure laffaire, le vendeur vous pro-
pose de passer par un autre systme de paiement, dit aussi tiers de confiance
( escrow en anglais), soi-disant plus avantageux que celui propos par le site
(eBay mettant en avant Paypal quil a rachet). Il sagit bien sr dun faux site de
transaction (technique dusurpation de nom de domaine). Signalons aussi que cer-
tains malfrats dirigent les acheteurs vers de faux sites de Paypal en mode scuris
Une mthode plus labore consiste utiliser un programme malveillant.
Lescroc vous envoie un fichier excutable anodin cens vous expliquer la proc-
dure suivre. Linternaute se croyant labri de ce genre de manuvre grce son
antivirus ny verra que du feu car ce programme malveillant nest pas assimil par les
anti-virus comme tant malicieux. Son rle ? Modifier certains lments de votre
systme dexploitation (fichier host) pour dtourner de manire invisible les
requtes initialement diriges vers le site web du tiers de confiance vers le site gr
par le pirate.
Quelle que soit la technique utilise, le rsultat est le mme : les acheteurs ne
reoivent jamais leur colis. Par contre, ils ont bien t dbits
Figure 7.6 Exemple dun faux site de tiers de confiance. Source : Escrow Fraud.
Plusieurs affaires de ce genre ont t signales en Belgique en 2006. Chez eBay-

Belgique, on minimise le phnomne : Dans 99,9 % des transactions, tout se passe
bien. L'arnaque est un problme qui touche toute l'industrie de l'e-commerce, et pas
seulement eBay. Chez nous, plus de 1 000 personnes dans le monde s'occupent de la

scurit et luttent contre les faux e-mails ou les sites non vrifis , prcise Peter
Burin, porte-parole d'eBay Belgique1. Quant Western Union, eBay en dconseille
l'usage sur son site et recommande de rgler ses achats par PayPal.
Pour ne pas se faire arnaquer vous pouvez consulter les sites http://escrow-
fraud.com et escrow.com qui signalent les faux sites de paiement. Respectez aussi les
quelques points suivants dlivrs par le CERT :
Conseils utiles
Ne pas excuter des fichiers dont l'origine (e-mail ou site web) n'est pas claire-
ment identifie et approuve.
Ne pas cliquer sur des URL rfrenant des moyens de paiement en ligne et
contenues sur des sites marchands ou dans des e-mails lis aux transactions.
Saisir manuellement les adresses des sites de paiement en ligne dans la barre
d'adresse du navigateur.
Vrifier que ces sites proposent des connexions scurises (SSL) ET un certifi-
cat lgitime.
Actualiser votre anti-virus chaque jour (toutes les heures si possible).
Si malgr ces conseils, vous vous faites avoir vous pouvez porter plainte auprs
des organismes cits la fin de louvrage ou auprs de la DGCCRF (www.finan-
ces.gouv.fr/DGCCRF).
En rsum
En juin 2006, une tude mene par Mdiamtrie//NetRatings, pour le compte la
Fevad (Fdration des Entreprises de Vente Distance), indique que la France est
championne dEurope de la croissance du e-commerce. Prs de 57 % des internau-
tes sont clients d'un site e-commerce, ralisant un chiffre d'affaires de prs de
9 milliards d'euros en 2005. Une bonne nouvelle qui nest pas une norme sur-
prise. Tout a t fait pour le commerce lectronique se dveloppe : un peu de
scurit et beaucoup de facilit. La priorit tant de sduire et de convaincre le
chaland pour quil achte sur le Web. La scurit des paiements ntait donc pas
une priorit comme le reconnaissent diffrents experts que nous avons rencontrs.
Beaucoup de choses restent faire.
1. Le Soir. 6/02/2006
8
Les entreprises
sont mal protges
A l'heure o la scurit de l'information reste sous les feux de l'actualit, tous les
acteurs ont-ils pris conscience des risques, et mis en uvre les mesures qui s'impo-
sent en consquence ? En rponse cette question, nous dressons un constat
mitig . En matire de scurit informatique, les entreprises franaises peuvent
donc mieux faire. Cest lun des principaux constats que tire le Club de la Scurit de
l'Information Franais (CLUSIF) dans sa dernire tude sur Les politiques de scu-
rit des systmes dinformation et sinistralit en France , publie fin juin 2006.
Ralise par le cabinet GMV Conseils, cette enqute est un baromtre intres-
sant. 400 entreprises d'au moins 200 salaris ont t interroges ainsi que des mairies
et des hpitaux.
Les principaux points intressants de cette tude sont les suivants :
Le systme d'information : il est devenu critique et stratgique pour 98 % des
entreprises.
Les niveaux de dpense en matire de scurit : ils varient dune entreprise une
autre mais la tendance est la hausse pour 38 % des entreprises. Le plus inqui-
tant est que 21 % dentre elles ne sont pas capables de mesurer cette dpense.
La politique de scurit de l'information : seulement 56 % des entreprises
interroges en sont dotes. Logiquement, la proportion augmente dans les
grands comptes (+ de 1 000 salaris) avec 72 % mais elle est de 52 % dans les
entreprises de 200 499 salaris.
Les logiciels de scurit : la majorit des entreprises utilise les outils classiques
(antivirus, firewall, antispams). Trs peu ont recours des solutions de chiffre-
ment et d'authentification forte pour protger leurs donnes ou leur parc de
terminaux mobiles (tlphones, assistants numriques, ordinateur portable).

92 Chapitre 8. Les entreprises sont mal protges
La prvention : cest le point noir. Les mises jour des logiciels (correctifs de
scurit notamment) ne sont malheureusement pas automatiques. 42 % des
sondes reconnaissent ne pas avoir formalis de procdures. A peine la moiti
(58 %) collectent et traitent les incidents de scurit. 24 % procdent une
valuation financire de ces incidents.1
Figure 8.1 Typologie des incidents de scurit en entreprise1.
1. Source : Etude du CLUSIF, Politiques de scurit des systmes dinformation et sinistralit en

France Bilan de lanne 2005 .

8.1 Les diffrentes menaces 93
Malgr la multiplication des risques, de nombreuses entreprises nont pas encore

pris toute la mesure du flau. Le systme dinformation dune entreprise est lun des
points dentre, explique Thierry Durand, de la Direction prvention et gestion des
risques de PSA Peugeot Citron. Ce systme est aussi un outil de production, de
pilotage (aide la dcision) et cest une vitrine de lentreprise. Donner, ouvrir un
point dentre cest donc foncirement grave.
8.1 LES DIFFRENTES MENACES
Linformatique est partout dans une entreprise et Internet est devenu en quelques
annes un des rouages essentiels. Ces deux points-cls sont aussi dimportants
vecteurs de contamination.
8.1.1 Le vandalisme
Pour la personne malveillante, linvestissement est quasi nul mais les consquences
peuvent tre dsastreuses pour la sant financire et limage dune entreprise.
Comme de plus en plus de socits ont cr un ou plusieurs sites, les risques quils
soient endommags sont importants. Pour de nombreux experts que nous avons
rencontrs cest mme la premire menace pour les socits. Officiellement, nous
avons au moins une page web de dfigure par mois, rvle le responsable de la scu-
rit dune entreprise internationale qui a plusieurs sites. Ce vandalisme peut donc un
peu perturber le fonctionnement de lentreprise mais cest rparable .
8.1.2 La vengeance
Furieux de son licenciement, un chef informatique de la socit Beghin Say
implante en 1991 une bombe logique dans le programme de gestion. Elle sest
dclenche trois mois aprs son dpart forc et a bloqu lactivit de la sucrire
durant une semaine, raconte le commissaire Daniel Padouin, responsable du SEFTI.

Contrairement la dtection dune bombe physique place dans une banque, celle
du bombe logique est quasiment impossible 1.
Aprs le vandalisme, la vengeance est la seconde menace pour de nombreuses
entreprises. Dans la majorit des cas, cest un ancien salari ou un employ qui
estime quil devrait dj tre directeur et qui ne comprend pas pourquoi il ne lest
pas encore ! Il peut aussi sagir dun prestataire du par le manque de reconnais-
sance de son client ou frustr de ne pas avoir remport lappel doffres (ce fut le cas
dune socit informatique qui avait voulu se venger dun important service de la
police judiciaire).
1. Libration. 12/12/1997

Ce cas de figure est dangereux car la personne est anime dune intention mal-
veillante. A la fois profondment excite dans son action et gnralement peu comp-
tente, elle laisse gnralement des traces qui peuvent tre exploites temps ,
explique Thierry Durand. La situation est nanmoins beaucoup plus problmatique
lorsque la personne aigrie est encore en poste car elle dispose de codes daccs au
rseau interne de lentreprise. Ils peuvent lui permettre de lancer une attaque virale de
lintrieur. Si la personne place un code malveillant, les systmes de dfense et de pr-
vention de lentreprise peuvent tre pris au dpourvu. Lorsque le virus est repr,
linfection est dj rpandue sur un grand nombre de postes. Cette situation conduit
rarement des pertes de donnes mais des pertes de temps , prcise Thierry Durand.
La mesure des risques

Selon la taille dune entreprise, toutes les attaques ne sont pas traites de la
mme faon. Les risques sont hirarchiss. Telle multinationale estimera par
exemple quun cot de remise en ordre infrieur 150 000 ne justifie pas
dengager des plans de prvention coteux si la probabilit du sinistre est faible.
Cette action malveillante sera nanmoins surement retenue dans le plan de
sensibilisation du personnel de manire ce quil ne prte pas le flanc des atta-
ques de ce genre. La mme entreprise considrera au contraire quelle na pas le
droit de ne rien faire si laction malveillante ou sa rptition conduisent des
cots estims de rparation suprieurs 1,5 million deuros. Ce serait alors la
survie de la socit qui serait en jeu.
8.1.3 Lattaque programme

Ce genre de risque concerne les grandes entreprises (publication dune photo dun
prototype, opration de dsinformation entranant le capotage dun nouveau projet)
ou celles qui sont plus petites mais qui disposent dun savoir-faire exceptionnel et dont
la perte ou la divulgation la mettrait en pril. Ce genre dopration est men par un
spcialiste ou une bande organise. Ils ont reu une commande pour faire du tort ou
voler des donnes dans une entreprisse. Si la rmunration est suffisamment impor-
tante, ils nhsitent pas devant les moyens. La seconde possibilit consiste visiter de
nombreux sites pour y reprer les maillons faibles et les butins potentiels. La bande
recherchera ensuite un commanditaire avant de passer laction.
Quel que soit le point de dpart, lopration peut se drouler de deux faons :
Lattaque brutale : les pirates mettent en uvre dimportants moyens pour
parvenir leurs fins. Dans ce cas, lentreprise vise a du mal faire face car elle
na pas toujours mis les protections ncessaires pour ce genre dopration.
Lattaque rflchie : elle est mene en toute connaissance de cause. Les rep-
rages des points faibles du rseau de lentreprise ont t effectus quelques
mois auparavant. L aussi, la victime a du mal ragir car il y a de trs fortes
chances quelle ne voit pas lattaque !

Des donnes sensibles pas assez protges

Publi en mai 20061, un rapport de l'ESG (Enterprise Strategy Group) montre
quel point la scurit des donnes est devenu le problme n 1 de nombreuses
socits. Ce cabinet amricain a analys les rponses de 227 responsables de
scurit d'entreprises (de 1 000 20 000 employs). Le rsultat est accablant :
68 % d'entre eux confirment que les donnes confidentielles sont plus exposes
sur les ordinateurs portables que sur les fixes. Prs d'un quart des rpondants
s'estiment vulnrables , voire trs vulnrables aux menaces sur les
donnes. Et ils ciblent mme les vecteurs d'change non scuriss de ces informa-
tions confidentielles avec des tierces personnes: 30 % par les e-mails, 27 % les
web services, 27 % les serveurs FTP et 8 % les messageries instantanes. Et de
faon plus globale, les nouvelles applications collaboratives ou de bureautique en
ligne comme les propose Google.
8.1.4 Lespionnage conomique1

La navet nest pas compatible avec la scurit. Valeo la appris ses dpens. En mai
2005, la petite Lily devient clbre en France. Cette jeune stagiaire chinoise est
souponne davoir copi sur un disque dur personnel des donnes confidentielles
stockes sur le rseau interne (Intranet) de cet quipementier automobile franais.
Lanne 2005 a dailleurs t riche en affaires. En avril de cette anne-l, en
Sude, un homme dorigine hongroise est condamn trois ans de prison pour
espionnage industriel. De mars 2002 juin 2004, il sest introduit dans les systmes
informatiques dEricsson et a accd diffrentes informations : mots de passe et
noms dutilisateur de personnel, codes source de logiciels et des donnes cryptes
(parmi lesquelles des documents militaires2). Lorsquil a t arrt, il a justifi ses
intrusions par la volont de dmontrer que le rseau dEricsson prsentait des failles.
En rvlant ces donnes, il esprait trouver un emploi. En ralit, il cherchait sur-
tout monnayer ces prcieuses donnes en les proposant sur internet !
La cupidit et la vengeance sont souvent lorigine daffaires de ce genre. Le cas

Lightwave IT Microsystems en est un exemple parfait. En 2005, lancien responsable
de la direction informatique de cette socit amricaine reconnat avoir vol des sau-
vegardes informatiques (comprenant des secrets de fabrication) de sa socit pour les
revendre un concurrent, JDS-Uniphase. Mais ce dernier a prvenu le FBI. La
mme anne, lancien PDG de la socit amricaine BES reconnait avoir planifi
lintrusion du systme informatique dun concurrent. Pendant dix mois, lui et quelques
cadres ont mis au point un plan pour recopier des secrets de fabrication davant-pro-
jets. Ils avaient profit dune session en ligne de formation organise par le concurrent,
travers un site web spcialis dans le e-learning, pour sintroduire dans le systme 3.
1. Zdnet.fr. 2/05/2006.
2. Lquipementier compte en effet parmi ses clients le ministre de la Dfense sudois.
3. Danielle Kaminsky. Panorama de la cybercriminalit 2005 du Clusif.

En juin 2006, le FBI a arrt deux anciens employs de la socit NetLogic

Microsystems1. Ces deux californiens de 42 et 34 ans sont accuss d' organisation
de malfaiteurs afin de voler des secrets commerciaux, et de cinq vols de secrets
industriels . Les vols concernaient la fois des secrets appartenant leur ancien
employeur mais aussi au fondeur tawanais TSMC (Taiwan Semiconductor Manufac-
turing Co.), un partenaire industriel. Les deux hommes avaient cr une socit
dans le but de dvelopper et de vendre des produits utilisant ces secrets industriels
vols a expliqu le procureur. Ils risquent une peine maximale de 10 ans de prison
accompagne de 250 000 dollars d'amende.
Echelon et Blackberry
Ce terminal mobile est devenu la coqueluche de tous les cadres dirigeants. Cest
aussi devenu la bte noire de tous les responsables de la scurit informatique. Il est
vrai que le Blackberry prsente de srieux atouts : il tient dans la poche dun
costume et il permet denvoyer et de recevoir ses e-mails en temps rel. Bref, tous
les patrons franais le veulent ! Les responsables de la scurit que nous avons
interroges ont le plus grand mal convaincre leurs suprieurs de ne pas lutiliser ou
de lutiliser avec vigilance. Pour les spcialistes, le risque ne se situe pas au niveau
du serveur du Blackberry ou du terminal en lui-mme. Le problme se situe aux
Etats-Unis. Toutes les donnes qui transitent par le Blackberry passeraient par
Echelon. Les grandes oreilles amricaines pourraient ainsi mettre la main sur des e-
mails confidentiels changs entre un grand patron et lun de ses adjoints ou lun de
ses partenaires industriels. Pour viter ce risque, les responsables de la scurit
informatique demandent donc leur dirigeant de nenvoyer que des e-mails
anodins ou chiffrs. Mais ces deux options ne semblent pas convenir ce patron
d'une grande entreprise. Pour deux raisons prsente-t-il en substance : si je ne
peux pas envoyer de courriers confidentiels, mon Blackberry ne me sert rien. Et si
je dois chiffrer mes courriers il faut que mon correspond puisse les dchiffrer ; trop
compliqu . Pour les responsables de la scurit informatique, le chiffrement des
changes est pourtant la seule solution. Ce nest pas la panace. Mais Echelon ne
peut pas traiter en temps rel toute linformation. On peut donc esprer que le
contenu de cet e-mail ne sera plus confidentiel (linformation aura t publie dans
la presse par exemple) lorsque ce programme le dchiffrera..
Mais laffaire despionnage conomique du moins parmi celles connues du

grand public qui a eu le plus de retentissements remonte 2004. Lhistoire dbute
chez un crivain et professeur dhistoire isralien. En surfant sur le web, il dcouvre
des extraits dun livre quil est en train dcrire mais quil na pas encore publi. Aprs
enqute, les policiers constatent quun cheval de Troie a t plac dans son PC. Ce
code malveillant a pu sinfiltrer grce une pice jointe un e-mail que lex-gendre
de lcrivain lui avait envoy sous diffrents prtextes. Arrt en mai 2005 Londres
avec un mandat dextradition isralien il est souponn davoir vendu des
1. Pcinpact du 16/6/2006.

variantes de son cheval de Troie des agences de dtectives prives. Celles-ci avaient
t mandates par des clients pour trouver des renseignements sur des entreprises sp-
cialises dans la tlphonie, lautomobile, la mode, lagroalimentaire, la finance et la
presse. Il y a eu une quarantaine darrestations et des inculpations. Comme dans
dautres domaines, il est trs difficile den savoir plus. Pour ne pas gratigner leur
image de marque ou dvoiler leurs faiblesses, les victimes sont restes trs discrtes
Ces quelques exemples montrent quel point lespionnage conomique est facilit
avec le dveloppement de linformatique. La gnralisation des cls USB mais aussi
des baladeurs MP3 dots dune grande capacit de stockage nencourage pas lopti-
misme. Sans aucune protection (chiffrement, mot de passe) des donnes confidentiel-
les peuvent tre copies en quelques minutes sur ce genre de priphrique amovible.
Cette menace commence dailleurs tre prise en compte par les entreprises. Si lon en
croit un sondage ralis la demande de Sun Microsystmes Canada par Ipsos Reid
prs dune entreprise sur deux (49 %) soit un peu plus dune centaine sur les 259
interroges) , a adopt un rglement intrieur visant bannir les ordinateurs porta-
bles et les cls USB sur le lieu de travail, et une sur trois (30 %) considre les iPod et
autres lecteurs MP3 indsirables dans lentreprise. Cette prise de dcision ne signifie
pas pour autant que les dirigeants de ces entreprises soient plus informs que les autres.
Selon ce sondage, publi durant lt 2006, 17 % d'entre eux avouent comprendre
trs mal les risques impliqus par l'accs distance ou sans fil.
Ces lecteurs amovibles seront donc peut-tre bannis des entreprises. Mais le sou-
rire dsarmant dune stagiaire qui a perdu son mot de passe et qui vous demande gen-
timent le vtre restera toujours larme absolue
8.1.5 Les moteurs de recherches

Qui peut aujourdhui se passer de Google et des autres moteurs de recherches ?
Certainement pas grand-monde. En quelques annes, ils ont rvolutionn la
manire de trouver de linformation en indexant des milliards de pages web.
Malheureusement, cette facilit est double tranchant.
Le Google Hacking 1 est une menace inconnue de la majorit des entreprises.

Cest pourtant un risque potentiellement majeur. Cette expression dsigne le recueil
dinformations confidentielles partir de requtes spcifiques effectues sur Google.
Mais ce problme concerne tous les moteurs de recherches ne respectant pas les
protocoles Internet qui empchent un robot dindexer, prcise Pascal Lointier, prsi-
dent du Clusif. Normalement, le robot ou le logiciel aspirateur de web devrait sarr-
ter ce moment-l. Ces moteurs ont mis en vidence la visibilit involontaire des
portes du rseau Intranet nont pas t fermes que cre des entreprises .
Dans son livre, Johnny Long explique que la requte de Google peut notamment
tre traite via un relais proxy, ce qui permet de bnficier d'un certain anonymat.
1. Titre dun livre crit par Johnny Long et publi par les ditions Dunod.

Parmi les nombreuses fonctionnalits de Google, l'option "cache" est une arme
redoutable. Cette fonction permet de consulter des pages sauvegardes par le moteur
de recherches mais qui ne sont plus disponibles sur le site d'origine. Les entreprises
doivent donc se soucier des documents quelles mettent en ligne mme pendant
quelques instants , prvient Pascal Lointier.
Un espion dans son PC ?

Aprs lindexation des milliards de pages dInternet, les moteurs de recherches
sattaquent maintenant aux fichiers stocks sur les ordinateurs des particuliers ou
des employs. Cette nouvelle application est pratique. Elle permet en quelques
instants de retrouver un document Word ou un classeur Excel nich dans les
entrailles dun Intranet ou de son disque dur. Mais comme pour la version web,
ces logiciels reprsentent une relle menace ; L aussi, les entreprises nen nont
pas conscience. Comment savoir si l'information indexe sur le disque dur ne va
pas tre aussi transmise au serveur de lapplication ? Le risque semble dautant
plus grand avec Google Desktop 3: la fonction de recherche croise (appele
Search Across Computers ) de fichiers sur plusieurs PC reprsente un risque
de scurit inacceptable pour les grands comptes, dnonce un analyste du
Gartner. Pour faciliter cette recherche, Google Desktop 3 stocke temporaire-
ment des copies textuelles des objets prsents sur les propres serveurs de
Google pendant une dure de 30 jours. Oui, il y a un risque, et nous compre-
nons les proccupations des socits commente ZDNet Andy Ku, le responsa-
ble Europe et marketing manager de Google. Il ajoute aussi que Thoriquement
toute la proprit intellectuelle de la socit pourrait tre diffuse l'extrieur.
Nous comprenons qu'il y ait de nombreuses proccupations scuritaires autour de
cette fonction, mais Google ne sauvegardera pas de l'information, sauf si l'utilisa-
teur ou la socit cliente a activ la fonction .
8.2 LES OBSTACLES A LA SCURITE INFORMATIQUE
L'paisseur d'un rempart compte moins que la volont de le dfendre . Au

moment de boucler le budget scurit informatique de leur entreprise, tous les diri-
geants devraient mditer cette maxime de Thucidide (historien grec, IVme avant
J.-C.). Malheureusement, ces responsables dentreprises manquent de recul et
dinformations objectives. Les patrons de PME sen remettent soit leur respon-
sable informatique (mas il na pas ncessairement le temps ni la culture scuri-
taire) soit une socit extrieure, constate Pascal Lointier. Il faudrait au moins
que lentreprise envoie son responsable des formations sur la scurit.
Aujourdhui, la scurit informatique est laffaire daucuns parleront plutt de
chasse garde des informaticiens. Pour la plupart des experts que nous avons
rencontrs, cette problmatique devrait tre rattache au service juridique ou aux

8.2 Les obstacles a la scurite informatique 99
La meilleure protection ? Le sac plastique !

Les ordinateurs portables sont devenus la mode. Ils deviennent de plus en plus
puissants et leurs prix deviennent attractifs. Mais leur richesse ne se trouve pas
dans la vlocit de leur processeur ou la performance de leur carte graphique mais
dans leur disque dur. Ceux qui volent dans le TGV ont bien compris que les
donnes dun ordinateur sont monnayables, parfois mieux encore que le matriel
lui-mme, explique Herv Schauer. Mais aussi surprenant que cela puisse para-
tre, la plupart des entreprises ne chiffrent pas les donnes sur leurs portables. Les
voleurs ne sont gnralement pas des gnies en informatique ; une simple protec-
tion suffirait . Un sac plastique aussi ! La DST prconise en effet lemploi dun
sac plastique ou banalis pour ne pas attirer la convoitise de curieux. Exit donc
les belles pochettes portant le logo dune marque informatique. Evidemment,
cette technique de camouflage sapplique aussi aux petits terminaux mobiles
comme les PDA et les smartphones
ressources humaines. Cette volution est encore lente. Trs peu dentreprises ont
rapproch la scurit informatique du service juridique.
Selon une tude ralise en 2006 par Ernst & Young, dautres obstacles emp-
chent la mise en uvre dune scurit efficace. Peu dentreprises, mme parmi les
plus importantes, ont une approche de scurit globale. Seuls 51 % des rpondants
franais (contre 71 % au niveau mondial), ont rpertori les informations sensibles
ou confidentielles.1
Figure 8.2 Nombre d'audits scurit en 2005 dans l'entreprise.1
Les restrictions budgtaires sont aussi un frein. Selon ltude CSI/FBI 2005, 27 %
des sonds dpensent plus de 6 % de leur budget informatique en SSI, prs dun
quart de 3 5 %, autant de 1 3 % et un dernier quart moins de 1 % ou ne savent
1. Source : Etude du CLUSIF, Politiques de scurit des systmes dinformation et sinistralit en

France Bilan de lanne 2005 .

pas. Pour Christophe Grenier, RSSI chez Global Service Provider, toutes les soci-
ts ont des problmes de budget et le ROI (retour sur investissement) de la scurit
est lun des points les plus difficiles dfendre. La scurit est encore loin de repr-
senter une proccupation de premier plan Elle est surtout perue comme un cot.
Lorsquune entreprise doit se lancer dans la coupe franche dun budget, la colonne
scu est la premire tre vise. Par exemple, loccasion dun audit, un grand
compte connu du monde internet dcouvre une multitude de failles sur ses systmes.
Plus dun an aprs, une partie seulement dentre elles ont t revues. Mme face un
risque identifi, il est parfois difficile de faire entendre raison et cela souvent cause
de contraintes de temps et dinvestissement 1.
La scurit : un march florissant

Selon lenqute IDC Scurit 2005, les dpenses informatiques globales sur le
march professionnel en France ont atteint 41 009 M, en croissance de 3,5 %.
Les dpenses de scurit informatique des entreprises et des administrations attei-
gnent 1 113 M, en hausse de 17,4 % (contre 15,4 % de hausse entre 2004 et
2003). Parmi ces dpenses de scurit informatiques en 2005 :
les services reprsentent 612 M (55 %) en hausse de 15,5 % ;
les logiciels reprsentent 405 M (36,4 %) en hausse de 16,4 % ;
les appliances (botiers physiques intgrant de une plusieurs fonctionnalits :
pare-feu/VPN, anti-virus, anti-spam, prvention et dtection dintrusion) repr-
sentent 96 M (8,6 %) en hausse de 37,1 %.
Source : La scurit des systmes dinformation , rapport du dput Pierre
Lasbordes. 26 novembre 2005
La raret des personnes qualifies en scurit informatique est aussi pointe du

doigt dans la 8e dition de l'enqute scurit des SI ralise par Ernst & Young fin
2005. Pascal Lointier renchrit : Il ny a pas de cursus en France qui permettrait de
donner les bases fondamentales de la scurit informatique pour un grand public
de professionnels et responsables en entreprise . De son cot, matre Eric Barbry,
directeur du dpartement nouvelles technologies au cabinet Alain Bensoussan rap-
pelle que la scurit informatique nexiste en France que depuis un ou deux ans !
Ce nest que depuis quelques temps que je fais des contrats de travail et des chartes
pour des RSSI .
8.3 LA PRVENTION DES RISQUES
La prvention des risques nest pas quelque chose qui peut tre livre avec des logi-
ciels. Elle ne ncessite pas toujours des actions de scurit, rappelle Thierry Durand.
1. CSO magazine n12. Juillet 2006.


8.3 La prvention des risques 101
Beaucoup de grands patrons imaginent aussi quen externalisant leur informatique

ils nauront plus de problmes de scurit. Cest faux .
Pour assurer une bonne protection de leurs rseaux, les entreprises doivent met-
tre en place diffrents gardes fous en amont. Il sagit notamment dassurer une ges-
tion parfaite des droits daccs des employs. Pour les grosses entreprises, cest parfois
un casse-tte mais qui doit tre imprativement rgl. Le systme dinformation
dune grande entreprise voit plusieurs dizaines de milliers de PC directement con-
nects et prs dun demi-million dutilisateurs identifis dont plus de 80 % sont des
partenaires. Ces partenaires extrieurs sont des fournisseurs, des industriels, des com-
merciaux, des sous-traitants , indique Thierry Durand de PSA Citron. Autant dire
que la gestion des droits est une priorit. Un mauvais inventaire peut tre lorigine
de deux problmes :
Une personne qui devrait avoir des droits mais qui ne les a pas encore est en
situation pnalisante pour lentreprise car elle ne peut pas travailler dans de
bonnes conditions. Si elle utilise les droits dun autre employ cest dangereux
car il sagit dune faille de scurit. Ouvrir un compte en trois jours est jug
encore trop long par les responsables.
Un ancien employ qui conserve des droits est galement un danger. Chez
PSA Peugeot Citron par exemple 10 20 minutes sont gnralement suffi-
santes pour informer lensemble des serveurs concerns lorsquune fermeture
de droits daccs est engage. Dautres entreprises sont beaucoup plus laxistes
et mettent une deux semaines pour les clturer ! Les consquences peuvent
tre dramatiques pour lentreprise. Voici un exemple relat par le commissaire
Crespin de la BEFTI : un tablissement financier de la place de Paris a
dcouvert dans un journal des informations connues seulement dun cercle
trs restreint dinitis. Une enqute est mene et lon saperoit que les botes
aux lettres des dirigeants taient reroutes vers lextrieur. Un ancien direc-
teur informatique, ray des cadres de la socit depuis un an, possdait encore
ses fonctions dadministrateur 1.
Pour Pascal Lointier linsouciance et la mconnaissance des risques sont les vrais
lments qui permettent le dveloppement de la cybercriminalit. Les entreprises ne
sont pas assez sensibilises . Des propos confirms par une tude ralise en 2006 par
Ernst & Young : seulement 20 % des entreprises franaises assurent leurs salaris
une formation rgulire sur la scurit et la matrise des risques, contre 47 % des
entreprises dans le monde. Il faut que les salaris comprennent que leurs identifiant et
mot de passe ne doivent pas tre donns leurs enfants pour quils se connectent
depuis la maison au site de lentreprise. Cela peut paratre comme une vidence mais
plusieurs exemples de ce genre nous ont t relats Quelles peuvent tre les
consquences ? Si lordinateur personnel du salari nest pas bien protg, il peut tre
une cible parfaite pour un pirate qui souhaite sinfiltrer dans le rseau de la socit.
1. CSO magazine n12. Juillet 2006.


Il est galement ncessaire de sensibiliser les employs limportance des don-

nes quils ont eux-mmes, explique Thierry Durand. Chez nous, il se passe souvent
plusieurs annes entre le lancement dun nouveau projet de voiture et la sortie en
bout de chane du premier modle. Les techniciens ou les ingnieurs passent plu-
sieurs mois sur des programmes de conception assiste par ordinateur. Ils en parlent
avec passion. Au point mme de faire des blogs sur Internet et de lillustrer avec des
photos R&D ! Cela arrive ! Ne sagit-il pas alors dune faute lourde lorsquun enga-
gement de confidentialit a t sign ?
Les entreprises qui travaillent rgulirement avec des partenaires commerciaux ou
des sous-traitants doivent aussi sinquiter de leur niveau de scurit. Un employ
dune de ces socits peut venir au sige social et connecter son ordinateur portable
au rseau. Imaginez que ce PC soit contamin Autre hypothse : le rseau dun des
partenaires prsente des trous de scurit. Des informations confidentielles que vous
lui avez transmises pourraient tre rcupres par un logiciel espion ou une intrusion.
Toutes ces mesures ne ncessitent donc pas des logiciels et des quipements de
scurit. Mais elles ne sont pas toujours mises en place car cest plus simple dacheter
un antivirus que de former ses salaris. Pour le patron et ses employs, la scurit
informatique est synonyme de propos abscons (ils nont pas tort puisque la scurit
informatique est entre les mains dinformaticiens qui utilisent leur jargon !) et
dinformations inutiles. cela ne marrivera pas ; je ne suis donc pas concern , tel
est largument de bons nombre de responsables. Dautres cadres suprieurs se croient
tellement protgs par leur service informatique quils en oublient les prcautions
lmentaires !
Pour rendre plus attractive cette problmatique, Hapsis a eu la bonne ide de
crer un jeu. Selon ce cabinet de conseil indpendant, la participation active de
l'employ permet de mieux mmoriser, et surtout, de se sentir rapidement impliqu.
Deux techniques sont utilises. Un jeu de loie, Sensirisk, qui associe plusieurs per-
sonnes autour d'une table, ou via l'intranet, et Computer Crime Investigation, qui est
en quelque sorte un Cluedo version scurit.
Pour Guillaume Rinc, RSSI chez TDF, cette solution est intressante1 :
Jusqualors notre approche restait acadmique, de type prsentation PowerPoint
classique. Nous avons cherch un moyen un peu plus interactif et ludique pour rete-
nir lattention et marquer les esprits des gens qui suivent ces formations. Le but tant
quils apprhendent mieux le sujet et retiennent plus de choses quavec une forma-
tion classique. En effet, la scurit informatique nest pas forcment un sujet qui pas-
sionne les foules et qui donne lieu aux formations les plus attractives Notre
objectif est de mettre en place des formations pour de petits groupes de personnes et
de dvelopper les interactions entre elles. Lautre jeu propos par la socit HAPSIS,
Computer Crime Investigation (CCI), est mon sens plus adapt une grande campa-
gne de formation interne, dans le cas o lon souhaite sensibiliser lensemble de
lentreprise. Le jeu Sensirisk est livr avec une base de connaissances et un ensemble
de questions standard et offre la possibilit dadapter tout ce qui correspond au con-
1. Magazine Antennes. Octobre 2005.


Figures 8.3 et 8.4 Le jeu Sensirisk est une faon originale pour sensibiliser les salaris.

texte et lenvironnement de sa propre entreprise. Nous avons donc pu modifier un

certain nombre de choses afin de reflter lunivers de TDF et les objectifs que nous
souhaitons atteindre Le fait est que les participants se prennent au jeu car ils ne se
contentent pas de suivre un discours ou de visualiser passivement des informations.
Ils sont parties prenantes.
Pour les responsables informatiques, lavenir de la prvention des risques passe
certainement par un tableau de bord. Actuellement, les seuls indicateurs dont on
dispose sont trop souvent des pompes funbres (combien dattaques ou de failles
constates) ou des justifications dinvestissement (en prsentant toutes les attaques
passes devant un firewall et qui ont t bloques), constate Thierry Durand. Ce ne
sont alors que des dmarches ponctuelles qui ne visent qu satisfaire un petit bout
dun secteur de linformatique. La vritable prvention ce nest pas la somme des
actions de scurit individuelle. Quelque chose de nouveau, apparu dbut 2006,
semble trs prometteur : un tableau de bord inspir de la problmatique de gestion
financire. Ce tableau de bord quilibr reflte les vritables risques pour lentre-
prise. Il sagit de voir quels sont les facteurs cls de succs qui contribuent rduire
ces risques. Des indicateurs sont construits partir de donnes terrain mais elles ne
sont jamais utiliss brutalement car elles nauraient alors pas de sens. Lanne 2007
devrait tre une tape majeure et dcisive pour les premires ralisations de ce type
de tableaux de bord.
Et si lavenir ne consistait pas aussi dans la suppression des intranets ! Ces
rseaux internes une entreprise sont un contresens pour certains spcialistes :
Internet, cest une dmarche dinterconnexion des rseaux tandis quintranet est
une dmarche de fermeture et disolation. Les entreprises se sont dotes dIntranet
car Internet tait la foire dempoigne, rappelle Thierry Durand. Mais un intranet
cote trs cher car il faut le grer, le protger et a gne la communication en
permanence .
Il nest plus rare que des entreprises rflchissent donc la suppression de leur
intranet. Cette mutation signifiera donc que tout le monde puisse entrer sans mon-
trer patte blanche sur le rseau qui sera fondu dans Internet. Pour relever ce dfi, il
faudra rsoudre diffrents problmes. Avant dtre expos sur un rseau public
chaque serveur doit imprativement disposer dune protection parfaite et dun suivi
permanent et automatis, constate Thierry Durand. Cette mise en uvre pralable
est un chantier technique majeur doubl dune organisation lourde. Le second
point concerne la sensibilisation budgtaire. Linformatique est de plus en plus un
atout concurrentiel et des fonctions nouvelles sont en permanence attendues pour
servir les besoins de lentreprise. Comment grer les priorits entre le besoin de dis-
poser de ces fonctions vitales et le chantier colossal dvolution dune infrastructure
dont on ne peroit que mal les imperfections ? Lanalyse des risques compars, seul
outil objectif daide la dcision, ne permettra que difficilement dy parvenir avant
six dix ans .

En rsum
Pour de nombreuses entreprises, la scurit est synonyme de cots. Elle est aussi
synonyme dun responsable informatique qui est le plus souvent seul grer cette
problmatique. Il nest donc pas tonnant quelles soient incapables de rpertorier
tous leurs postes de travail et de faire une analyse correcte et surtout objective
de leurs vulnrabilits. La monte de la cybercriminalit doit inciter fortement
les dirigeants considrer la scurit informatique comme une donne essentielle
de leur performance conomique. Cela implique lutilisation doutils spcialiss
mais surtout une meilleure sensibilisation de tous les salaris.

9
Antivirus : lintox marketing
Dtection de 100 % des codes malveillants , Elimine les virus sous toutes leurs
formes , Scurise la navigation sur Internet Les multiples messages figurant
sur les botes des logiciels de scurit sont efficaces : ils font vendre ! Le chiffre
daffaires du march des solutions antivirus tait de 2,7 milliards de dollars en 2003,
de 3,3 milliards en 2004 et denviron 3,8 milliards en 2005 (source : IDC 2005).
Voil un secteur qui ne connat pas la crise. Symantec, le numro 1 mondial de la
scurit, a annonc un chiffre daffaires de 5 milliards de dollars (en hausse de 8 %
en un an) pour son exercice fiscal 2006 (arrt mai 2006).
Surfez tranquille, nous faisons le reste : cest en quelque sorte le slogan des
diteurs. Une protection totalement efficace serait donc possible ? Rien nest moins
sr ! Qui na jamais constat quune infection informatique tait parvenue pn-
trer dans son ordinateur ?
Quel que soit le type de menace, le maillon faible est, et restera, toujours le
mme : lutilisateur. Pour deux raisons principales : dabord les erreurs de manipula-
tion accompagnes dune baisse de la vigilance et ensuite les rglages parfois
compliqus de ces programmes de scurit. Cette situation serait moins alarmante si
les antivirus taient plus efficaces ! Rgulirement, la presse informatique prsente
des tests comparatifs. Leurs mthodes danalyse et leur objectivit (les diteurs
dantivirus sont aussi des annonceurs) laissent parfois dsirer. Pour consulter un
avis un peu plus pertinent, on peut lire le rapport du ministre anglais du commerce.
Publi en 2004 1, il indique quenviron 90 % des grandes entreprises et 90 % des
PME. britanniques sont protges par un antivirus. Malgr cela, environ 68 %
dentre elles ont t victimes dattaques virales en 2003. Lune des conclusions du
rapport est sans appel : les antivirus seuls ne sont plus suffisants. Ils sont incapables
dassurer une protection efficace.
1. S. Stimms, S. Potter et A. Beard, Information Security Breaches Survey 2004. UK Department of

Trade and Industry. http://www.security-survey.gov.uk

108 Chapitre 9. Antivirus : lintox marketing
Un ver dans une centrale nuclaire !

Janvier 2003. La panique gagne le service informatique de la centrale Besse-
Davies dans lOhio, aux Etats-Unis. Malgr la prsence dun pare-feu (ou firewall)
et dun antivirus, les rseaux de surveillance informatique de la centrale ont t
victimes du ver Sapphire/Slammer. Ces rseaux ont t paralyss pendant
plusieurs heures. Quelques mois plus tard, la Nuclear Regulatory Commission
indiquait que la propagation est passe par le rseau priv dun prestataire
externe. Or, ni cette centrale, ni cet intermdiaire navaient appliqu le correctif
publi six mois plus tt par Microsoft et qui permettait de bloquer lattaque via
les serveurs SQL 2000. Le document rvlait aussi que dautres centrales avaient
connu des problmes plus ou moins similaires lis linfection Slammer
Entre les affirmations des diteurs et lexprience de tous les jours, lutilisateur a
le plus grand mal sy retrouver. Cette situation rsulte dune mconnaissance de la
nature mme du problme de la dtection virale et, de faon plus gnrale, des codes
malveillants. Nature que certains vendeurs dantivirus ignorent eux-mmes ou
occultent sciemment !
Pour comprendre en quoi le marketing de certains diteurs frle la publicit men-
songre, il faut se reporter des travaux de rfrence dans le domaine de la virologie
informatique et certaines tudes thoriques ou pratiques.1
Attaque du parlement britannique !

Novembre 2005. Le parlement est victime de hackers chinois qui profitent dune
faille de logiciels contenu dans Windows. De simples courriers lectroniques
ciblaient soixante-dix membres du gouvernement britannique. Ces e-mails
contenaient le code malveillant destin prendre le contrle de leur ordinateur
en y installant un cheval de Troie. Le code tait indtectable par les antivirus au
moment de lattaque. Heureusement, la socit grant pour le parlement le trafic
du courrier a pu bloquer cette attaque temps1.
9.1 LA DTECTION DE TOUS LES VIRUS

OU LA QUADRATURE DU CERCLE
Le pre de la virologie informatique est sans conteste Fred Cohen dont la thse2 en
a jet les bases rigoureuses. Aprs avoir formalis dun point de vue mathmatique la
notion de virus informatique, il sest attach rpondre la question suivante :
existe-t-il un programme permettant de dtecter systmatiquement un virus ? Il a
1. T. Espiner, Hackers attacked parliament using WMF exploit, ZDNET UK, 23 janvier 2006.
2. Fred Cohen, Computer Viruses, Universite de Californie du sud, 1985.

9.2 La dtection virale : quand les antivirus font mieux que les cryptanalystes 109
prouv quun tel logiciel, dans labsolu, est une impossibilit mathmatique. En clair,
le problme de la dtection virale est gnralement indcidable. Cela signifie quil
nexiste aucun moyen de choisir systmatiquement entre les rponses infect ou
non infect quand un programme est soumis lanalyse. La preuve mathma-
tique tant quelque peu technique, Fred Cohen a imagin, titre dillustration, le
code suivant, appel virus_contradictoire :
Program virus_contradictoire
{
si non D(virus_contradictoire) alors
lancer linfection
finsi }
Pour dterminer si un programme P est infect ou non, considrons une proc-
dure de dcision D quelconque (en dautres termes un antivirus). Le code
virus_contradictoire alors invoque D pour lappliquer sur lui-mme et si D rpond
non-infect alors le virus lance linfection. Il y a contradiction. Cet exemple
peut paratre simpliste. Il nen illustre pas moins lindcidabilit gnrale de la
dtection virale, dmontre rigoureusement par Fred Cohen.
Ce rsultat fondamental montre que les affirmations selon lesquelles un produit
peut dtecter systmatiquement les virus inconnus sont fausses. Mais dautres rsul-
tats thoriques permettent de mieux contrer ces affirmations.
9.2 LA DTECTION VIRALE : QUAND LES ANTIVIRUS

FONT MIEUX QUE LES CRYPTANALYSTES
Les rsultats de Fred Cohen concernent la problmatique de la dtection virale dans

son ensemble. Dans la pratique, beaucoup de codes malveillants sont toutefois
dtects. Cela remet-il en cause ses rsultats ? Non. La preuve mathmatique de son
rsultat a t maintes fois vrifie. Il considrait une dtection systmatique. Autre-
ment dit, il existe des classes de virus pour lesquelles une dtection efficace est
possible, sous certaines conditions toutefois. A la suite de ses travaux, des chercheurs
ont tudi, et continuent dtudier, des classes particulires de codes malveillants
pour lesquelles il sagissait de dterminer la complexit calculatoire de la dtection
dans un ordinateur classique (quand la mmoire et le temps de calcul sont limits
comme dans le cas dun ordinateur rel).
Mais en quoi la complexit calculatoire concerne-t-elle la dtection virale ? Cer-
tains chercheurs (Leonard Adleman en 1989, Diomidis Spinellis en 2003, Zuo et
Zhou en 2004, Bonfante, Kaczmarek et Marion en 2005) ont tabli des rsultats
prouvant que pour beaucoup de classes de virus, rencontres en pratique dans nos
ordinateurs, le problme de leur dtection appartenait la classe NP-complet.
Dautres tudes ont permis de montrer que pour certaines familles de virus, le pro-
blme pos par leur dtection relevait de classe encore plus difficile que celle des
problmes NP-complets. Que faut-il en conclure ? Si un antivirus pouvait dtecter
systmatiquement de telles classes de virus il serait capable de percer les systmes

La complexit calculatoire
Elle peut tre dfinie comme le nombre doprations quun ordinateur doit effec-
tuer pour rsoudre un problme concernant des donnes de taille n. Cette
complexit sexprime par une fonction mathmatique f qui dpend de n soit f(n).
Par exemple, la meilleure mthode possible pour trier n nombres requiert
n.log(n) oprations (au moins n car pour trier il faut dabord lire les nombres).
Les spcialistes de la thorie de la complexit ont alors class les problmes selon
leur facilit de rsolution. Sans entrer dans les dtails techniques, deux grandes
classes ont t identifies.
La classe P des problmes faciles (du moins pour un ordinateur) La fonction
f(n) est en gnral un polynme en n. Pour cette classe de problmes, on connat
toujours un moyen de les rsoudre (au pire en utilisant un ordinateur).
Lautre classe est la classe NP (non polynomiale). Ce sont les problmes que
lon ne sait pas rsoudre sinon en un temps prohibitif ou avec des ressources
mmoire irralistes. La fonction f(n) est alors non polynomiale et mais plutt
exponentielle. A titre dexemple, le problme de la factorisation dun nombre n
(crire tout nombre entier comme produit de nombres entiers premiers, cest--
dire divisibles uniquement par 1 et eux-mmes) requiert environ
e(ln(n).ln(ln(n))) oprations.
En pratique, ds que n est grand, il devient impossible de le factoriser (le record
concerne un nombre de 200 chiffres pour quatre mois de calcul sur des supercal-
culateurs). Rappelons que la cryptologie utilise, dans les systmes dits clef
publique, limpossibilit pratique de la rsolution du problme de la factorisation
pour protger nos donnes. Actuellement, des nombres de plus de 500 chiffres
sont utiliss par exemple dans un logiciel comme PGP1 (Pretty Good Privacy ;
cest le standard de chiffrement grand public ).
Enfin, prcisons que dans la classe NP, il existe une sous-classe de problmes plus
difficiles que les autres appels problmes NP-complets. Cette classe est trs int-
ressante car toute solution qui permettrait de rsoudre en pratique un seul des
problmes de cette classe, permettrait de facto de rsoudre tous les autres probl-
mes NP-complets. Le problme du voyageur de commerce en est un : celui-ci
doit partir de chez lui, visiter n villes et revenir son domicile sans repasser par
une agglomration dj visite. Ds que le nombre de villes est grand (suprieur
400 ou 500), on ne sait plus rsoudre en pratique ce casse-tte.
de chiffrement comme PGP1 ou le systme RSA2. Cet antivirus nexiste pas ! De

quoi relativiser les affirmations de dtection de 100 % des virus, a fortiori inconnus.
1. http://www.pgp.com
2. Le systme RSA (acronyme form du nom de ses trois inventeurs D. Rivest, A. Shamir et L.
Adleman) est un systme cryptologique dont la scurit repose sur la difficult du problme de
la factorisation. Le systme Pretty Good Privacy (PGP) utilise en partie RSA.

9.3 Le fonctionnement des antivirus 111
9.3 LE FONCTIONNEMENT DES ANTIVIRUS
Ils sappuient sur des rgles de dcision que lon peut modliser par des tests statisti-
ques. Ces rgles poursuivent un objectif : dterminer si un code malicieux est
prsent dans un fichier ou dans la mmoire. Elles sappuient sur une base de signa-
tures1 dans le cas de lanalyse de forme ou sur une base de comportements
malveillants2 dans le cas de lanalyse comportementale. Ces banques de donnes
fonctionnent comme un fichier dempreintes digitales ou anthropomtriques de la
police. Il ny a identification possible que si llment incrimin est connu au moins
dans lune des bases utilises. Par consquent, un code ne sera dtect que lorsque la
base de signatures ou de comportements aura t mise jour ou si le code analys
utilise des techniques (comportements) dj rfrences.
Figure 9.1 Les sites des diteurs prsentent chaque jour les dernires menaces.
Mais entre la certitude affiche sur la bote dun logiciel et les techniques relle-
ment mises en uvre, la pratique peut rvler de mauvaises surprises. La
raison relve du marketing. Le logiciel doit tre dune part fluide (pour simplifier, il
ne doit pas ralentir le PC du consommateur et analyser rapidement tout le disque
1. Une signature est une chane de caractres, non ncessairement contigus, qui permet didenti-
fier un programme donn. Cest en quelque sorte lquivalent des empreintes digitales, la dif-
frence notable quune signature virale donne peut tre retrouve dans plusieurs fichiers
diffrents, certains non viraux mais dtects comme tels. Ce sont les fameux faux positifs .
2. Pour reprendre lanalogie de la note 6, de mme quun criminel peut tre identifi par son mode
opratoire, un virus peut tre dcouvert grce aux actions quil tente de raliser. Cest lanalyse
comportementale. Cette technique est entache des mmes dfauts et limitations que son
homologue utilisant les signatures.

dur) et dautre part afficher de bonnes performances (en clair reprer les intrus et les
effacer). Sans ces deux critres, lutilisateur sera tent de le dsactiver ou, pire,
dopter pour le logiciel dun concurrent ! Do la tentation de faire quelques com-
promis techniques. Rsultat : le programme est certes plus rapide pour scanner un
disque dur et plus facile configurer mais son niveau de protection antivirale est
amoindri. Ainsi, sur les quelque 100 000 codes malveillants rpertoris, beaucoup
dantivirus nen grent effectivement que quelques milliers. Un test simple suffit le
vrifier : il consiste soumettre lanalyse un code dj ancien. Ainsi, le ver
MyDoom, qui a frapp en 2003, nest plus dtect en 2006 par certains produits. De
quoi faciliter le travail des apprentis pirates
Le meilleur exemple est sans doute celui de la recherche de signatures quasi-sys-
tmatiquement utilis soit, directement sous diffrentes formes, soit comme phase
finale de processus plus complexes mais galement plus incertains. Dtecter un code
malveillant et lidentifier suppose de disposer dune base de rfrences qui associe un
nom chaque code reconnu.
Une tude pousse de la plupart des produits du commerce (Filiol 2006) a
montr que non seulement ces signatures sont gnralement implmentes de
manire faible, voire trs faible, mais surtout de telle sorte quil est trs facile pour un
pirate de les identifier et de les contourner. Le contournement des produits savre
donc assez facile, comme le prouvent les diffrentes expriences en laboratoire. Il
suffit un pirate de modifier quelques octets dun virus connu pour le rendre nou-
veau indtectable. La mme tude a galement montr que les techniques compor-
tementales, dont le marketing des diteurs vante tout le mrite et le caractre
innovant, peuvent tre contournes de manire similaire.
Quand les antivirus multiplient les fausses alertes

La prcipitation est mauvaise conseillre. A trop vouloir devancer les attaques
des pirates, les diteurs dantivirus publient parfois des mises jour pires que le
mal. En mars 2006, quelques diteurs se sont particulirement distingus.
Le logiciel de lditeur amricain McAfee signalait la prsence du virus W95/
CTX ds quon ouvrait un fichier Excel. En ralit, il sagissait dune fausse
alarme due une mise jour un peu prcipite Selon les paramtres de lutili-
sateur, le fichier suspect, une fois renomm tait transfr dans un dossier diff-
rent, voire carrment supprim. Plus de 1000 personnes auraient signal ce
problme auprs de la socit. Quelques heures aprs la dcouverte et la rvla-
tion par la presse de cette bvue, McAfee diffusait un correctif.
Quelques jours plus tard cest au tour de lantivirus de lditeur Symantec de faire
du zle. Une mise jour de son Norton bloquait la connexion Internet des abon-
ns (essentiellement amricains) au fournisseur daccs AOL (vingt millions
dabonns). Ce logiciel aurait dcid cette mesure radicale aprs avoir dtect
une attaque vers lordinateur de linternaute. En clair, il prenait les serveurs
dAOL pour des repaires de pirates Quelques heures aprs cette bvue, le site
de lditeur publiait un correctif.

9.4 Le contournement des antivirus 113
9.4 LE CONTOURNEMENT DES ANTIVIRUS
Les tudes thoriques menes par Fred Cohen permettent de dmontrer que
lensemble de tous les virus est aussi grand que celui des nombres entiers, autrement
dit en thorie, infini. Il est alors ais de comprendre quun antivirus, quelle que soit
la technique de dtection employe, ne peut pas grer une infinit de codes, lespace
dun disque dur tant par essence limite. Cela signifie quun antivirus nest capable
de grer quune fraction infime, non seulement de tous les virus possibles mais gale-
ment des virus connus, le nombre de ces derniers tant estim environ 100 0001.
Ce constat permet alors de comprendre pourquoi les programmeurs de virus par-
viennent rgulirement contourner ces logiciels de protection. Deux solutions
soffrent eux :
1- Modifier une souche ou une variante dtecte ou crer une souche en sinspi-
rant de techniques virales connues. Lopration est gnralement assez simple
ds lors que lon dispose de lantivirus contourner. Mais ce nest pas toujours
obligatoire puisque la plupart de ces logiciels sont quivalents. Autrement dit,
contourner un produit donn, revient contourner beaucoup dautres
marques. Les expriences menes en laboratoire lont malheureusement
dmontr. Le plus navrant tient au fait que cela ne rclame pas de compten-
ces trs dveloppes. Un simple programmeur y parvient aisment.
2- Crer une nouvelle souche mettant en uvre une nouvelle approche algo-
rithmique. L aussi, lexprience montre que les antivirus sont incapables de
la dtecter. Les recherches menes au Laboratoire de virologie et de cryptolo-
gie de lEcole Suprieure et dApplication des Transmissions ont permis
didentifier, de formaliser et dvaluer techniquement de nouveaux algorith-
mes viraux, encore inconnus. Les rsultats de tests sont sans appel. Les antivi-
rus restent dsesprment muets. Et lanalyse mathmatique des modles
correspondants dmontre quils le resteront jamais.
Le plus ironique tient au fait que ces logiciels doivent la fois grer
limagination des pirates mais aussi sadapter aux volutions techniques de
lindustrie logicielle. Dans le but de dvelopper des protections contre la dcompila-
tion/dsassemblage et plus gnralement lanalyse des programmes, les program-
meurs ont dvelopp des solutions visant compliquer cette analyse. Il sagit des
techniques dobfuscation2. La finalit est dassurer les droits de licence et de limiter
le plus possible le piratage des logiciels. Mais ces techniques sont connues et des logi-
1. Ce chiffre est le plus communment accept en janvier 2006. Il existe des chiffres plus impor-
tants mais plus fantaisistes portant ce nombre 200 000. Aucune information srieuse na
permis dtayer cette donne.
2. Lobfuscation consiste rendre le code tellement inextricable et incomprhensible que son ana-
lyse require ra des comptences et des ressources en temps telles quelle ne sera que difficile-
ment inaccessible pour un humain et trs difficilement possible voire impossible par des moyens
automatiques. Ces techniques incluent des techniques de compression et de chiffrement.

ciels existent (le plus clbre est Armadillo). Ces derniers permettent de protger
facilement un code contre lanalyse. Lorsque ces produits ou ces techniques, pour les
plus efficaces, sont utilises par les auteurs de virus, les antivirus chouent quasi-sys-
tmatiquement dans lanalyse automatique des codes malveillants ainsi protgs.
9.5 LES AUTRES LOGICIELS DE SCURIT
A cot des antivirus, il existe dautres produits prsents comme complmentaires :

Les pare-feux (ou firewall) Ces logiciels surveillent et filtrent le cas chant
tout ce qui entre ou sort dun ordinateur connect un rseau. Cette surveillance
sopre essentiellement par lanalyse des flux de donnes et lanalyse des diffrentes
tentatives de connexion entrantes ou sortantes.
Les anti-spywares Ils recherchent les bouts de logiciels contenus souvent dans
dautres programmes (commerciaux, shareware et freeware) et dont la fonction
consiste collecter des informations sur votre machine, vos habitudes informati-
ques. Une fois rcupres, les spywares les envoient des sites chargs de les exploi-
ter, le plus souvent des fins commerciales (proposition commerciale via le courrier
lectronique, par exemple). Certains spywares sont susceptibles de raliser des
actions nettement plus offensives.
Figure 9.3 Il faut tre informaticien ou maitriser son jargon pour prendre la bonne dcision !

9.5 les autres logiciels de scurit 115
Les anti-spam Ces logiciels (voir chapitre 6) ont pour fonction de filtrer le
courrier lectronique non dsir qui inonde nos botes aux lettres lectroniques. Outre
leffet dengorgement, ces courriers sont souvent le vecteur dattaques informatiques.
La plupart des diteurs dantivirus proposent des suites logicielles dans lesquelles
sont intgrs tous ces produits. Quelle scurit supplmentaire offrent-elles
rellement ? En fait, si elles concourent clairement augmenter le niveau de protec-
tion dun ordinateur, elles prsentent les mmes limites quun antivirus et ne seront
jamais un rempart absolu. La problmatique de scurit est identique celle concer-
nant les antivirus : il nest pas srieux de prtendre arrter ou empcher une attaque
a priori, si cette dernire est innovante ou inconnue. De plus, ces produits sont plus
dlicats configurer, en particulier pour un utilisateur ne maitrisant pas les rouages
de linformatique et ses messages abscons. Combien dinternautes ont reu un petit
message de leur pare-feu leur demandant daccepter ou non la demande de con-
nexion dune application sans comprendre le moindre mot utilis ? Certainement la
majorit du grand public abonn aux offres dinternet haut dbit ! Encore une fois,
les diteurs de ces logiciels laissent la responsabilit aux utilisateurs
Les diteurs ont de la suite dans les ides !

Faut-il acheter un pack rassemblant diffrents logiciels de scurit ? Lditeur y
trouve plus un intrt que linternaute. Il est rare en effet quun diteur propose
un antivirus, un firewall et un antispam qui soient aussi performants. Ainsi,
ZoneLabs est rput pour son pare-feu ZoneAlarm Pro mais son antivirus ne
remporte pas autant dloges. De son ct, Symantec a un pare-feu correct mais
son antispam et son antivirus ne sont pas aussi efficaces. Constat inverse pour
Bitdefender. Seuls, deux diteurs semblent sortir du lot. Il y a tout dabord
Kaspersky et sa Personal Security Suite (80 ). Elle permet de bnficier
dune protection satisfaisante grce son antivirus, son firewall et son antispam.
Le F-Secure Internet Security 2006 (80 ) de lditeur F-Secure offre aussi un
bon compromis. Mais il est rserv des ordinateurs puissants car ce logiciel est
trs gourmand en ressources et exige un processeur trs puissant.
En rsum
La lutte antivirale est condamne, par dfinition, une situation de raction. Un
antivirus ne sert-il rien ? Absolument pas ! Mais il ne faut pas lui prter plus de
vertus quil nen a. Dans une politique antivirale, ce logiciel ne reprsente que le
bout de la chane et du processus de rflexion du responsable de scurit. En
dautres termes, limiter une politique antivirale au dploiement et lutilisation
dun antivirus, aussi bon soit-il, est le meilleur moyen, pour avoir terme des pro-
blmes.

10
Les systmes de dfense
des rseaux dentreprise
Les entreprises reprsentent de nos jours des cibles privilgies pour les attaques infor-
matiques. Elles constituent en effet une part essentielle du patrimoine industriel,
intellectuel et conomique dun pays. Mais la conscience de leur importance strat-
gique, du moins en France et dans les pays latins, est encore souvent marginale et il
est sidrant de constater quil est encore trop souvent facile dattaquer une entreprise
via ses ressources informatiques : vol de donnes de recherche et dveloppement, vol
de fichiers clients ou de tarifs, atteintes aux personnes dirigeantes et dstabilisation
de lentreprise, atteinte la disponibilit des ressources de lentreprise Plus grave
encore, si les entreprises commencent intgrer la notion de scurit des systmes
dinformation, elles ont encore du mal penser en termes de scurit de linforma-
tion. Autrement dit, une vritable culture dans ce domaine doit tre dveloppe pour
que les entreprises pensent instinctivement en termes de scurit globale.
Cette pense doit se concrtiser par une politique de scurit, en relation avec
une politique fonctionnelle : je dcide de ce que je dois faire et avec quels moyens,
puis je dtermine le besoin et le niveau de scurit souhait et jadapte la mission et
les outils cette scurit, et non linverse . Il est donc important de faire de la scu-
rit une priorit. Si la politique fonctionnelle est tablie en premier (cest le cur de
mtier), elle doit ltre en adquation avec la scurit finale voulue.
Pour ce faire, deux personnes ont un rle fondamental dans lentreprise, deux
personnes qui devraient collaborer en permanence, et lexprience prouve que les
problmes de scurit proviennent souvent dun manque de communication et de
comprhension entre ces deux acteurs.
Le dirigeant dentreprise : ce dernier ignore malheureusement souvent quil
peut tre pnalement et civilement responsable dun dfaut de scurit, des
responsabilits qui peuvent le conduire en prison ou grever les ressources

118 Chapitre 10 . Les systmes de dfense des rseaux dentreprise
financires de son entreprise en cas damendes souvent trs lourdes. Il est

galement responsable devant les actionnaires qui peuvent lui demander des
comptes en cas de problmes de scurit ayant port atteinte lactivit de
lentreprise (vol de donnes par exemple).
Lofficier de scurit (ou RSSI) : il a la responsabilit de dfinir en liaison
avec le dirigeant la politique de scurit (dans le respect de la rglementa-
tion), les moyens y consacrer et la manire de lappliquer. Une fois en place,
cette politique de scurit doit tre constamment contrle, value et le cas
chant, affine. Ce dernier doit prendre galement en compte les problmes
de sret de lentreprise (incendie, dgts des eaux, risques lectriques)
pour avoir une vision globale de la scurit. La scurit est ensuite gre selon
la technique du cercle Prvention Dtection Raction Reprise 1.
Actuellement, selon les chiffres fournis par le CLUSIF, 56 % des entreprises
seulement disposent dune telle politique de scurit et seules 48 % sappuient
sur les normes existantes dans ce domaine.
Entre ces deux acteurs, le dialogue doit tre permanent et aucune interfrence ne
doit perturber cette collaboration. On voit trop souvent des dirigeants ngligeant les
conseils aviss de leur RSSI pour suivre les conseils intresss et par toujours per-
tinents de consultants et autres commerciaux. Le dirigeant dune entreprise ne doit
jamais oublier que la scurit est avant tout un processus de pense et non laccumu-
lation plus ou moins heureuse de produits de scurit. Lexprience et le bon sens de
son RSSI sont les meilleurs atouts sur lesquels il doit pouvoir compter.
10.1 LES MENACES CONTRE LENTREPRISE
Elles sont beaucoup nombreuses et omniprsentes, mais nous nen avons pas
toujours conscience :
La plupart des dirigeants dune entreprise : lors dune expertise judiciaire
auprs dune socit parisienne2 spcialise dans le conseil et traitant de
dossiers sensibles, le dirigeant de cette socit a dcouvert quil avait fait
lobjet dune attaque informatique cible dune grande ampleur visant lui
drober des donnes concernant plusieurs de ses dossiers sensibles ; cest ce qui
avait motiv lenqute, initie par la plainte dun des clients de cette socit.
Alors que cette dernire possdait lquipement de base (antivirus, pare-
feu et une architecture peu prs correcte) en matire de scurit, ses
employs et ses cadres navaient aucune culture de scurit et nimaginaient
pas quune telle attaque fut possible. Ils nimaginaient mme pas quils puis-
1. Lire ce propos larticle excellent de Philippe Bouvier Le cercle de la scurit du systme

dinformation , MISC Le journal de la scurit informatique, numro 10, novembre 2003.
2. Les cas prsents ici ont t dmarqus pour des raisons de confidentialit et du respect du
secret de linstruction.

10.1 Les menaces contre lentreprise 119
sent intresser des attaquants. Erreur fatale mais hlas rpandue ! De trs
nombreuses entreprises nont mme pas conscience quelles peuvent tre
lobjet dune attaque cible et qu ce titre la vie mme de leur entreprise est
en jeu. Elles squipent dun antivirus et de quelques logiciels de scurit et les
choses sarrtent l. Nous constatons que chez les PME, 80 % du budget
scurit est dvolu lachat de solutions de filtrage rseau ou la scurit du
poste de travail. Le test dintrusion est pour elles une prestation de luxe ! Il
intervient le plus souvent larrive dun nouveau DSI, ou la cration dun
poste de RSSI ou aprs un incident , observe Herv Schauer, du cabinet
Herv Schauer Consultants. Une dcision qui nest donc pas vraiment prise
titre prventif, ce qui constitue un mauvais point de dpart toute politique
srieuse de scurit1.
Les grands comptes : ils sont familiers avec ce type de prestation. Leurs qui-
pes charges de la scurit savent tirer rapidement profit du rapport dintru-
sion. Les PME, par contre, auraient plutt besoin dun accompagnement
presque pdagogique, didactique. Justement, les consultants ont su adapter
leurs offres au budget et aux attentes des petites entreprises. Ce que nous
vendons aux PME est en ralit une prestation hybride entre un test de vuln-
rabilit, un test dintrusion et une prestation de conseil en scurit , explique
Cyrille Barthelemy, consultant scurit chez Intrinsec. Un service effectu le
plus rapidement possible (trois jours le plus souvent) et pour un cot rduit
(gnralement autour de 3 000 euros HT).
Si cet tat de fait concerne essentiellement les PME/PMI, les grandes socits ne
sont pas non plus labri. Lexprience montre, l aussi, que si lapproche technique
de la scurit des SI est peu prs bien prise en compte, le risque est insuffisamment
pris en compte, voire nettement sous-estim, notamment en ce qui concerne les
attaques cibles. La raison en est que contrairement aux pays anglo-saxons et asiati-
ques qui dans le domaine ont dvelopp une vritable culture de la scurit les
pays latins ont encore une perception nave des attaques. Alors que la scurit
gnrale, et en particulier celle des SI devrait sinscrire dans une dmarche globale
de renseignement, elle nest le plus souvent perue que comme une activit
tactique de plus au mme titre que lactivit de RH, de gestion financire ou
autre, alors quelle devrait tre vue au plan stratgique.
Quels sont les diffrents risques ? Dans un monde de concurrence commerciale
acharn et sans piti, tous les moyens sont bons et la dpendance vis--vis des SI est
telle, que ces derniers constituent le vecteur rv : universel, omniprsent, discret, il
permet datteindre les personnes et les ressources. Voici une prsentation non
exhaustive des risques :
Vol de donnes2 (donnes de recherche, clients, contrats) : si laffaire Valo
en 2005 a fait la une des journaux en France, laffaire des logiciels israliens
professionnels contenant des chevaux de Troie a autrement frapp les esprits
1. Scurit: les tests d'intrusion se mettent la porte des PME , Zdnet, 2/01/2006.

dans le monde. Ces logiciels taient vendus des socits et les codes daccs
des chevaux de Troie vendus, eux, aux concurrents de ces socits. Plusieurs
pays semblent avoir t victimes et laffaire est toujours en instruction. Cela
illustre le fait quen termes de logiciel de scurit, notamment destination des
administrations et des entreprises, des logiciels nationaux sont prfrables.
Vol de ressources. En 2005, une vingtaine de pirates ont pntr les serveurs
dune entreprise et les ont utiliss, de manire discrte, pour distribuer des
contenus illicites (vidogrammes, phonogrammes, logiciels pirats) sur Inter-
net. Outre le fait, dans la phase initiale de lenqute, dtre souponne
davoir elle-mme organise cette diffusion, les ressources propres de cette
entreprise taient vampirises par les pirates.
Atteinte la disponibilit. Les cas sont trs frquents o, par un simple dni
de service commandit par un concurrent, une socit se retrouve prive,
souvent un moment crucial pour la vie de lentreprise, de ses donnes ou de
ses serveurs. Imaginons limpact dune socit de vente en ligne prive de son
serveur web pendant quelques jours. Il existe de nombreuses autres techniques
permettant de raliser des indisponibilits plus ou moins longues. Selon le
rapport 2005 du CLUSIF, prs de 75 % des entreprises audites ont une
dpendance forte (une indisponibilit de moins de 24 heures a de graves
consquences sur lactivit) alors que seulement 2 % avouent une dpendance
plutt faible.
Extorsion de fonds. Ce cas-l est survenu en 2005 aux Etats-Unis, dans
plusieurs grandes socits avec des codes malveillants comme le ver
Trojan.PGPCoder. Les donnes des disques durs ont t chiffres et la clef
tait demande contre une ranon. Ainsi, en avril 2006, des codes malicieux
comme Crypzip ou Ransom.A ont t utiliss pour pratiquer ce genre dextor-
sion numrique.
Atteinte lintgrit. Les donnes sont dtruites ou altres de manire ala-
toire. Imaginons une modification alatoire de 5 % des rsultats de recherche
dun laboratoire pharmaceutique sur un nouveau mdicament.
Atteinte limage de lentreprise. Le simple dfaage dun site web peut
avoir des consquences dramatiques et nuire gravement une socit. En
2005 et en France, cela a constitu 3 % des sinistres informatiques.
Atteinte aux personnes. Cest probablement la moins connue des attaques
potentielles. Elle nen est pas moins redoutable. Elle autorise toutes les mani-
pulations possibles. Imaginons un dirigeant dentreprise devant ngocier un
gros contrat. Son concurrent peut tout simplement lui nuire personnellement
pour le discrditer auprs de ses clients. Couple une publicit adquate,
lopration peut tre extraordinairement efficace.
2. Un excellent cas, tir dune autre affaire relle qui a fait grand est celui prsent par D. Bni-
chou et S. Lefranc Lopration Carbone 14 Actes de la confrence SSTIC 2003. Disponible
sur http://www.sstic.org/ . Cette attaque cible, contre un SI pourtant trs protg, permet de
voir quune architecture scurise nest pas suffisante.

10.2 Larchitecture dun rseau scuris 121
Dsinformation. L aussi, il existe de nombreux cas tristement clbres o de

fausses informations ou des rumeurs, ont eu des consquences gravissimes sur
le cours des actions de grandes entreprises. Imaginons un serveur de message-
rie dune entreprise pirat par un concurrent qui lutiliserait pour diffuser de
fausses nouvelles sous lidentit de la socit victime (son service de presse
officiel par exemple)1 et ainsi affoler les marchs financiers.
Sabotage physique de matriels informatiques (prs de 3 % des sinistres en
France et en 2005).
Les scnarii ne manquent pas et pour la Direction pour la protection et de la

scurit de la dfense2 charge de la protection des socits travaillant pour la
Dfense aucun ne relve de la science-fiction. La plupart exploite non seulement
des faiblesses dordre technique dans les SI, mais surtout des aspects non techniques
qui peuvent nanmoins avoir un impact trs important sur ces derniers : facteur
humain, aspect organisationnel.
10.2 LARCHITECTURE DUN RSEAU SCURIS
Face ces menaces multiples, la rgle dor est dorganiser des primtres de scurit.
Il faut cloisonner et bunkriser tout ce qui doit ltre. Mais il nexiste pas de
rgle toute faite : cest la politique de scurit locale qui doit dicter les choix et non
pas linverse, encore une fois.
Une politique de scurit efficace, en matire darchitecture rseau, intervient
diffrents niveaux :
Entre du rseau,
Serveurs,
Ordinateurs des utilisateurs.
10.2.1 La DMZ (zone dmilitarise)

Le principe gnral dune architecture rseau scurise est de disposer dune ou de
plusieurs machines dites machines bastion , lesquelles servent de rempart face
aux attaques venant de lextrieur (principalement Internet). Toutes les ressources
sensibles doivent donc imprativement tre situes derrire le ou les bastions. Si ces
derniers sont compromis, tout le rseau tombe. Le cas le plus connu de machine
1. Cet exemple est inspir dun cas rel survenu en juin 2006 et qui a frapp le service de presse
officiel du ministre de la dfense de Taiwan. Une trs grande socit franaise, partenaire dans
le projet Galileo, a galement t victime dune msaventure en 2003. La sanction a t
radicale : le cours de son action t divis par 10.
2. Cet organisme du ministre de la Dfense a pour mission de veiller la scurit du personnel,
des informations, des matriels et des installations sensibles relevant de la dfense nationale.

bastion est constitu par le routeur daccs au rseau et par le pare-feu. Cela inclut
galement les serveurs pour tous principaux services utiliss : web, FTP, courrier
lectronique, DNS Mais les machines bastions doivent galement tre prot-
ges. Le principe est alors dutiliser une zone particulire appele DMZ (zone dmi-
litarise). Cette zone est le concept fondamental de scurit autour duquel tout
rseau doit tre architectur. Elle va jouer le rle de zone tampon entre le rseau
interne considr comme de confiance et abritant les ressources internes de
lentreprise et un rseau non matris et donc potentiellement dangereux (typi-
quement le rseau Internet mais cela peut inclure une partie plus large dun rseau
dentreprise ouverte sur lextrieur). La DMZ a pour rle disoler les machines publi-
ques grant un certain nombre de services (DNS, courrier lectronique. FTP,
http) du rseau critique interne (voir figure 10.1)
Figure 10.1 La zone dmilitarise
Il est essentiel de noter que si la DMZ est une tape initiale essentielle dans la
scurisation dun rseau, elle ne se suffit pas elle-mme. Dautres aspects doivent
tre pris en compte.
10.2.2 Le serveur proxy

Lutilisation dun pare-feu est ncessaire pour assurer la protection au niveau du
protocole TCP/IP, en filtrant ce dernier mais il ne prend pas en compte les autres
protocoles et services. Pour cela, il faut ajouter de nouveaux lments.

10.2 Larchitecture dun rseau scuris 123
Figure 10.2 Le serveur Proxy
Le premier est le serveur proxy, que lon peut considrer comme un pare-feu
applicatif. Il va par exemple assurer les fonctions de cache de pages web, le filtrage
des URL (protocole HTTP), grer les authentifications des utilisateurs En gros, ce
proxy va jouer le rle de relais entre lutilisateur (le client) et le serveur sollicit. Il
va en particulier effectuer certains contrles, le plus courant tant celui des requtes
web. Le navigateur, pour se connecter une page donne, va tout dabord se connec-
ter au serveur proxy. Ce dernier ensuite se connecte lui-mme au serveur hbergeant
rellement la page demande. Cela permet dune part de ne pas directement mettre
en contact les utilisateurs internes dune entreprise avec le rseau extrieur (Inter-
net) mais dautre part, il est ainsi possible de contrler laccs certains sites, inter-
dits par la politique de lentreprise (sites pornographiques, sites de logiciels
pirats). Bien videmment, le serveur proxy est plac dans la DMZ pour augmen-
ter la scurit.
10.2.3Le serveur reverse proxy

Ce serveur a un rle invers de celui du proxy. Il protge un serveur de lentreprise
contre les attaques potentielles dun utilisateur extrieur lentreprise (typiquement
un internaute). Ce dernier ne se connecte pas directement au serveur, lequel nest
pas directement expos. Le serveur de reverse-proxy peut ainsi filtrer et analyser les
requtes extrieures, exiger une authentification Il interdit galement au pirate de
scanner les ports du serveur en question.
Figure 10.3 Le serveur reverse proxy
Tous ces lments (DMZ, serveurs proxy et reverse proxy) doivent tre articuls
de sorte que si un lment est victime dune attaque, les autres doivent pouvoir pren-
dre le relais. Autrement dit, aucune relation de dpendance ne doit exister, en ter-
mes de scurit, entre ces divers composants. Seuls des audits constants, des tests de

scenarii dintrusion lesquels font partie intgrante du travail du RSSI en liaison

avec son administrateur rseau pourront confirmer la validit dune architecture
rseau scurise.
Il est crucial de garder lesprit que si une bonne architecture rseau scuris est
un bon dbut et un prrequis indispensable, ce nest en soi pas suffisant. Il est la pice
matresse dune politique qui doit tre plus large et intgrer bien dautres aspects. Ces
derniers impliquent des ressources critiques et qui souvent ne sont pas suffisamment
bien gres dans le contexte de la scurit des SI : le temps, largent et le personnel.
Une ngligence dans leur gestion constituera ainsi autant de zones de faiblesses
quun attaquant peut connatre par avance (sil est bien inform sur lentreprise) et
saura utiliser.
10.3 LE TEMPS
Aussi surprenant que cela puisse paratre, cest la premire des ressources critiques.
Bien avant largent ! Il est souvent possible dconomiser des crdits en donnant suffi-
samment de temps aux divers acteurs impliqus dans la scurit des SI. Ce temps
concerne essentiellement la veille technologique et la sensibilisation des utilisateurs.
Linformatique volue presque tous les jours (nouvelles attaques, nouveaux pro-
duits, nouveaux concepts). Sans une veille technologique permanente et cons-
quente, la scurit dune entreprise dans ce domaine deviendra trs vite dpasse et
obsolte. La simple hygine logicielle (recherche et applications des correctifs)
requiert un temps non ngligeable. Et cela ne reprsente quune partie de la veille
technologique ncessaire ! Six tapes doivent tre considres1 :
Dfinition des besoins et rcupration dinformations internes lentreprise.
Dfinition des sources (quantification et qualification).
Collecte des informations.
Analyse et synthse des informations.
Diffusion du renseignement.
Scurisation su S.I.
Le meilleur exemple dune telle lacune est celle de lattaque par le ver Sapphire/
Slammer en janvier 2003. Elle utilisait une vulnrabilit connue et corrige depuis
plus de six mois. Pourtant, 200 000 serveurs ont t gravement victimes de ces atta-
ques. Lexprience montre dailleurs que ce genre de lacunes concerne galement les
grandes entreprises.
1. Le lecteur pourra consulter lexcellent article de Marc Brassier, Mise en place dune cellule de
veille technologique , MISC Le journal de la scurit informatique, numro 5, janvier 2003.
Ce dernier est trs complet et dcrit dans le dtail la politique tenir dans le domaine de la
veille technologique, en fonction de la taille de lentreprise.

10.4 Largent 125
Selon la taille de lentreprise, cette veille sera faite par le RSSI en liaison avec
ladministrateur rseau ou systme par exemple, ou bien par une cellule spcialise
(cot annuel approximatif de 50 000 euros par an).
Le second volet qui rclame du temps est la sensibilisation des personnels. Elle
est indispensable. Pourtant, les diffrents audits montrent quelle est systmatique-
ment nglige. En 2005, seules 30 % des entreprises de moins de 500 salaris dispo-
sent de programmes de sensibilisation (source : CLUSIF). Les utilisateurs doivent
tre rgulirement tre informs des risques, des volutions et des points essentiels
de la politique de scurit (en particulier les interdictions mais galement les con-
duites tenir en cas dincidents). Lexprience montre que des utilisateurs informs,
sensibiliss et responsabiliss participent activement et efficacement une meilleure
scurit informatique globale.
De grandes entreprises comme Boeing lont compris. En avril 2006, Janette Jar-
vis, responsable du pole scurit chez Boeing, a expliqu lors de la confrence
EICAR 2006 Hambourg, que les sensibilisations en matire de scurit informati-
que taient obligatoires, raison de deux par an. Elles concernent tous les person-
nels (du simple employ aux dirigeants), lesquels faisaient lobjet dune valuation.
En cas de non participation, des sanctions gradues sont prvues (blmes, retenues
financires, renvoi).
Enfin, du temps doit tre consacr aux contrles et lvaluation de la mise en
place de la politique de scurit.
10.4 LARGENT
La seconde ressource essentielle est largent. Il nest jamais facile pour un dirigeant
de financer une politique prventive en matire de scurit des SI. Le meilleur
exemple de la difficult de perception dans ce domaine concerne le fameux bug de
lan 2000 . Alors que plusieurs milliards deuros avaient t consacrs la gestion
anticipe du risque, de nombreuses voix se sont leves, aprs coup pour contester la
ncessit dun tel investissement alors que finalement aucun problme srieux na
t enregistr. Cest l un cas typique de mauvaise perception. La bonne attitude
aurait t de reconnatre que linvestissement ralis a prcisment permis dviter
de gros problmes. Trop souvent encore, les entreprises ne ralisent quaprs un
sinistre informatique la ncessit dune politique fonde sur lanticipation et la
prvention. Or, comment convaincre un dirigeant quand tout va bien ?
Selon lenqute IDC Scurit 20051, les dpenses informatiques globales sur le
march professionnel en France devraient atteindre en 2005, 41 009 M, en crois-
sance de 3,5 %. Les dpenses de scurit informatique, des entreprises et des admi-
1. 103 entretiens raliss auprs dun panel de grandes entreprises et administrations en France,
composes 45% de plus de 2000 salaris et 55% de 1000 1999 salaris. Novembre 2005.

nistrations atteindraient 1 113 M, en hausse de 17,4 % (contre 15,4 % de hausse

entre 2004 et 2003).
Parmi ces dpenses de scurit informatiques en 2005 :
les services reprsentent 612 M (55 %) en hausse de 15,5 % ;
les logiciels reprsentent 405 M (36,4 %) en hausse de 16,4 % ;
les appliances (botiers physiques intgrant une ou plusieurs fonctionnalits
(pare-feu/
VPN, anti-virus, anti-spam, prvention et dtection dintrusion) reprsentent
96 M (8,6 %) en hausse de 37,1 %.
les cartes puce, dont le taux de croissance en volume attendu sur 2005 est de
18 %
avec 1 727 millions dunit aprs une croissance de 12 % en 2004 ;
les systmes biomtriques, qui devraient reprsenter environ 1 Md$ au niveau
mondial en 2007.
Toutefois selon le CLUSIF1, une part significative des entreprises, soit 21 %, ne

semble pas en mesure didentifier cette dpense. Cela est principalement d au fait
que ce budget na pas une dfinition trs claire ou un primtre bien dlimit. Le
CLUSIF note cependant que dune manire gnrale, le budget dans ce domaine est
la hausse pour 38 % des entreprises ou la stabilisation pour 46 % dentre elles. Le
pourcentage du budget scurit par rapport au budget informatique total est donn
dans la figure 10-4 (source CLUSIF). Le plus surprenant est que la part de ce budget
scurit ne prend pratiquement pas en compte la formation, continue ou non, des
personnels, ni leur sensibilisation rgulire.
Figure 10-4 Pourcentage du budget informatique consacr la scurit
1. Club de la Scurit de lInformation Franais, Politiques de scurit des systmes dinformation et

sinistralits en France, Rapport 2005.

10.5 Le personnel 127
10.5 LE PERSONNEL
La dernire et non la moindre des ressources considrer est le personnel. Il est

essentiel de garder lesprit que dans prs de 70 % des cas, lorigine dun sinistre est
interne, ce qui illustre la ncessit dune gestion rigoureuse du personnel : slection,
sensibilisation et formation, et sanctions.
Selon le CLUSIF, pour 58 % des entreprises en 2005, la fonction de RSSI nest
pas formellement dfinie. Autrement dit, il nexiste aucun personnel spcifique
prvu dans les effectifs. Elle alors soit assure par le personnel au sein du domaine
informatique (administrateur rseau par exemple) dans 84 % de ces cas ou, pour le
restant (16 %) par des responsables de haut niveau non spcialiste du domaine. Mais
quand cette fonction existe, elle nest exerce souvent qu temps partiel. Le plus
souvent, le RSSI est seul (63 % des entreprises en 2005 contre 5 personnes dans 5 %
des cas). La situation est donc loin dtre idale.
Un autre aspect essentiel mme sil est plus dlicat grer concerne la fiabi-
lit du RSSI et des personnels impliqus dans la scurit des SI. Il est essentiel de se
rappeler que ces personnels (RSSI, administrateur) sont en quelque sorte
les gardiens des clefs . Ils ont accs toutes les ressources de lentreprise. Une con-
fiance totale doit pouvoir leur tre accorde mais avec un certain contrle. Il est assez
surprenant de constater que dans beaucoup dentreprises, aucun contrle du RSSI
nest mis en place. Deux exemple rels mais dmarqus permettent dillustrer cela :
En 2004, le responsable audit dun trs grand groupe franais est lourde-
ment impliqu dans un grave sinistre informatique. Ses actes ont t dicts
par le manque dargent d un train de vie dispendieux et sans proportion
avec son salaire. Lenqute a montr que non seulement aucune recherche de
base navait t entreprise concernant sa moralit et ses antcdents lors de
son recrutement mais quaucun suivi ou surveillance navaient t mis en
place, et ce malgr la trs grande sensibilit de sa fonction. Ce cas nest
malheureusement pas isol. Le poste de RSSI est un poste de grande confiance
et ce titre un certain nombre de prcaution doivent tre prises. Certes, dans

notre socit o la gestion de la scurit empite trs vite trop vite sur
les liberts de lindividu, sassurer de la confiance dun personnel nest pas
chose aise. Des enqutes de scurit voire de moralit le terme peut
sembler outrancier mais ce concept est pris en compte dans certains secteurs
dactivit peuvent permettre de limiter les risques lors dun recrutement.
En 2005, une PME victime despionnage par codes malveillants a t incapa-
ble de fournir les mots de passe administrateurs de ses serveurs. Aucun de ses
personnels ne les connaissait. Seule la socit de service paye pour la mainte-
nance du systme informatique les connaissait. Grave dpendance qui se
rvla fatale dans la gestion urgente de la crise et les possibilits denqutes.
Ce point amne le problme de la sanction en cas de faute ou de lacune grave. L

encore, les possibilits sont fortement limites par une socit o la notion mme de

sanction est considre comme ractionnaire. Prenons le cas du monde militaire

(tous pays confondus). Lavance en matire de scurit des systmes dinformation,
par rapport au monde civil, tient en grande partie aux sanctions rglementaires1: le
volet rpressif est une partie intgrante dune politique de scurit cohrente.
Dans le monde civil, une telle politique est difficile mettre en uvre si elle ne
relve pas directement du pnal. Renvoyer un personnel coupable de graves man-
quements en matire de scurit des SI est encore une sanction dlicate appliquer.
Dune manire gnrale, la gestion classique de chaque utilisateur passe par la
signature dune charte de scurit, contenant les rgles internes lie la politique de
scurit, les interdictions. En 2005, seule la moiti des entreprises utilisent ce
genre de charte. Or une telle charte permet de fixer certaines rgles par avance et
davertir les employs, leur interdisant par la suite, de prtendre lignorance de ces
rgles. Cette charte est souvent loccasion de prciser les interdits en matire de SI.
Ainsi, en 2005, en France, les interdictions les plus frquentes concernent :
Laccs Internet partir dune poste non matris (76 % des entreprises).
Lutilisation de la VoIP (73 % des entreprises) et du Wi-fi (43 % des entrepri-
ses).
Lusage de PDA ou de smartphones (43 % des entreprises).
Laccs au SI en situation de mobilit, comme la connexion de lextrieur
(20 % des entreprises).
Certes, signer cette charte ne signifie pas que les rgles seront respectes. Com-
ment en effet contrler linterdiction de connexion de PDA au SI interne ? Mais en
cas de manquements, le dirigeant disposera dune plus grande marge de manuvre
en termes de sanctions. Il est essentiel de faire de toute charte un outil de sensibili-
sation et de prvention. Sa rdaction doit tre prcise et rigoureuse en mme temps
que pdagogique. La sanction ne doit intervenir quen cas extrme.
Enfin, la gestion du personnel doit passer par une implication de tous les instants
dans la (sur)vie de lentreprise. Les salaris doivent tre sensibiliss au fait que si le
SI reprsente un facteur de risque, llment humain en est le point faible et le plus
difficile grer. Le problme de lingnierie sociale voque dans le chapitre 2 nest
pas le seul aspect. La discrtion professionnelle en est un autre. Les attaquants, via
les salaris, peuvent collecter en milieu ouvert (salons, restaurants, transports,
cercle familial) bien des informations relativement anodines qui compiles et
croises vont permettre dattaquer le SI. Il importe donc de sensibiliser tout salari
la notion fondamentale de discrtion professionnelle.
1. En France, le rglement de discipline des armes sanctionne tout non respect de rgles en
matire de scurit informatique comme une faute professionnelle trs grave (motif 502). Une
sanction disciplinaire de 20 40 jours darrt est applicable, indpendamment des ventuelles
sanctions pnales et/ou civiles.

10.5 Le personnel 129
Il est navrant de constater que cette rgle pourtant simple non seulement est
rarement respecte mais surtout que son non respect est lorigine de nombre datta-
ques finales contre le SI de lentreprise.1
En rsum
La dfense des rseaux dune entreprise, et plus gnralement de son systme
dinformation, doit considrer plusieurs aspects. Ils ne sont pas uniquement techni-
ques. Si disposer dune architecture rseau scurise est indispensable, ce nest pas
suffisant. La dfense doit galement intgrer une gestion cohrente des utilisateurs
(recrutement, formation, sensibilisation) et des ressources. Le plus difficile est sans
aucun doute de concilier le besoin de scurit de lentreprise avec le droit du
salari . La simple consultation du courrier lectronique ou des rpertoires dun
salari dans le SI de lentreprise nest pas aussi vidente et aise quil peut sembler.
Linterprtation dun arrt de la Cour de cassation (chambre sociale, du 2 octobre
2001 arrt Nikon) montre que les situations peuvent tre dlicates grer. En
cas de mauvaise interprtation, elles peuvent conduire le dirigeant devant la
justice1. Le RSSI doit donc possder sinon une forte culture en droit li aux nou-
velles technologies de linformation, du moins une bonne connaissance, actuali-
se, des textes rglementaires en la matire. Le dirigeant a tout intrt lui laisser
du temps pour cet aspect capital de la scurit du SI dentreprise.
1. Lire ce propos lexcellent article de Marie Barel, (In)scurit du systme dinformation : quel-
les responsabilits ? Actes de la confrence SSTIC 2006, http://www.sstic.org

11
La protection des donnes
La dfinition officielle dun systme dinformation1 celle retenue par les services
de lEtat est la suivante : Tout moyen dont le fonctionnement fait appel
llectricit et destin laborer, traiter, stocker, acheminer, prsenter ou dtruire
de linformation .
Dans cette dfinition, il apparat quun systme dinformation est constitu de deux
parties : la partie matrielle (le hardware) et la partie information, laquelle comprend
les informations traitantes (le systme dapplication et les logiciels rassembls sous le
vocable de software) et linformation traite. Si la protection du matriel est relative-
ment aise un simple contrle daccs physique suffit dans la plupart des cas, celle
des donnes, quelles soient traitantes ou traites, est beaucoup plus dlicate. Cela
tient en partie au fait que linformation interagit avec dautres informations, quelle est
gre par du matriel et, enfin que, mobile par nature, elle est communique des tiers
lgitimes ou non (on est alors dans le cas dune interception).
Comme il a t vu dans le chapitre 2, la scurit de linformation repose sur trois
piliers fondamentaux :
la confidentialit : les informations ne doivent tre accessibles quaux seules
personnes autorises ou habilites.
lintgrit : les informations (un fichier systme par exemple) ne doivent tre
modifies que par une action lgitime et volontaire.
la disponibilit : le systme doit rpondre aux sollicitations des utilisateurs
autoriss (accs aux informations, action particulire,) dans le dlai imparti
par le cahier des charges, propre chaque application et/ou systme.
Mais ct de la scurit des informations, un autre aspect, souvent nglig, con-

cerne la sret des informations.
1. La scurit des systmes dinformation. Disponible sur http://www.esat.terre.defense.gouv.fr/for-

mation/cursus/cpc/doc_sic/ssi.pdf

132 Chapitre 11. La protection des donnes
Figure 11-1 Il y a une diffrence entre sret et scurit.
La sret des informations concerne lensemble des techniques destines prot-

ger ces informations contre les atteintes non malveillantes sexerant le plus gnra-
lement via le support de linformation (le hardware ou assimil). En premire
approche, il sagit de protger le support contre les effets des lois de la Nature. Nous
allons dvelopper ce point dans la prochaine section. La scurit quant elle a pour
objectif de grer les attaques malveillantes, qui visent les informations elles-mmes.
La notion de malveillance impliquant un caractre dadaptabilit de la menace la
protection, rsume dans limage du duel bouclier contre pe.
Rappelons, avant dentrer dans le dtail, ce que lon entend par donne sensible.
Il existe aux regards de la lgislation franaise les autres pays ont des visions simi-
laires deux types de donnes :
les informations relevant du secret de dfense (confidentiel dfense, secret
dfense, trs secret dfense, secret OTAN) et dont la divulgation ou la
compromission, volontaire ou non, est sanctionne par le Code pnal de lour-
des peines de prison et damendes. Elles concernent tous les ministres et
industriels impliqus dune manire ou une autre dans les moyens et la politi-
que de dfense de notre pays. La protection de ces donnes est obligatoire et
fait lobjet de textes de lois spcifiques ;
les informations dites sensibles mais ne relevant pas du secret de dfense :
confidentiel mdical, confidentiel personnel, confidentiel industrie (hors
dfense), confidentiel transport Elles relvent gnralement du secret ou de
la discrtion professionnels. La protection de ces donnes est conseille.

11.1 La sret de linformation 133
11.1 LA SRET DE LINFORMATION
La notion datteinte non malveillante dsigne essentiellement les perturbations que

les lois de la Nature (panne dun appareil, rayures sur un CDROM, bruit de fond lors
dune transmission arienne). La caractristique de ces perturbations est que son
comportement statistique est parfaitement connu et modlis. Or, dans une situa-
tion de protection, lorsque lon est en situation de pouvoir prdire lvolution des
atteintes , la situation est confortable. Il est donc possible, de manire efficace et
dfinitive, de dfinir des protocoles de gestion de ces atteintes et ainsi dannuler leur
effet. Lexpression de non malveillant signifie galement que ces atteintes
autrement dit la Nature ne vont pas adapter leur comportement (statistique) en
fonction des protections mises en place. Cest pourquoi on parle alors de sret (de
fonctionnement, de linformation) et non pas de scurit.
La sret des informations est assure principalement par les codes dtecteurs et
correcteurs derreurs. La thorie des codes, dont le pre fondateur est Claude Elwood
Shannon, date des annes 1948-49. Elle a rendu possible la conqute de lespace
profond (programmes Mariner, Voyager). En effet, si lon savait lpoque faire
des fuses et des satellites, quoi auraient-ils servi si les images de Pluton ou de Jupi-
ter quils auraient envoyes avaient t si bruites que leur exploitation eut t
impossible ?
Nous ne rentrerons pas dans le dtail de la thorie des codes. Cependant, pour
que le lecteur comprenne bien le mcanisme, prsentons une varit trs simple
mais nanmoins trs puissante de tels codes : les codes rptition.
Alice veut envoyer par un canal de transmission le message binaire suivant :
1011. Elle choisit alors un code dit 3-rptition. Il consiste rpter trois fois le sym-
bole binaire mis. Alice envoie (aprs codage ) : 111 000 111 111. Supposons
que le canal ait produit un bruit qui a perturb la transmission. Bob reoit
101 100 111 101. Il y a eu trois erreurs, lesquelles peuvent rendre un message totale-
ment incomprhensible (imaginez par exemple un fichier compress, mais heureuse-
ment l aussi, il y a de la correction automatique derreurs). Il applique alors le
dcodage suivant : pour chaque groupe de trois bits conscutifs, il dcide que
celui qui est le plus frquent est celui qui a t envoy (on appelle cela un dcodage
par maximum de vraisemblance). Bob dcode de la manire suivante : 1011.
Le message est sans erreur.
Si on considre un canal plus bruit, ce code ne fonctionne plus. Il restera des
erreurs aprs le dcodage. Il suffit alors de considrer un code 5 ou 7 rptitions ou
dautres types de codes. Il est donc toujours possible de corriger le bruit lors dune
transmission ou de toute manipulation de linformation. Les codes correcteurs nous
entourent : tlphones mobiles (pas moins de trois codes), nos CD, nos mmoires
dordinateurs, nos logiciels (compression de donnes par exemple), formats dima-
ges Bref sans les codes correcteurs, nous ne pourrions plus vivre.

Figure 11-2 Ce droul rcapitule toute la chane de transmission.
11.2 LA CONFIDENTIALIT DES INFORMATIONS :

LE CHIFFREMENT
La confidentialit concerne la capacit de gestion daccs aux donnes aux seules

personnes autorises. Fonctionnalit historique, elle est assure par le chiffrement.
Dune manire gnrale, le chiffrement consiste transformer une donne dite
claire cest--dire accessible quiconque en une donne incomprhensible,
dapparence la plus alatoire possible, pour tout tiers non autoris. Cette transforma-
tion se fait en fonction dun procd (appel algorithme) et surtout dune quantit
secrte, appele clef. Notons quun systme dpourvu de clef nest pas un systme
cryptologique. Il existe deux grandes familles de procds de chiffrement :
les procds de chiffrement par transposition. Le principe consiste mlanger,
en fonction dune clef, lordre des lettres. Ainsi, considrons le systme de
transposition dite tableau et la clef forme du mot Austerlitz . On crit
alors le texte sous le mot clef, en colonne, comme suit (les lettres apparaissant
plusieurs fois dans le mot clef sont supprimes) :

11.2 La confidentialit des informations : le chiffrement 135
AUSTERLI Z
NOUSATTAQ
UONSDEMAI
ALAUBE
le texte est alors relev par colonne dans lordre alphabtique des lettres du
mot clef (ou tout autre ordre choisi pralablement). Cela donne le texte chiffr
suivant :
NUA ADB AA TM TEE UNA SSU OOL QI
Le dchiffrement consiste faire lopration inverse et nest possible que si lon
connat le mot clef. Le principal inconvnient des systmes par transposition est
quils conservent les statistiques de la langue et fournissent par consquent une
information sur le message. Ils ne sont plus employs de nos jours.
les procds dits par substitution. Chaque lettre ou groupe de lettres est
remplace en fonction dune clef secrte et dun procd par une autre lettre
ou groupe de lettres. Considrons le mot clef REPLUBLIQUE . Et fabri-
quons lalphabet suivant partir de ce mot clef
REPUBLIQACDFGHJKMNOSTVWXYZ
Toute lettre prsente plusieurs fois dans le mot-clef est supprime puis les let-
tres non prsentes dans le mot-clef sont ensuite rajouts et ce dans lordre alphab-
tique (ou tout ordre choisi). Il suffit ensuite dcrire lalphabet normal en dessous
de cet alphabet dsordonn pour avoir la correspondance lettre claire et lettre
chiffre :
REPU BLI Q ACDF GH JKMNOS T VWXYZ
ABCDEFGH I J KLMNOP QR ST UVWXYZ
Le mot attaque est ainsi chiffr en RSSRHDB . Bien sr ce systme
basique noffre aucune scurit. En revanche le procd de substitution est celui
qui est repris par tous les systmes modernes de chiffrement.

Les deux systmes prcdents utilisent le mme procd et surtout la mme
clef, laquelle doit donc tre distribue entre les deux acteurs, Alice (lmetteur) et
Bob (le destinataire). Ces systmes sont appels systmes symtriques ou
encore systmes clef secrte . La clef, sur le secret de laquelle repose toute la
scurit, se mesure en bits. Les clefs actuelles ont une taille allant de 128
256 bits. Mais la contrainte de devoir distribuer les clefs avant la communication
outre les risques de compromission font que ces systmes sont rservs des
usages gouvernementaux et militaires. En effet, cela rclame des infrastructures et
une organisation que seuls les services de lEtat peuvent grer efficacement et avec
le niveau de scurit voulu. Parmi ces algorithmes, les plus connus sont le DES
(56 bits de clefs), lAES (128, 192 et 256 bits), lIDEA (128 bits), le GOST
(256 bits), le Blowfish (256 bits)

Cest pour vacuer ces contraintes, quen 1977, deux chercheurs Diffie et Hell-
man ont invent un autre type de cryptographie1 : la cryptographie clef publique.
Avec ces nouveaux systmes, chaque utilisateur cre un couple de clef, lune
publique, qui comme son nom lindique est destine tre publie, lautre prive qui
doit imprativement rester secrte. Donc, un systme clef publique est bien un pro-
cd cryptologique puisquil existe une quantit sur le secret de laquelle repose toute
la scurit du systme. Bien sr, la clef publique est fabrique partir de la clef prive
mais il est calculatoire ment impossible de retrouver cette dernire partir de la clef
publique2. Si le chiffrement avec des systmes symtriques se conoit aisment,
comment cela fonctionne t-il avec un systme clef publique.
Alice veut envoyer un message chiffr Bob. Pour cela, elle va rechercher dans
un annuaire (ou Bob lui aura envoy via un canal quelconque) la clef publique de
Bob. On peut comparer le fait de chiffrer avec un systme clef publique lenvoi
dune lettre. Pour que ce dernier soit possible, il faut connatre ladresse de Bob,
quivalente la clef publique3. On la trouve dans un annuaire. Le facteur dpose la
lettre envoye par Alice dans la boite lettre de Bob. Comme sa boite aux lettres
ferme clef, par consquent seul Bob peut accder au message chiffr envoy par
Alice. La clef de cette boite est comparable la clef prive de Bob. Et lon voit bien
que la connaissance de ladresse de Bob, ne donne pas pour autant les moyens de for-
cer sa boite aux lettres (du moins en mathmatique).
Si la cryptologie clef publique prsente dindniables avantages, elle comporte
galement des inconvnients qui limitent son emploi :
elle met en uvre des calculs lourds et complexes. De fait, il nest pas possible
de chiffrer, sinon en un temps assez long, de gros volumes de donnes ;
elle repose sur des principes qui ne sont pas mathmatiquement dmontrs.
Pour le moment, lincapacit calculatoire retrouver la clef prive partir de
la clef prive est seulement une conjecture, taye par lexprience seule. Mais
personne ne peut srieusement affirmer quil nest pas calculatoirement4 facile
de le faire, ni que quelquun ne soit pas parvenu le faire et ait choisi de nen
rien dire. Cest la raison pour laquelle, le chiffrement clef publique est limit
1. Il est intressant de noter quil a rcemment t rvl que les services anglais avait dcouvert
ce type de cryptographie mais navaient pas rendu publics leurs rsultats. Comme souvent en
cryptologie
2. Cette impossibilit calculatoire na jamais t dmontre ce qui fait peser une incertitude sur la
solidit relle de ces systmes. Mais cette incertitude, en ltat actuel des recherches publies
est conciliable avec les besoins de scurit.
3. Dans un systme symtrique, en comparaison, Alice et Bob habiteraient des adresses secrtes,
devraient changer pralablement leurs adresses respectives et dmnager aprs chaque com-
munication.
4. Le terme calculatoirement signifie quil nexiste aucune mthode permettant en pratique de trou-
ver un tel fichier F, mme si lon dispose dune puissance de calcul importante. Une solution
possible serait de tester tous les fichiers possibles F. Cest infaisable en pratique. Ce terme indi-
que donc que les solutions qui permettent de rsoudre le problme thoriquement sont inattei-
gnables en pratique

11.2 La confidentialit des informations : le chiffrement 137
au chiffrement de petites quantits dinformation et pour des trafics dune

sensibilit peu leve1.
Les solutions commerciales actuelles dont la plus connue est sans conteste le
logiciel PGP2 consiste mlanger cryptologie clef secrte et systmes clef
publique : ce sont les systmes cryptologiques hybrides. Le principe est le suivant :
Alice gnre une clef alatoire de session K de 128 bits. Cette clef de session lui
sert chiffrer les donnes M laide dun algorithme symtrique (de nos jours,
lAES). Ces systmes sont trs rapides pour les oprations de chiffrement. Elle pro-
duit donc C = AESK(M), le texte chiffr.
Bob ne possde par la clef K mais Alice ne peut pas lui envoyer en clair via un
canal de transmission qui nest pas sr (sinon elle ne chiffrerait pas ses donnes).
Alice chiffre donc la clef avec un systme clef publique S. Pour cela, elle utilise la
clef publique de Bob, PUBBOB et produit S(K, PUBBOB).3
Alice envoie Bob les quantits C (le cryptogramme) et S(K, PUBBOB), la clef
de session chiffre. Lorsque Bob reoit ces deux donnes, il dchiffre S(K, PUBBOB)
avec sa clef prive et rcupre K. Il peut ensuite dchiffrer C laide de K.Bien vi-
Figure 11-3 Le schma3 rsume les oprations de chiffrement et de dchiffrement.
1. En tout cas, il devrait tre dun usage limit mais la recherche de toujours plus dergonomie et
de facilit dexploitation fait que ces systmes sont utiliss l o ils ne devraient pas ltre !
2. Pretty Good Privacy, http://www.pgp.com
3. Source : Bourgeois Morgan, Initiation PGP : GnuPG, http://mbourgeois.developpez.com

demment, si on parvient retrouver (par compromission, par cryptanalyse) la clef

prive de Bob, alors toute la scurit scroule. Ce problme est galement celui de la
cryptologie clef secrte, mais dans une mesure moindre. Existe-t-il des moyens
infaillibles de protger linformation ?
Pour rpondre cette question, il faut auparavant prciser quel est le problme
fondamental de la cryptologie. Il rside dans lopposition de vues entre celui qui con-
oit les systmes (le cryptographe) et celui qui tente de les briser (le cryptanalyste).
Ce dernier, sil est capable de casser un systme, peut toujours le prouver. Il lui suffit
de lancer un challenge et de dcrypter un message chiffr propos titre de dfi.
Mais son intrt nest pas forcment de publier cette capacit. Il pourrait ainsi lire
toutes les correspondances chiffres de toute personne qui ne doute pas que son sys-
tme de chiffrement a t cass. Cest l le travail des services spcialiss de chaque
pays qui dveloppe des comptences secrtes dans le domaine de la cryptanalyse.
En revanche, le cryptographe dans la cryptologie classique, quelle soit sym-
trique ou clef publique ne pourra jamais prouver que son systme est incassable,
except pour les systmes trs particuliers, dusage exclusivement militaire ou gou-
vernementaux appels systmes secret parfait1. Il ne sait pas, par exemple, ce que
sont capables de faire les cryptanalystes du monde entier. Son systme aura t
conu en fonction des connaissances de cryptanalyses publies, qui ne reprsentent
quune faible partie de toutes les techniques dattaques connues.
Cest la raison pour laquelle les recherches, depuis quelques annes, se tournent
vers la cryptographie quantique qui permet de concevoir des systmes secret parfait.
Chaque bit transmis est sous forme dun photon polaris. En 1992, le protocole dit
de Brassard/Bennet permet de sassurer de la confidentialit de clefs distribues via
des fibres optiques. Ce protocole permet de nos jours de raliser ce que lon connat
sous le nom de distribution quantique de clef (QKD). Cest aujourdhui la seule
manire connue de distribuer des clefs avec une scurit inconditionnelle, cest--
dire dans des conditions de secret parfait. La scurit quantique rsulte en premier
lieu de limpossibilit de dupliquer les signaux reus, principe de non-clonage, ou
den distraire une partie significative sans signer son intervention par une modifica-
tion importante du taux derreur des signaux reus. Actuellement le procd QKD
en est ses balbutiements : les taux de transmissions sont encore trop faibles (quel-
ques Kbits par seconde) pour un usage sur des rseaux rels, il subsiste encore beau-
coup de problmes techniques pour en faire une technologie fiable et surtout le prix
des quelques solutions reste exorbitant (environ 200 000 euros pour un botier et il
en faut au minimum deux).
1. Un systme secret parfait est un systme pour lequel il est impossible de dterminer quelle clef
et donc quel message, ont t utiliss, mme si lon dispose dune puissance de calcul infinie et
de lternit pour les rechercher. Ces systmes imposent de telles contraintes organisationnelles
quils sont rservs aux communications les plus sensibles. Pour tous les autres systmes, il suffit
dessayer toutes les clefs possibles pour trouver la bonne ce qui nanmoins requerrait plu-
sieurs milliards de sicles pour une simple clef de 128 bits.

11.3 Lintgrit des informations 139
11.3 LINTGRIT DES INFORMATIONS
Lintgrit, si elle est moins connue du grand public, est tout aussi importante que la
confidentialit. Imaginons une transaction bancaire dont un pirate pourrait modifier
de manire indtectable, les donnes. Par exemple, remplacer le numro de compte
bnficiaire par celui de lattaquant, ou modifier les sommes engages dans la tran-
saction. Un autre exemple tout aussi pertinent est celui des programmes que lon
tlcharge sur Internet. Imaginons quun pirate tente de sintroduire dans des
milliers dordinateurs. Il lui suffirait dinsrer les fonctionnalits adquates dans un
ou plusieurs logiciels trs utiliss (un navigateur Internet par exemple) et de loffrir
au tlchargement comme la version dorigine. Toute personne installant cette
version corrompue sera victime du pirate. Or, nous tlchargeons rgulirement des
logiciels que nous installons sans aucune vrification spciale et volontaire de notre
part. Qui, en effet, vrifie lempreinte MD5 accompagnant beaucoup de logiciels que
nous utilisons ?
Ces quelques exemples montrent que lintgrit des informations que nous mani-
pulons est essentielle. Il est indispensable, dans de trs nombreux cas, de vrifier quil
ny a pas eu de modifications dans des donnes critiques. Heureusement, la plupart
des logiciels du commerce intgrent des fonctionnalits dauto-calcul dintgrit qui
vrifient chaque installation quil sagit de la version officielle et que cette dernire
na pas t corrompue. Cette vrification est systmatiquement faite. Elle lest gale-
ment lorsque votre logiciel antivirus met jour ses bases de signatures. Imaginez que
lors du tlchargement le pirate parvienne manipuler ces bases et y introduire des
informations destines modifier comportement du logiciel antivirus. Pire, que se
passerait-il sil parvenait drouter les requtes de mise jour vers un site pirate ne
contenant que des bases de signatures corrompues ?
Comment fonctionnent les outils dintgrit ? Lintgrit est assure par ce que
lon appelle des fonctions de hachage. Les plus connues sont MD5, SHA-1 et RIM-
PEMD-160. Le principe est simple. Un fichier F, de longueur quelconque (un simple
e-mail, un disque dur entier, un document) est hach par lintermdiaire dune
fonction dite de hachage H. En pratique, on calcule la valeur H(F). Le terme

hachage signifie, entre autres choses, que la valeur H(F), appele empreinte numri-
que, est beaucoup plus petite que le fichier F. Elle a une taille fixe, qui de nos jours
vaut 160 bits. Le calcul de H(F) est trs facile. Un programme sera capable en quel-
ques secondes de calculer lempreinte dun gros disque dur. De plus, il est calculatoi-
rement impossible, pour une empreinte donne E de trouver un fichier F produisant
cette empreinte par hachage, autrement dit de trouver F tel que H(F) = E. Les fonc-
tions de hachage semblent donc trs intressantes. En pratique, on calcule
lempreinte E de la donne protger. On la stocke dans un endroit protg (elle
peut tre chiffre par exemple). Chaque fois que lon veut vrifier si lintgrit de la
donne est intacte, on recalcule E et on le compare la valeur de rfrence.
Seulement voil. Il existe des milliards de fichiers qui possdent la mme
empreinte numrique. Quest ce qui empche un pirate de modifier un fichier lgi-
time F en un fichier corrompu F, de telle sorte quils aient tous deux la mme

empreinte numrique E = H(F) = H(F). On appelle cela une collision. Heureuse-

ment, pour les fonctions de hachage utilises, SHA-1, SHA-2 et RIMPEMD-160,
trouver de telles collisions est galement calculatoire ment impossibles1. Un atta-
quant ne peut donc pas manipuler vos donnes critiques de sorte contourner le
contrle dintgrit. Sauf si la valeur de hachage elle-mme nest pas protge, par
chiffrement par exemple. Si E = H(F) est accessible au pirate, il peut remplacer le
fichier F par un fichier F, corrompu tel que H(F) = E. Il lui suffira alors de remplacer
E par E. Ni vu ni connu. Cest la raison pour laquelle les empreintes numriques
sont chiffres afin dinterdire de telles manipulations.
Il existe de nombreux produits permettant de protger lintgrit des donnes. Le
plus clbre est sans conteste le logiciel Tripwire2. Il permet non seulement une pro-
tection au niveau des fichiers mais galement du systme de fichier lui-mme, ce qui
est particulirement intressant en cas dattaque virale.
Pour illustrer la ncessit dun contrle dintgrit, il est intressant de parler de
la tentative de corruption du code source du noyau Linux3, pour y introduire une
porte cache ( backdoor ).
Le code original (extrait) tait le suivant :
if((options = = (__WCLONE|__WALL)) && (current->uid = = 0))
retval = -EINVAL ;
Ce code a t modifi comme suit :
if((options = = (__WCLONE|__WALL)) && (current->uid = 0))
retval = -EINVAL ;
La modification (le simple changement dun signe = = en signe = ), pour-
tant infime aurait eu des consquences dramatiques puisque elle permettait de
gagner des droits administrateur sur le systme. Heureusement, la mise en uvre de
mcanismes dintgrit internes a permis de dtecter immdiatement la tentative de
corruption. De plus, ce code source critique existe sur plusieurs serveurs, chaque ser-
veur vrifiant en permanence lintgrit des autres.
11.4 LA DISPONIBILIT DES INFORMATIONS
La disponibilit des informations est certainement la fonctionnalit la moins bien

connue, bien quelle soit trs importante. Imaginons une entreprise qui ne puisse
plus accder ses donnes pendant 24 ou 48 heures voire pendant plusieurs jours.
Un tel scnario serait catastrophique. Le plus souvent la prvention contre lindis-
ponibilit des erreurs nest mise en place qu la suite dun sinistre concernant les
1. En 2004, des chercheurs chinois sont parvenus produire des collisions pour la fonction MD5
dont la scurit doit dornavant tre mise en doute.
2. http://www.tripwire.com
3. Kevin Poulsen, Linux kernel backdoor blocked. 7/11/2003, http://www.theregister.co.uk/
2003/11/07/linux_kernel_backdoor_blocked/

11.4 La disponibilit des informations 141
donnes. Le cas le plus frquent est celui de la panne dun disque dur, lequel conte-
nait des donnes plus ou moins bien sauvegardes voire non sauvegardes.
Actuellement, assurer la disponibilit des donnes ne se fait efficacement que
dans un contexte de sret uniquement. Des techniques de type RAID (Redundant
Array of Inexpensive Disks) sont trs efficaces mais dune part elles sont assez onreu-
ses et dautre part, elles requirent quelques comptences, notamment dans le
domaine de gros systmes dentreprises.
Un systme de type RAID rpartit et organise les donnes sur plusieurs disques
durs et utilise des techniques de correction derreurs. Nous sommes donc bien dans
un contexte de sret. Le systme dexploitation voit la matrice du raid (ensemble
de plusieurs disques) comme un disque unique. Il existe six types de RAID, du RAID
1 au RAID 6. Cette classification est fonde sur la faon de diviser et de rpartir les
donnes et sur les codes correcteurs derreurs utilises. Les principaux avantages du
systme RAID sont :
daugmenter la capacit de stockage en mettant bout bout des disques durs
pour accrotre la taille du volume.
dapporter la tolrance de panne et donc dassurer la disponibilit des
informations : certaines configurations RAID permettent de prvenir les
dfaillances dun disque.
damliorer les performances : les donnes sont crites sur plusieurs disques
la fois. Ainsi, chacun des disques na quune partie des donnes inscrire.
Les diffrents types de RAID1 sont dfinis par la nature des codes correcteurs uti-
liss et la manire dont ils sont mis en uvre.
Les systmes RAID, aussi efficaces soient-ils dans un contexte de sret, sont
totalement inoprants dans un contexte de scurit, autrement dit en cas dattaque
contre les donnes, moins dadjoindre des mesures de scurit informatique classi-
que (technique et organisationnelle). Une attaque par un code malveillant comme
le TrojanPGPCoder ne sera pas gne par la prsence dun systme RAID. Ce code
qui a frapp en mai 2005, chiffre tous les fichiers ayant une extension du type ASC,
DB, DB1, DB2, DOC, HTM, HTML, JPG, PGP, RAR, RTF, TXT, ZIP et XLS.
Ainsi mme les fichiers chiffrs avec PGP devenaient indisponibles. Le ver laisse
ensuite des instructions dans un fichier pour permettre la rcupration de la clef
(moyennant finances ; il sagit donc dextorsion de fonds). Le fichier, dnomm
ATTENTION !!!.TXT est le suivant (traduction de langlais) :
1. Le lecteur pourra consulter Jean-Louis Locoche, Le principe de la technologie RAID, ADNA-

VIGO, IRS, http://www.locoche.net/pdf/raid.pdf pour une description complte des diffrents
types de RAID. Le niveau RAID 6 Le niveau 6 a t ajout aux niveaux dfinis. Il dfinit l'uti-
lisation de deux fonctions de codage derreur, et donc le stockage sur deux disques ddis. Ce
niveau permet ainsi d'assurer la redondance en cas d'avarie simultane de deux disques. Cela
signifie qu'il faut au moins 4 disques pour mettre en uvre un systme RAID-6.

Certains fichiers sont chiffrs. Pour acheter le dchiffreur, envoyez un e-mail

ladresse suivante : n781567@yahoo.com avec lobjet suivant : PGPcoder
000000000032
Les donnes sont donc indisponibles tant que le propritaire des donnes na pas
rcupr loutil de dchiffrement. La seule parade possible est donc une vritable
politique de sauvegarde des donnes, en amont.
11.5 LA PROTECTION DU CANAL DE TRANSMISSION
La protection des donnes en elle-mme ne suffit pas. Il est possible dobtenir de

linformation malgr lutilisation de chiffrement. Cest pendant le premier conflit
mondial que le problme a t rellement identifi. A lpoque, comme dans tout
conflit, les communications sont chiffres. Mais trs vite, les spcialistes militaires
du renseignement se sont aperus quil tait possible de faire parler un trafic
chiffr. Si vous interceptez quelques messages chiffrs par jour, le plus souvent
heure relativement fixe, vous en concluez quil sagit dun change de donnes de
routine, ce que la taille du message peut galement corroborer. Mais si le trafic vient
graduellement augmenter, passant de quelques messages quelques dizaines, mme
le chiffrement ne peut cacher le fait quune opration se prpare. Des techniques
danalyse de trafic et localisation par radiogoniomtrie permettent mme didentifier
metteurs et destinataires (quand ils rpondent).
En rsum, malgr le chiffrement, ladversaire parvient collecter une quantit
relativement importante dinformations sensibles. Pourquoi ? La raison tient au fait
que le chiffrement ne protge que les informations elles-mmes. On parle alors
daspect COMSEC (Communication Security). En revanche, lexistence dune
communication autrement dit lexistence dun canal de transmission nest pas
dissimule. Laspect dit TRANSEC (Transmission Security) nest pas assur.
Parmi de nombreuses techniques possibles, la plus connues est ce que lon appelle
la sganographie (du grec stegein couvrir et graphos criture ). Cet ensemble
de techniques assure la fois les aspects COMSEC et TRANSEC. Lide est de
cacher la communication ET le canal de transmission. Ladversaire ne se doute donc
mme pas de lexistence dun change dinformations. Des techniques comme les
encres dites invisibles sont des procds de stganographie trs anciens.
Un autre exemple retenu par lhistoire est la fameuse lettre de Georges Sand et
de la stganographie dite linguistique1. Voulant obtenir les faveurs dAlfred de Mus-
set, bel esprit qui nentendait pas succomber de manire triviale, Georges Sand lui
envoya la lettre suivante :
1. Des auteurs connus comme Boccace, Corneille ou Arthur Rimbaud ont cach dans leur uvre
littraire des messages cachs.

11.5 La protection du canal de transmission 143
Je suis trs mue de vous dire que jai

bien compris, lautre jour, que vous avez
toujours une envie folle de me faire
danser. Je garde un souvenir de votre
baiser et je voudrais que ce soit
l une preuve que je puisse tre aime
par vous. Je suis prte vous montrer mon
affection toute dsintresse et sans cal-
cul. Si vous voulez me voir ainsi
dvoiler, sans aucun artifice, mon me
toute nue, daignez donc me faire une visite.
Et nous causerons en amis et en chemin.
Je vous prouverai que je suis la femme
sincre, capable de vous offrir laffection
la plus profonde et la plus troite
amiti, en un mot, la meilleure amie
que vous puissiez rver. Puisque votre
me est libre, alors que labandon o je
vis est bien long, bien dur, et bien souvent
pnible, ami trs cher, jai le cur
gros, accourez vite et venez me le
faire oublier. A lamour, je veux me sou-

mettre.
Cette lettre en tant que telle nest quune lettre classique rdige dans le style
romantique de lpoque. En revanche, celui qui connat le procd, lira une ligne sur
deux, accdant un texte dune autre nature.
La stganographie consiste donc prendre un support anodin dont lchange
entre deux personnes ne dclenche pas de soupon et dissimuler une informa-
tion qui, elle est secrte. De nos jours, il existe des systmes trs complexes, matriels
ou logiciels, permettant, avec des supports numriques de faire trs efficacement de
la stganographie. Des images, des vidos, des fichiers MP3, des programmes excu-
tables constituent dexcellents supports appels stgano-media dans lesquels
cacher un message secret.. Il existe de nos jours des suites logiciels permettant selon
le mme principe de cacher des partitions de disques durs entirement.

Le logiciel le plus clbre est probablement le logiciel Outguess qui est capable de
dissimuler des informations dans des images JPEG. Ce qui est plus intressant tient
au fait que le stgano-medium peut tre dune taille infrieure aprs la
dissimulation de linformation, ceci grce des caractristiques lies au format
JPEG.
Figure 11-4 Limage de droite (le champ de bombardiers) est cache

dans limage de gauche, grce au logiciel Outguess.
Le principe gnral de ces techniques est assez simple. La dissimulation dun mes-
sage secret dans un stgano-medium se fait toujours en deux tapes :
Identification de donnes redondantes dans le stgano-medium. Quel que soit
ce dernier, il y a toujours des donnes concernant une information excden-
taire. Pour une encre invisible, ce sont les zones du papier qui ne sont pas
utilises. Dans une image, les couleurs sont stockes sur 24 ou 32 bits, soit
potentiellement 16 millions ou 4 milliards de couleurs diffrentes. Mais qui
est capable de discerner autant de couleurs ? Personne. Les formats graphiques
codent donc beaucoup plus dinformation que notre il est capable den iden-
tifier. Pour un fichier MP3, cest la mme chose. Notre oreille discerne des
sons dans une gamme de frquences plus limite que celle possible pour la
plupart des formats sonores.
La seconde tape consiste alors choisir au hasard un sous-ensemble de ces
donnes redondantes et y insrer le message. Comme les donnes ventuel-
lement1 modifies sont redondantes cest--dire non essentielles la
perception , le support une fois le message secret dissimul semblera identi-
que la perception. Bien sr, au niveau de la statistique des informations
redondantes, certains changements et modifications sont intervenus mais un
bon systme sera capable de les rendre quasi-indtectables.
1. Eventuellement, car si je souhaite cacher la valeur 1 dans un bit redondant dans limage qui est
dj 1, je dissimule cette valeur 1 sans modifier ce bit.

11.6 Le chiffrement des donnes dans la pratique 145
La stganographie, de nos jours, si elle reprsente une technique intressante de

protection dun canal de transmission, pose dinsolubles problmes aux spcialistes
lorsquelle est utilise par des terroristes ou des criminels. Ainsi, la prparation des
attentats du 11 septembre a-t-elle t, semble-t-il, prpare via des informations dis-
simules dans des images pornographiques1. Criminels et autres malfrats commen-
cent dcouvrir tout le potentiel de la stganographie. Or, dans un cadre judiciaire,
dissimuler le canal de transmission, cest quivalent empcher de constater un
crime ou un dlit.
Si des outils existent, permettant dans certains cas de dtecter des informations
stganographies, ces outils deviennent trs vite dpasss par la masse de support
quil faudrait traiter par jour. Mme un rseau comme Echelon, ne peut analyser
sinon en plusieurs mois les millions dimages changes ou prsentes chaque jour
via le seul rseau Internet.
11.6 LE CHIFFREMENT DES DONNES

DANS LA PRATIQUE
Bien que les technologies existent et pour un cot minime, il existe beaucoup de
donnes confidentielles non protges. En juin 2006, plus de 75 millions de sites
sont recenss sur la plante Internet (source : www.netcraft.com) avec une progres-
sion soutenue de 15 millions de nouveaux sites par an2. Ainsi, les valuations esti-
ment plusieurs mga-octets (ou peut tre giga-octets) les donnes ayant un
caractre confidentiel qui sont prsentes sur ces sites Internet.
Selon une analyste du cabinet Gartner, cite par ITNews, un vol massif de don-
nes revient 90 dollars par employ touch. Un cot qui peut vite devenir un gouf-
fre pour des entreprises comptant des milliers d'employs. Or. Une protection des
donnes revient moins cher. Le simple fait de protger des donnes dudit client par
chiffrement - et donc carter pratiquement tout risque de divulgation aprs intrusion
-, demanderait un investissement de 6 dollars par compte ! Une formule associant

moyen de chiffrement, HIDS et audit ne dpasserait pas les 16 dollars ! On peut ne
rien faire du tout et fonder une politique sur la discrtion ce qui ne coute rien. C'est
la solution adopte par l'arme amricaine qui pensait raliser une conomie de 425
millions de dollars. L'affaire du fichier disparu3 des 26,5 millions d'anciens combat-
tants de l'arme US a prouv le contraire, comme les vols d'un portable de l'arme
franaise en Cte d'Ivoire en 2005 ou des disques durs contenant des donnes Secret
Dfense de l'arme amricaine en Afghanistan en 2006. Les journaux amricains ont
1. http://www.usatoday.com/life/cyber/tech/2001-02-05-binladen.htm. Lusage dimages pornogra-

phiques est en soi une forme de stganographie (qui souponnerait des intgristes musulmans
de passer par ce type dimages).
2. La Scurisation des bases de donnes pour viter de divulguer les informations prives sur Inter-
net, juin 2006.
3. Source Magazine CSO, du 07/06/2006.

rcemment fait tat de la compromission de ce fichier, aprs une intrusion sur leurs
rseaux. Avant intrusion, on appelle de la gestion de risque . Aprs intrusion,
une dplorable ventualit statistiquement improbable . D'un point de vue froide-
ment actuariel, en donnes brutes, la perte thorique de 90 dollars par compte
multiplie par les 26,5 millions de victimes potentielles fait monter les prjudices
2,4 milliards de dollars. Ce chiffre est tellement astronomique, que tout gestionnaire
prfrera mettre en doute la mthode d'estimation et d'analyse Donc, en atten-
dant, on ne chiffre pas. Pas plus aux Etats-Unis qu'en France, d'ailleurs.
Et pourtant, les solutions commerciales efficaces pour des donnes sensibles
uniquement et bon march existent. Les moyens de chiffrement sont dsormais
libres depuis la rcente loi sur lconomie numrique de juin 2004. Mais il convient
dtre prudent. Les logiciels de chiffrement sont trs nombreux, mais il convient de
se mfier. Beaucoup utilisent des algorithmes lmentaires. Dautres mettent en
uvre des algorithmes rputs comme solides, mais les implmentent dune manire
si catastrophique quils dgradent la scurit finale des algorithmes. Dautres ne
publient pas les algorithmes quils utilisent, ce qui ne permet pas de savoir sils ne
contiennent pas une porte drobe par laquelle il serait facile dentrer ou des fai-
blesses permettant un dcryptement plus facile (lire galement le chapitre 15). Pour
une protection rellement efficace, sagissant de donnes sensibles uniquement,
mieux vaut se tourner vers des solutions utilisant les algorithmes de chiffrement
comme GOST, IDEA, RC5, Blowfish ou lAES, et qui sont rputs de qualit.
Au lieu de chiffrer fichier par fichier ce qui nest gure pratique mais nan-
moins possible pour un chiffrement limit beaucoup de produits crent des dis-
ques logiques dans lesquels les donnes sont transfres comme sur une partition
standard. Le chiffrement/dchiffrement seffectue la vole de manire transpa-
rente et sans dlai notable. En dbut de session, un mot de passe est requis pour
ouvrir le disque. Certains dentre eux proposent galement des fonctionnalits de
stganographie, permettant ainsi de dissimuler lexistence mme de partitions.
Citons les principaux :
Le plus clbre reste le logiciel PGP (Pretty Good Privacy). Produit phare des
annes 90 de la communaut, il a acquis la maturit commerciale et propose
outre une interface graphique simple mais ergonomique, la plupart des fonc-
tionnalits attendues : chiffrement du courrier lectronique la vole, chiffre-
ment de fichiers, intgrit, effacement scuris
DriveCrypt de SecurStar. Si son interface est plus austre que celle de PGP, il
offre en revanche beaucoup plus de possibilits. Le choix des algorithmes de
chiffrement est plus large : du simple DES 56 bits aux trs puissants triple AES
768 bits ou triple BlowFish 1344 bits. Une autre fonction trs intressante de
ce logiciel permet par exemple tous les membres dune quipe davoir leurs
disques chiffrs avec leurs propres mots de passe, tout en gardant la possibilit
pour le responsable davoir un mot de passe matre capable douvrir tous les
disques. Ainsi, si un utilisateur est absent, ou a quitt la socit, il sera
toujours possible de rcuprer les donnes de son disque (aspect important de
disponibilit des donnes). Enfin, DriveCrypt propose des fonctionnalits de

11.6 Le chiffrement des donnes dans la pratique 147
stganographie et permet avec la fonction dnomme disques invisibles de

leurrer dventuels agresseurs qui voudraient forcer lutilisateur livrer son
mot de passe. Deux mots de passe sont en effet attribus un mme disque. Le
premier louvre sur des donnes banales dont la compromission ne porte
pas consquence et le deuxime sur les donnes vraiment confidentielles
protger. Lors dune ventuelle agression, il suffira de donner le mauvais mot
de masse. De plus, la totalit de lespace libre du disque est occupe par des
donnes alatoires. Il est donc impossible de savoir si un disque contient ou
non, un disque invisible (aspect TRANSEC).
A ct des solutions logicielles, commencent apparatre pour le grand public

et les entreprises, des solutions de chiffrement matrielles. Ces solutions semblent
en particulier rpondre aux prconisations dorganismes officiels en matire de
scurit informatique. A titre dexemple, en mars 2006, Interpol demande ce que
les PC vendus soit systmatiquement pourvu de systmes de scurit, incluant
notamment le chiffrement des donnes. Avec le chiffrement matriel, les donnes
sont chiffres et dchiffres la vole, par le processeur, de manire totalement
transparente. Pour le moment, les cibles de cette nouvelle technologie sont princi-
palement les tlphones, assistants personnels ou ordinateurs portables des socits,
terminaux qui contiennent des donnes de plus en plus confidentielles
(650 millions de mobiles, au sens large du terme, sont vendus chaque anne). Des
technologies comme Secure Blue dIBM ou la solution TPM (Trusted Platform
Module) du Trusted Computing Group (runissant les grands diteurs et construc-
teurs comme Intel, AMD et Microsoft) commencent investir le march. Malgr
dindniables avantages, ces solutions ne feront pas disparatre pour autant les solu-
tions logicielles. Car si la rapidit de chiffrement et le niveau de scurit militent
trs nettement en faveur des solutions matrielles, ces dernires ne sont pas exemp-
tes dinconvnients :
Problme de la confiance : comment faire totalement confiance un systme
difficile valuer et auditer. De tels systmes, mis en place par des construc-
teurs non nationaux, mettront en uvre du chiffrement difficilement

matrisable ;
En cas de faille de conception ou dimplmentation, si corriger un logiciel ou
carrment le remplacer est relativement facile, en revanche pour le matriel
cest conomiquement et logistiquement ingrable.
Rappelons enfin que ces produits et dispositifs matriels sont strictement inter-
dits dusage, en France, pour le chiffrement de donnes relevant du secret de dfense.
Un industriel qui utiliserait des logiciels dans ce cas risquerait des peines de prison et
de lourdes amendes. Il doit pour cela utiliser des logiciels nationaux valids par le
SGDN (Secrtariat Gnral de la Dfense Nationale) et la DCSSI (Direction Cen-
trale de Scurit des Systmes dInformation). Notons que les autres pays ont adopt
le mme principe. Ainsi, aux Etats-Unis, le systme AES est interdit dusage sagis-
sant de donnes sensibles ou critiques (voir document fdral FIPS 196).

En rsum
La protection des donnes est un aspect essentiel dans la scurit des systmes
dinformation. Trop souvent, les politiques de scurit se polarisent sur la protec-
tion des systmes et ventuellement des donnes traitantes. Des affaires de com-
promission de donnes lors de vols ou de pertes de portables rappellent chaque
fois que la ressource ultime devant tre protge est linformation elle-mme.
Mais il faut galement se rappeler que chiffrement, intgrit et disponibilit doi-
vent se placer dans un contexte de scurit informatique. A quoi sert le chiffre-
ment si le mot de passe protgeant la clef secrte est trop faible, facilement
rcuprable ou si un virus ou un ver parvient le drober ! Encore une fois, la
scurit informatique est un tout qui doit tre monolithique. Toute faiblesse dans
le dispositif gnral fragilisera terme lensemble. La difficult du mtier rside
prcisment dans la vision globale de la scurit.
12
La pdophilie sur Internet
Aujourdhui, linformatique est entre dans les murs. La moiti des foyers dispo-
sent dun ordinateur et les abonns lInternet haut dbit taient plus de dix
millions au printemps 2006. Si les sniors sintressent de plus en plus cet univers
ce sont nos enfants les plus accros. Ils appartiennent la gnration ne avec une
souris et un clavier dans les mains ! Une enqute ralise, il y a deux ans, par
lObservatoire dIpsos (entretiens auprs de 2203 enfants et de leurs mres) indiquait
que 30 % des 6-8 ans utilisent dj le Web. Vers 13-14 ans, ils sont 80 % surfer sur
la toile. Une autre tude, mene par le CREDOC (Centre de Recherche pour
lEtude et lObservation des Conditions de vie) en dcembre 2004, indique que
57 % des jeunes de moins de 17 ans utilisent les chats et ils sont 62 % penser
quInternet est un bon outil pour se faire des amis.
Une navet toute naturelle mais qui peut avoir des consquences dramatiques.
Sur Internet on peut ctoyer le meilleur et le pire. Des prdateurs rdent. Les pdo-
philes1 ou des escrocs tentent de rencontrer des mineurs ou dobtenir des numros de
cartes bancaires. Le cyberespace attire des rseaux crapuleux et charrie des milliers de
contenus illicites. Daprs une tude mene par lassociation Le Bouclier, 261 653
"sites pdophiles" avaient t rpertoris en 2002, contre 4 300 seulement en 1996.
Grace la coopration internationale, de nombreux rseaux tombent dans les
filets des policiers. En juin 2006, neuf Turcs et un Amricain ont t arrts en Tur-
quie2. Les suspects, dont un professeur de lyce, avaient contact une trentaine de
mineurs sur des forums de discussions et les avaient abuss sexuellement. Les photos
prises lors de ces abus, ainsi que des enregistrements vido, avaient ensuite t ven-
dus via le net.
1. Les professionnels de la justice critiquent, pour beaucoup, le terme mme de pdophile, ce der-
nier introduisant tymologiquement une confusion. Beaucoup de magistrats prfrent parler de
pdocriminel. Nous conserverons cependant le premier terme, plus connu du grand public.
2. Dpche AFP du 13/06/02006.

150 Chapitre 12 . La pdophilie sur Internet
Le mme mois, soixante-sept utilisateurs prsums de pornographie infantile sur

le web ont t interpells lors dune opration coordonne par Europol1. Dix person-
nes ont t arrtes en Espagne, sept en Belgique, trente-huit en France, trois aux
Pays-Bas et neuf en Slovaquie. Selon un communiqu du ministre de lIntrieur
espagnol, les suspects obtenaient des images de pornographie infantile travers un
complexe et lent systme de tlchargement qui incluait lutilisation de programmes
complexes de chiffrement. Les personnes interpelles en Espagne avaient de bonnes
connaissances en informatique et un niveau culturel lev .
Quelques semaines plus tt, un rseau de pdophiles est dmantel en Pologne2.
Dix personnes ont t mises sous les verrous. Mais dautres interpellations devaient
avoir lieu car les informations sur les activits de ce groupe ont t transmises 70
autres pays, via Interpol. Une cinquantaine de disques durs ont t saisis. Ils con-
tiennent plus de 300 000 photos et 3000 films pornographiques a indiqu la police
polonaise. Le groupe avait cr un forum internet dchange de contenus pornogra-
phiques et une vidothque virtuelle. Pour y accder, il fallait autoriser laccs sa
propre collection.
12.1 LA TRAQUE POLICIRE
Ces trois exemples montrent que la pdophilie sur lInternet est un flau qui touche
de nombreux pays. Face ces menaces, les pouvoirs publics ont cr des entits
spcialises. Une veille des contenus illicites vhiculs sur Internet a t mise en
uvre au Service technique de recherche judiciaire et de documentation de la
gendarmerie (STRJD) ou au sein de la police nationale. La premire grande opra-
tion, intitule Forum 51 , a t lance par la Gendarmerie nationale en juin
2001. Elle faisait suite plus dun an denqute sur certains canaux IRC (Internet
Relay Chat), et a donn lieu 75 interpellations.
Depuis, la pression des pouvoirs publics sest accentue grce des moyens ren-
forcs. La Brigade de protection des mineurs (une des six brigades centrales de la
direction de la Police judiciaire de Paris) traque ces rseaux depuis la fin des annes
90. Mais depuis 2003, elle sappuie sur les comptences dun groupe denqute sp-
cialis. Le Groupe Internet mne de bout en bout des investigations portant sur des
faits de pdophilie ayant comme support ou moyen le rseau internet.
Son activit sarticule autour de deux axes principaux :
La lutte contre les trafics dimages pdophiles : le nombre dimages et de
vidos pdopornographiques disponibles sur Internet augmente de manire
exponentielle chaque anne. Selon les estimations, Internet en hbergerait
entre 800 000 et un million3. Plus de 260 000 sites contenant de la pdopor-
nographie ont t recenss en mars 2005.
1. Dpche AFP du 06/06/2006.

2. Dpche AFP du 23.05.2006.

12.1 La traque policire 151
La recherche des prdateurs du Net : selon des sources policires, les

enfants sont rgulirement sollicits lors de ces discussions par des adultes mal
intentionns.
Le Groupe Internet a initi plusieurs affaires. La premire anne, il a trait 96

affaires. Lanne suivante, leur nombre est pass plus de 300. La plus connue est
CAUSSADE. Elle a abouti linterpellation dun homme ayant prostitu de nom-
breuses mineures recrutes sur des sites de conversation en direct (chats).
Des rseaux de milliers de personnes

En 2001, lopration Candyman a mis au jour, linitiative du FBI amricain,
trois groupes de discussion et dchanges de fichiers bass sur le web et comptant
6 700 membres. Cette enqute a donn lieu plus dune centaine darrestations.
Engage ds 1999, et tendue un niveau international en 2001, lopration
Avalanche a permis de faire cesser les oprations de la socit Landslide Produc-
tions, base Fort Worth au Texas, qui diffusait sur plusieurs sites payants des
images pdopornographiques importes notamment de Russie et dIndonsie, et
de saisir les coordonnes de 250 000 clients de cette socit, localiss dans 37
tats amricains et 60 pays diffrents.
Suite de lopration Avalanche en Grande-Bretagne, lopration Ore a conduit
linterpellation, en janvier 2003, de 1 600 suspects sur le seul territoire britannique.
Source : Forum des droits sur lInternet. Janvier 2005.
De son cot, la Gendarmerie nationale surveille ses rseaux depuis 1998. Elle dis-
pose, entre autres, de plus de 120 personnels NTECH (nouvelles technologies)
spcifiquement forms aux techniques denqute propres aux infractions lies cette
problmatique. Depuis 1992, le dpartement informatique-lectronique (INL) de
lInstitut de recherche criminelle de la gendarmerie nationale (IRCGN) apporte un
soutien technique (expertises, surveillance, interceptions) aux diffrents services de
gendarmerie.
12.1.1 Des programmes spcifiques

Les enquteurs spcialiss de la Police et de la Gendarmerie nationale sont aids par
des programmes et des banques de donnes. Cr en 2001, par le capitaine Lesobre de
lINL, le logiciel Marina (Moyen Automatique de Recherche dImages Non Autori-
ses) dispose de plus de 600 000 signatures dactes de pdophilie. Il suffit de lexcuter
sur lordinateur dun suspect pour que le robot rcupre images, vidos, e-mails
Mis en place en 1998 par lINL, SimAnalyst est un logiciel qui permet de lire le
contenu dune carte SIM et donc de connatre la dernire zone gographique o le
tlphone tait allum. Enfin, la Gendarmerie a aussi dvelopp les logiciels Log IRC
3. La diffusion d'images pdopornographiques sur l'internet reste toutefois sans commune mesure
avec celle de pornographie adulte.

pour surveiller de manire automatise les groupes de discussion sur Internet et

Log P2P pour surveiller les rseaux dchanges de fichiers.
La Gendarmerie nationale dispose aussi dune base de donnes qui permet de
regrouper des informations sur les auteurs, les victimes et les lieux utiliss. Cette base
est alimente depuis 2003 par le Centre national dimages pdopornographiques
(CNAIP) qui fonctionne en collaboration avec la Police nationale. Cette banque de
donnes contient plus de 480 000 photographies de nature pdopornographique.
Ce systme permet de sauver une dizaine denfants par an , selon le capitaine de
Gendarmerie Eric Freyssinet, Chef du Dpartement Electronique Informatique de
lIRCGN.
12.2 LES LOGICIELS DE FILTRAGE
Les autorits interviennent en aval. Mais pour rduire les risques il est indispensable
que les parents soient sensibiliss et mettent en place des solutions en amont. Face
cette situation dltre, beaucoup semblent dmunis. Il est vrai que les informations
pratiques sur ce sujet font encore cruellement dfaut. Ce nest plus le cas depuis
octobre 2006 avec la premire version du site officiel Confiance (www.internetsans-
crainte.fr), un plan franais daction de sensibilisation aux enjeux et aux risques
dInternet pour les enfants, jusquen 2007. Les premiers outils de sensibilisation
(posters, guide et CD/DVD) sont diffuss.
En attendant que ce programme ne monte en puissance, les parents doivent ins-
taller sur leur ordinateur un logiciel de contrle parental. Trs peu le font. En juin
2005, seulement 15 % des foyers disposaient dun tel programme !
Son rle consiste filtrer les contenus et bloquer certaines activits pralable-
ment interdites (envois de pices jointes par e-mail, utilisation dun logiciel de mes-
sagerie instantane). Plus facile dire qu faire ! Ces programmes doivent
rsoudre un srieux casse-tte. Sils effectuent un contrle trs strict, ils risquent de
bloquer des sites au contenu inoffensif (un site sur la sant contient ncessairement
les mots sexe, sein, testicule). linverse, si leur filtrage est trop limit ils vont
laisser passer des horreurs ! Pour rsoudre ce dilemme, ces logiciels nutilisent pas
tous sur les mmes procds. Certains se contentent du filtrage des sites X, dautres
assurent aussi le blocage et le filtrage dautres services comme les forums de discus-
sion, les messageries instantanes et les transferts de fichiers.
Pour le filtrage du contenu, les logiciels sappuient sur une liste noire dadresses
URL. Pour quelle soit efficace, il faut que lditeur lenrichisse continuellement et
que le consommateur fasse rgulirement des mises jour. Les sites pdophiles ou
pornographiques changent en effet assez souvent dintituls ou dadresses. Lanalyse
du contenu se fonde aussi sur une liste de mots exclure. Ds que lun dentre eux est
repr par le logiciel, ce dernier peut immdiatement bloquer laccs au forum ou
empcher laffichage du message ou du terme en question. Mais l aussi, cette liste

12.2 Les logiciels de filtrage 153
doit tre rgulirement mise jour. Les parents peuvent galement y ajouter des
nouveaux mots-cls.
Les limites des filtres ICRA et Safesurf

Les navigateurs (Internet explorer, Netscape, Mozilla) disposent dune fonc-
tion de filtrage des contenus, mais elle nest pas efficace. La technologie utilise
est base sur des codes insrs volontairement par les concepteurs de pages web,
ceux quon appelle les webmasters. Ce procd sappuie sur deux filtres. ICRA
(Internet Content Rating Association) et Safeguard. Mais leur installation
conduit exclure plus de 99 % des sites web franais comme la constat 60
Millions de consommateurs dans son numro de mai 2004. Ce rsultat nest pas
vraiment surprenant car la majorit des sites ne tiennent pas compte de cette
codification. On se demande alors pourquoi ils existent encore. Faire rfrence
ces deux filtres noffre donc aucune garantie en matire de protection.
Pour affiner les filtres, la plupart des logiciels disposent dun journal de bord dans
lequel sont consignes toutes les alertes. Cest un bon moyen de reprer des sites ou
des mots qui nauraient pas t exclus ou au contraire de constater des fausses alertes
engendres par un filtrage trop pointu.
Ces logiciels ne prsentent pas pour autant la solution idale. Dans son numro
dat de mai 2004, 60 Millions de consommateurs en a test quinze, en collaboration
avec la Dlgation interministrielle la famille (DIF), la Direction du dveloppe-
ment des mdias (DDM) et la Dlgation aux usages de linternet (DUI). Les plus
efficaces sont le logiciel de contrle parental inclus dans les packs de scurit (anti-
virus, antispams, pare-feu) McAfee Internet Security Suite (75 ) et Norton
Internet Security (90 ). La scurit de nos enfants nest donc pas donne Tous
les autres logiciels manquent defficacit ou sont compliqus configurer.
Si vous ne voulez pas investir dans un tel logiciel vous pouvez opter pour un
gratuit : LogProtect (www.logprotect.net). Ce logiciel en franais (pour PC mais pas
pour Mac) ne rpond qu un seul type de problme mais il le fait trs bien : il emp-
che vos enfants de transmettre sur Internet des informations sensibles (nom de
famille, adresse, tlphone, nom et adresse de lcole, etc.). Il suffit de complter un
formulaire regroupant ces lments ne pas transmettre pour quil les bloque ds
quils sont taps avec le clavier. En plus des informations personnelles, il est gale-
ment possible dtablir une liste de mots. Lorsque ces donnes sont bloques un mes-
sage davertissement, qui peut tre personnalis, est affich lcran. Il indique
lenfant que ce quil est en train de faire peut tre dangereux pour sa scurit. Au
bout du troisime avertissement il est possible de couper la connexion.
Comme dautres logiciels de contrle parental, celui-ci est protg par un mot de
passe (qui doit tre chang rgulirement) qui est demand chaque modification
de la configuration du logiciel ou pour arrter le systme de protection.

12.2.1 Des fournisseurs daccs laxistes ?

Concerns aussi par ce problme, les FAI ont mis en place diffrentes parades mais
qui nont pas vraiment montr leur efficacit. De nombreux spcialistes estiment
dailleurs quils font preuve dun manque de volont. Il est vrai que la loi du 21 juin
2004 pour la confiance dans lconomie numrique nest pas trs pnalisante. Son
article 9 prvoit que les personnes dont lactivit est doffrir un accs des services
de communication au public en ligne cest--dire en premier lieu, les fournisseurs
daccs linternet (FAI), ne peuvent voir leur responsabilit civile ou pnale
engage que dans les cas o :
ils sont lorigine de la demande de transmission litigieuse ;
ils slectionnent ou modifient les contenus faisant lobjet de la transmission.
Le lgislateur affirme galement que les prestataires techniques ne sont soumis

aucune obligation gnrale de surveillance des informations quils transmettent ou
quils stockent, mais que le juge conserve la possibilit dimposer une telle mesure de
surveillance, cible et temporaire (art. 6-I-7). Cette loi oblige nanmoins les presta-
taires franais dhbergement, dune part, informer promptement les autorits
publiques comptentes de toutes les activits illicites mentionnes lalina prc-
dent [ayant trait, notamment, la pdopornographie] qui leurs seraient signales et
quexerceraient les destinataires de leurs services .
LAFA (Association des fournisseurs daccs) a nanmoins lanc en fvrier 2005
le label Net+sr . Son cahier des charges comporte les obligations suivantes pour
les fournisseurs daccs membres de lAFA :
proposer un outil de contrle parental,
donner accs des informations destines mieux protger les enfants,
donner accs en un seul clic un formulaire de signalement des abus,
traiter les signalements de contenus pdopornographiques ou incitant la
haine raciale
LAFA respecte aussi la loi sur la confiance en lconomie numrique (LCEN)

vote le 22 juin 2004. La LCEN a repris une disposition datant de 1996 selon
laquelle chaque FAI doit proposer ses abonns un logiciel de contrle parental.
contre quelques euros (ou dans un forfait scurit incluant un antivirus).
En novembre 2005, cette association sengageait auprs du ministre dlgu la
Famille, Philippe Bas, mettre gratuitement disposition de ses clients ce type de
logiciel. Deux mois aprs la date limite fixe par le ministre (le 31 mars 2006), E-
enfance1 a fait le point en les testant2. Son verdict est sans appel : Ces logiciels
1. Cette association a pour ambition daider les enfants tirer le meilleur parti des nouvelles tech-
nologies, en collaboration avec la Dlgation aux usages de lInternet et le ministre en charge
de la Famille.
2. www.e-enfance.org

12.2 Les logiciels de filtrage 155
doivent fortement samliorer. La qualit des sites proposs (liste blanche) est insuf-
fisante pour la plupart des FAI (Alice, Club, Free, Numricble).
Parmi tous ces logiciels tests, seul celui propos par AOL tire son pingle du jeu.
Il bloque plus de 90 % des sites contenant du sexe, de la violence et ceux vantant les
drogues ou proposant des jeux interdits aux moins de 18 ans. Celui dOrange (ex-
Wanadoo) sen sort aussi convenablement. Les autres logiciels souffrent en revanche
de plus grosses lacunes. Les listes blanches fonctionnent mal et le filtrage est gnra-
lement insuffisant, notamment pour ce qui est des sites prnant la haine ou la vio-
lence, contre lesquels une analyse smantique est ncessaire. Dautres sont de vraies
passoires. Celui de Club-Internet ne bloque que 37 % des jeux interdits aux moins
de 18 ans et 17 % des sites contenant des propos haineux ou violents (comme celui
dAlice, dailleurs). Mais le bonnet dne revient Free (qui nest pas membre de
lAFA). Son logiciel est jug par E-enfance comme compliqu pour les parents et
dsastreux pour les enfants . Non seulement il filtre mal les sites indsirables,
mais il est en outre le plus difficile utiliser. A signaler que Neuf-Cegetel et Tl 2
ne proposaient toujours aucune solution gratuite leurs abonns au moment de ce
comparatif (leurs logiciels taient payants mais leur performance ntait pas
meilleure daprs lassociation !).
Base sur lintelligence artificielle, une nouvelle gamme de logiciels pourrait per-
mettre damliorer sensiblement les performances du filtrage des fournisseurs. Dve-
lopps par la start-up franaise Adamentium, les logiciels LiveMark atteignent un
taux de russite de filtrage de 98 % selon ses concepteurs. ! Issu des ples dincuba-
tion de lEcole des mines dAls et de la rgion Languedoc-Roussillon, Adamentium
espre intresser lEducation nationale, les fournisseurs daccs internet (FAI) ou
les oprateurs de tlphonie mobile. Dvelopp en collaboration avec le centre de
recherche de lEcole des mines dAls (LGI2P), LiveMark ne fonctionne pas avec
des listes noires ou blanches comme les logiciels de filtrage des FAI, mais partir
dune analyse smantique du texte, des images et mme du contexte. Cette nouvelle
gnration de logiciels permet de refuser laccs toutes les pages indsirables dispo-
nibles sur lensemble du Web. De plus, elle na pas tendance bloquer les contenus
pdagogiques, comme par exemple ceux dducation sexuelle.
Les performances nouvelles de cette technologie de pointe ont permis Ada-

mentium de recevoir en 2004 le label Oppidum, du ministre de lEconomie, des
finances et de lindustrie, dans la catgorie Outils de filtrage pour le contrle
parental . Les qualits de filtrage de LiveMark sont conseilles par le ministre de
lducation nationale (accord cadre) pour scuriser lInternet dans les coles.
Rappelons enfin lobligation de dnoncer au procureur de la Rpublique sous
peine de deux ans de prison tout acte mettant en danger les mineurs. Des parents qui
dcouvrent un site li la pdophilie ont donc obligation de le dnoncer.

En rsum
Malgr de beaux discours et une offre de plus en plus importante de logiciels de
scurit (et notamment de filtrage), la situation na pas beaucoup volu. Les
parents, et leurs enfants, sont peut-tre un peu mieux sensibiliss. Mais ils restent
nanmoins dmunis face ce terrible danger que reprsente la pdophilie sur
lInternet. Heureusement, la police et la Gendarmerie nationale disposent de sp-
cialistes aux comptences reconnues. Ils sont cependant en nombre trop faible.
13
Banques en ligne :
une scurit limite
Attendre patiemment son tour au guichet de sa banque nest plus quun (mauvais)
souvenir pour un internaute europen sur deux. Publie en mai 2006, une tude de
Forrester Research montre que prs de la moiti des internautes utilisent les services
en ligne de leur banque. Cette proportion varie selon les pays. Les Sudois (72 %)
sont ceux qui utilisent le plus ce service, suivis des Allemands (56 %), des Franais
(55 %) et des Britanniques (52 %). Les Italiens ne sont que 31 % grer leurs
comptes depuis leur ordinateur.
Les diffrentes affaires de hold-up numrique ou descroquerie financire ne
vont peut-tre pas inciter nos voisins transalpins franchir le pas. Dbut 2006, la
police franaise a dmantel un rseau franco-russe de malfaiteurs qui auraient russi
pntrer les comptes bancaires en ligne dune soixantaine de leurs compatriotes et
y retirer 200 000 euros. Selon lAgence France Presse, qui cite une source judi-
ciaire, les pirates avaient cr une socit fictive aux Etats-Unis, qui proposait des
intermdiaires franais baptiss mulets par les enquteurs de recevoir sur
leur compte personnel largent dtourn grce un virus tapis dans la mmoire de
lordinateur des victimes. Les mulets percevaient une commission de 1 % 5 %.
Des intermdiaires, rsidant en Allemagne ou en Espagne renvoyaient ensuite le
butin vers la tte du rseau, des membres de la mafia russe.
Ce nest pas la premire fois que ce genre descroquerie est mise en place dans
lHexagone. En 2005, lOCLCTIC (Office Central de Lutte contre la Criminalit
lie aux Technologies de lInformation et de la Communication) a arrt six per-
sonnes souponnes davoir effectu des virements frauduleux aprs avoir accd
aux comptes de clients dAxa Banque. Des mules dtournaient largent sur
leur compte avant de le transfrer via Western Union sur un compte en

158 Chapitre 13 . Banques en ligne : une scurit limite
Ukraine, moyennant une commission de 10 % , raconte Marie Lajus, adjointe au

chef de cet office1.
Paralllement ces affaires, il y a aussi les braquages virtuels. En 1999, une
quipe de pirates russes a dtourn 40 millions de dollars de la banque amricaine
Citibank, en pntrant dans ses systmes informatiques. Il y a quelques annes, un
Chinois habitant Singapour a dtourn environ 36 000 euros dans 21 comptes de
la DBS Bank. En moins dune heure, il a ralis des virements de 200 4.999 dollars
singapouriens (les transferts de fonds en ligne chez DBS tant plafonns 5.000 dol-
lars singapouriens par jour).
13.1 UN MANQUE DE VOLONT
Certaines banques font preuve dune certaine lgret en matire de scurit infor-
matique. Cest le constat de la CNIL qui a tudi dix sites de banques franaises.
Trop souvent, seul lidentifiant et un mot de passe, infrieur 7 caractres, sont
demands pour accder aux comptes. Une fois sur deux, les coordonnes sont mmo-
rises par lordinateur. Plus grave, quatre sites de banque en ligne ne sont pas en
transaction scurise HTTPS lorsque le client tape ses codes , constate le mensuel
60 millions de consommateurs dans son dition de janvier 2006.
Pire, sur le site de la Banque postale on peut mme consulter un certain type de
comptes (pour des raisons de scurit nous tairons son intitul) sans avoir besoin de
taper un mot de passe. Il suffit dentrer son numro de compte et de choisir, dans la
courte liste fournie, son centre financier. Deux informations faciles obtenir, par
exemple sur les relevs didentit bancaire ou sur les chques.
Ces failles expliquent, en partie, laugmentation du nombre dattaques visant ces
sites. En juin 2006, lAssociation Europenne de Management & Marketing Finan-
ciers (EFMA) annonce que 78 % des tablissements ont subi des intrusions dans
leur systme dans les 12 derniers mois, daprs une enqute2 ralise auprs des 150
premires institutions financires mondiales . On apprend aussi quun
tablissement sur deux a subi au moins une attaque venant de lintrieur .
Le phishing et le pharming sont les deux principales techniques utilises, suivies
des logiciels espions. Face cette dlinquance, 58 % des banques agissent pour
empcher les vols didentit bancaire, et presque toutes investissent dans des pare-
feux. Mais la formation adquate du personnel ne suit pas, dans deux tablissements
sur trois. Selon ltude, le cot des dfaillances dans la scurit bancaire avoisine
le million de dollars .
Il est difficile dobtenir des informations plus dtaills, surtout en France o les
milieux financiers, entre autres, ont le culte du secret. Les statistiques sont moins
opaques outre-manche. Le montant des fraudes sur les sites de banque en ligne bri-
1. LExpansion, nov. 2005.

2. Rapport mondial annuel sur la scurit Global Security Survey du cabinet Deloitte.

13.1 Un manque de volont 159
tanniques auraient reprsent environ 23 millions de livres au premier semestre

2005, selon lassociation britannique des paiements (APACS). Soit 8 millions de
plus quen 2004. Plus sensibiliss que dautres tablissements, les banques anglaises
se sont concertes pour ragir et lAPACS a commenc travailler avec dautres
pays dj victimes dattaques tels que les tats-Unis et lAustralie. Lassociation a
aussi cr un site web (www.banksafeonline.org.uk,) pour alerter les internautes sur
les attaques et expliquer les rgles de conduite adopter sur Internet. En France, la
sensibilisation est assez limite.
Lorsquon se rend sur le site Les cls de la banque (www.lesclesdelabanque.com),
dit par la Fdration bancaire franaise, on dcouvre une rubrique Se protger .
Fausse piste puisquil sagit de la protection des biens et des personnes et donc de
contrats dassurance souscrire auprs de son banquier ! Il faut aller dans la rubrique
Mini-guides pour y reprer un document consacr la scurit des oprations
bancaires . Aprs des informations concernant les chquiers et le vol de code dune
carte bancaire, on trouve un paragraphe assez long ddi aux oprations distance.
On y donne quelques conseils pour ne pas tre victime de phishing, sur la manire de
se protger avec un antivirus et un pare-feu, etc.
Propos par BNP Paribas, le site Espace scurit (www.espacesecurite.bnppari-
bas.com/) est plus dtaill et pratique. On y parle bien sr de phishing mais aussi
comment crer et protger un bon mot de passe, comment ne pas tomber dans le
pige des spams, bien acheter sur internet, de logiciels de scurit et des aspects juri-
diques. Des liens vers des sites spcialiss sont aussi signals. Linitiative du groupe
BNP Paribas est donc saluer. Mais elle est lexception qui confirme la rgle. Plu-
sieurs raisons expliquent cette timide volont de sensibilisation. Pour maitre Eric
Barbry, directeur du dpartement nouvelles technologies au cabinet davocats Alain
Bensoussan, les banques ont mis en place un systme pervers qui marche trs bien
pour elles : elles se trouvent entre linternaute et le site marchand. La loi dit en
substance : le client a toujours raison. Dans tous les contrats de vente en ligne quils
ont passs avec les sites marchands, les tablissements bancaires ont indiqu qune
cas de contestation de lacheteur cest le site de commerce lectronique qui rem-
bourse la banque qui, ensuite, va ensuite rembourser le client. On dporte la respon-
sabilit sur le vendeur qui na pas trop de recours : une assurance, des prts long
terme afin de couvrir son risque
Ce sont pourtant les banques qui doivent se protger, estime Herv Schauer,
expert en scurit informatique. On peut difficilement demander lutilisateur de se
rendre compte quil se fait berner. Les banques, comme tous les dveloppeurs de ser-
vices en ligne, doivent partir du postulat que le PC de leurs clients est infect par
quantit de logiciels malveillants comme les spywares .
De son cot, Jean-Luc Jacob, responsable de la direction des nouveaux mdias du
Crdit Mutuel Nord Europe prcise que nous faisons raliser par une socit
externe un audit des applications et des services destins au client et faisons proc-
der une vrification de lintgrit de lensemble de nos systmes de scurit. Par
ailleurs, des tests dintrusion sont mens par une quipe interne dexperts, paule
par des correspondants scurit prsents au niveau rgional .

13.2 LES PARADES (OFFICIELLES) DES BANQUES
Pour de nombreux experts indpendants, il existe des solutions assez simples permet-
tant de limiter les risques. Dautres parades plus compliques napporteraient pas
ncessairement beaucoup plus de protection pour le grand public ou des PME ; elles
permettraient surtout aux vendeurs de solutions informatiques daugmenter leur
chiffre daffaires !
Il faut dabord que les banques surveillent les connexions de leurs clients,
dclare Herv Schauer. Si un client se connecte son compte depuis Paris et quune
demi-heure plus tard, il se connecte depuis une autre ville, la banque devrait mettre
en attente cette connexion. Un charg de clientle doit lappeler afin de vrifier et
valider cette opration. Il peut sagir en effet du conjoint qui effectue une transaction
car il a aussi le mot de passe et une procuration. Il ny a que American Express qui le
fait : si dans la mme minute vous achetez deux fois la mme chose sur Internet, la
socit vous appelle. Selon elle, la probabilit des cas o la personne a fait une erreur
est plus importante que le piratage et ca leur cote moins cher de mettre en attente.
Si elle narrive pas vous joindre, elle met en attente toutes les oprations faites sur
Internet mais ne bloque pas le paiement dun restaurant par exemple.
13.2.1 Le pav numrique

La mise en place par quelques banques franaises du pav numrique fait partie des
solutions simples mais assez efficaces. Ce pav reproduit les touches chiffres du
clavier dun ordinateur. Pour taper son mot de passe, il faut donc utiliser la souris
pour cliquer sur les bons chiffres. Cette solution vite ainsi quun logiciel espion
nenregistre votre mot de passe tap sur le clavier. Cette parade nest bien sr pas la
panace. Il existe des logiciels (screenloggers) capables denregistrer les mouve-
ments, la position du curseur et les clics de souris ! Mais ils sont moins nombreux
que les fameux keyloggers chargs denregistrer les frappes de clavier et un screen-
logger doit tre adapt chaque banque (son cot est donc plus lev).
Autres cueils : le clavier virtuel a presque toujours la mme taille et le mme
nombre de touches quelle que soit la banque et sa position sur lcran ne varie pas
beaucoup. Le pav numrique prsente nanmoins un bon quilibre, estime Herv
Schauer. Il limine la plupart des attaques sans imposer de contraintes aux
utilisateurs. Une volution intressante pourrait tre de considrer des pavs ayant
un nombre alatoire de touches vides, rparties elles-mmes alatoirement sur tout
le clavier.
13.2.2 Lantivirus de la banque

Beaucoup dinternautes savent quil est indispensable dinstaller un antivirus sur son
ordinateur. Mais tous nont pas lenvie ou les moyens de dbourser une trentaine
deuros dans ce genre de logiciel. Dautres ne savent pas lequel acheter. Pour simpli-
fier la vie de ses clients, Barclays a donc dcid de vendre un antivirus. Dbut 2006,

13.2 Les parades (officielles) des banques 161
la banque britannique a dcid de sassocier lditeur finlandais, F-Secure pour

commercialiser ses produits (reconnus pour tre efficaces). Aprs lavoir test gratui-
tement pendant un mois, les cinq millions de clients de la banque pourront lacheter.
La banque a aussi mis en place un astucieux service dalerte par SMS : ds quune
quune transaction est mene sur Internet, un message est envoy au client pour len
informer. Un service original pour reprer les tentatives de phishing. Echaude aprs
avoir t victime dun cheval de Troie en 2005, la banque anglaise a dcid au prin-
temps 2006 de limiter 1000 livres (contre 2000 auparavant) le montant des vire-
ments par le web destination de comptes extrieurs ltablissement.
13.2.3 Les systmes dauthentification forte

Pour certains, le couple identifiant/mot de passe ou le clavier virtuel ne sont pas effi-
caces. Il faut employer les grands moyens.
Il existe trois types de solutions :
lutilisation dun code automatique dure de vie limite (principe du token
ou jeton),
la cl USB qui est capable de stocker des mots de passe chiffrs ou de grer les
certificats lectroniques daccs aux documents,
et enfin les systmes de cartes puce. Une dizaine dentreprises proposent ce
genre de solutions, les plus connues tant RSA et Aladdin Knowledge Systems.
Mais ces parades se heurtent un terrible dilemme : faut-il mettre en place une
protection plus forte au dtriment dun service plus convivial ? Pour linstant, les sys-
tmes dauthentification forte ont du mal convaincre. Malgr les injonctions de la
Federal Deposit Insurance Corporation, lances ds 2004, les banques amricaines
ne se prcipitent pas pour renforcer leur scurit. Elles font pourtant partie des cibles
favorites des phishers ! En mars 2006, des chevaux de Troie dun genre particulier
ont t reprs. Ils taient conus pour intercepter les codes (TAN) exploits dans le
cadre des mcanismes dauthentification forte mis la disposition des clients de deux
tablissements allemands, la Postbank et la Deutsche Bank.
Les banques se tournent aujourdhui vers la signature lectronique. Appele aussi
certificat numrique, cette solution est connue de tous les Franais qui font leur
dclaration de revenus sur le site du ministre de lEconomie et des Finances. Il sagit
en fait dun petit programme qui permet de scuriser des transactions de toutes sor-
tes. Cest lquivalent dune pice didentit lectronique qui permet dtre authen-
tifi chaque connexion.
Aprs les impts, ce sont donc les changes de donnes entre les clients et leur
banque qui ont recours la signature numrique. Depuis avril 2006, la Deutsche Post-
bank mise sur cette solution. Produite par TC Trust (premier fournisseur allemand de
certificats lectroniques cr par des banques), elle fonctionne uniquement avec le
logiciel de messagerie Outlook de Microsoft. Lorsque le client veut envoyer un e-mail

certifi, il doit le signer numriquement en cliquant sur le bouton Sign S/MIME

de la barre doutils avant de lenvoyer. A linverse, pour vrifier quun e-mail est bien
envoy par sa banque, il doit vrifier la prsence dun petit cachet rouge dans la bote
de rception. En cliquant dessus, les informations dtailles apparaissent.
Deux organismes franais dveloppent une solution base sur le mme principe.
Depuis avril 2006, Finaref propose ses clients de souscrire une assurance de
compte ou de prendre une carte Visa en signant numriquement le contrat.
Filiale du Crdit agricole, cette socit de crdit (5 milliards deuros dencours de
crdit grs) a fait appel Keynectis, un prestataire qui gre aussi les certificats lec-
troniques du site des impts. A la diffrence du site de lEtat, notre certificat nest
pas li un ordinateur ; il sagit dun certificat dit la vole qui ne dure que le
temps de lopration en ligne, prcise Nicolas Denis, Directeur clientle et marke-
ting directs de Finaref. Notre client nest donc pas tenu de signer ses contrats num-
riquement depuis un seul ordinateur.
Pour viter que le document sign par le client ne soit pas modifi par erreur,
Finaref a confi la sauvegarde des donnes un tiers archiveur (Arkhino, filiale de
la Caisse des dpts et consignation). Entre 20 et 30 signatures lectroniques taient
enregistres par jour en mai 2006. Pour lentreprise, lobjectif terme est de raliser
une dmatrialisation complte du processus. Pour ses clients connus, dont lidentit
a t authentifie, la signature numrique pourrait concerner un avenant de contrat
(augmentation de ligne de crdit) ou des contrats complmentaires). Ltape
ultime concernera des clients non connus pour une offre pralable de crdit ,
indique prcise Nicolas Denis.
Si cette solution est convaincante elle pourrait tre retenue par le Crdit agri-
cole. De son cot, la Banque populaire teste aussi ce genre dapplication.
En rsum
Les attaques de phishing ont pargn la France par rapport dautres pays comme
les Etats-Unis, lAustralie et le Brsil. En limitant les possibilits de virements, les
tablissements financiers franais ont limit la casse. Pour linstant ! Car les
escrocs ont de limagination et savent contourner les obstacles. Le recours des
rseaux de mules dmontre que le systme bancaire nest pas infaillible. Cette
nouvelle adaptation du clbre Cheval de Troie devrait inciter les groupes ban-
caires redoubler defforts et sensibiliser de faon plus pragmatique leurs clients.
14
Les vigies dInternet
En 1989, un homme de 22 ans est arrt aprs avoir visit les systmes informatiques
de la Direction des Tlcoms Rseau National, filiale de France Tlcom, ainsi que
quelques autres gros systmes informatiques franais (EDF, Arospatial, CEA, etc.).
Cest la premire arrestation importante pour la police franaise. La mme anne, la
Direction de la Surveillance du Territoire (DST) arrte une cinquantaine de
hackers franais. Les autorits recherchent un individu un peu trop curieux puisquil
visitait les systmes informatiques dimportantes entreprises franaises comme
Thomson. Des informations rcupres lors dinfiltrations auraient t rcupres
par les services secrets allemands
Depuis, les arrestations font moins souvent la Une des journaux. Une vaste
escroquerie a nanmoins t rvle dbut juillet 2006. Cette affaire concernait le
site eBay. Fin juin, la police judiciaire parisienne a arrt six suspects. La brigade des
fraudes aux moyens de paiement (BFMP) a estim que le prjudice est, en ltat des
investigations, de 175 000 euros mais il pourrait dpasser les 300 000 terme . Ce
rseau aurait fait 375 victimes dont les numros de cartes bancaires ont t dbits
indment. Certains suspects travaillant la SNCF et la RATP auraient donc rcu-
pr toutes les donnes bancaires lorsque la personne passait leur guichet Une
fois en possession de ces informations, les prsums escrocs se connectaient sur le
site denchres et achetaient trs rapidement, dans un dlai de moins de 36 heures,
des appareils lectroniques. Et ensuite, ils les revendaient sur le mme site !
De nombreuses autres affaires sont en cours mais elles sont traites de faon plus
discrte (de l imaginer que certains pirates pris sur le fait collaborent avec certai-
nes entits officielles). Autres raisons de cette absence de publicit : plusieurs
accords lamiable sont obtenus et enfin les sites Internet sensibles (ceux des admi-
nistrations et des grandes entreprises) sont mieux protgs. Il y a aussi le fait que les
pouvoirs publics franais ont mis en place diffrentes structures spcialises.

164 Chapitre 14 . Les vigies dInternet
14.1 LES ORGANISMES OFFICIELS FRANCAIS
Depuis le dbut des annes 2000, la France sest en effet dote de plusieurs entits
comptentes. Elles ont chacune des terrains daction privilgis. Cette multipli-
cit des services permet de traiter tous les types dactions criminelles lies au rseau
informatique. Mais cette diversit prsente aussi deux inconvnients. Pour le dput
Pierre Lasbordes La multiplication des acteurs publics dont les missions se chevau-
chent et dont les textes fondateurs sont peu prcis, donnent une impression gnrale
de confusion et dparpillement des moyens et des hommes. Dans cette nbuleuse,
lacteur public ddi, le SGDN et plus prcisment la DCSSI, souffre dun manque
dautorit et parfois de crdibilit auprs des publics concerns. Ces deux facteurs,
lparpillement des moyens et le manque dautorit du SGDN, nuisent lefficacit
de lEtat dans la dfinition et la mise en oeuvre de la politique globale de SSI.
Cette diversit de services est aussi un inconvnient pour les PME ou les particu-
liers car ils ne savent pas toujours qui sadresser Cette situation pourrait nan-
moins voluer. Comme les autorits britanniques, les pouvoirs publics franais
envisageraient de mettre en place un site Internet sur lequel tout le monde pourrait
signaler un incident informatique.
Figure 14-1 La scurit informatique est traite par de nombreux organismes en France.

14.1 Les organismes officiels francais 165
14.1.1 La DCSSI
Place sous lautorit du Secrtaire gnral de la Dfense nationale, et donc du
Premier ministre, la Direction centrale de la scurit des systmes dinformation
(DCSSI) peut tre dfinie comme le rouage essentiel de la scurit informatique de
notre pays. Hritire du Service central de la scurit des systmes dinformation,
elle a t institue par dcret le 31 juillet 2001.
Dirige par Patrick Pailloux, un polytechnicien de 40 ans, la DCSSI a pour mis-
sion de :
Contribuer la dfinition interministrielle et lexpression de la politique
gouvernementale en matire de scurit des systmes dinformation.
Assurer la fonction dautorit nationale de rgulation pour la SSI (scurit des
systmes dinformation) en dlivrant les agrments, cautions ou certificats
pour les systmes dinformation de ltat, les procds et les produits cryptolo-
giques employs par ladministration et les services publics, et en contrlant
les Centres dvaluation de la scurit des technologies de linformation
(CESTI).
valuer les menaces pesant sur les systmes dinformation, donner lalerte,
dvelopper les capacits les contrer et les prvenir (COSSI)
Assister les services publics en matire de SSI
Dvelopper lexpertise scientifique et technique dans le domaine de la SSI, au
bnfice de ladministration et des services publics
Former et sensibiliser la SSI (Centre de formation la scurit des systmes
dinformation CFSSI). Outre de nombreux stages, dune dure allant de
quelques jours trois semaines, elle assure la scolarit du Brevet dEtudes
Suprieures de la Scurit des Systmes dInformation (BESSSI), dune dure
de deux ans. Cette formation de trs haut niveau, dispense des personnels
habilits de la fonction publique (essentiellement de la Dfense), est la seule
formation en France traitant de la SSI oprationnelle.
Selon un parlementaire1, le budget 2005 du SGDN est de 56,7 M avec un effec-

tif de 353 personnes, parmi lesquelles 110, en majorit de formation scientifique et
technique, sont affectes la DCSSI.
La grande force de la DCSSI est de disposer dun Centre oprationnel de la
scurit des systmes dinformation (COSSI). Install prs des Invalides, Paris, le
COSSI a t cr en octobre 2003 la suite de la mise en place de Piranet. Ce plan
de raction en cas dattaque informatique terroriste dampleur contre lEtat a
t dvelopp comme dautres plans de raction la suite des attentats du 11 sep-
tembre 2001.
1. La scurit des systmes dinformation : Un enjeu majeur pour la France . Rapport du

Dput Pierre Lasbordes. Novembre 2005.

Figure 14-2 Organisation de la DCSSI.
Cest le seul centre oprationnel de veille 24h/24, sept jours sur sept, en
Europe, rappelle avec fiert Philippe Brandt, chef du COSSI. Dautres pays vont sui-
vre cet exemple. Singapour devait lancer le sien durant lt 2006 et les Allemands
et les Corens du Sud songent aussi crer une entit quivalente .
Compos de vingt-quatre personnes, quasiment toutes ingnieurs en informati-
que, le COSSI veille sur les rseaux et les systmes dinformation de lEtat et des ser-
vices publics. Par exemple, plus de 500 sites Internet officiels sont surveills toutes
les heures. Objectif : vrifier quils nont pas t dfigurs (defacement)1 ou
tests en vue dune attaque programme.
Les nuits et week-end, une personne assure la veille et trois autres sont places
en astreinte, prcise Philippe Brandt. Mais nous ne les avons encore jamais rappeles
en pleine nuit pour linstant car il ny a encore jamais eu dalerte pendant ces cr-
neaux de veille .
Mais sa mission ne se limite pas la veille. Officiellement, il est charg dassurer
la coordination interministrielle des actions de prvention et de protection face
1. Selon diffrentes sources, il y a environ 2000 actes de defacement (modification de la page

daccueil ou de certains lments crits ou visuels dune page) en France par an. Ces attaques
ne visent pas uniquement les sites des administrations (voir chapitre 1).

aux attaques sur les systmes dinformation de lEtat. Il est compos dune unit de
Conduite & Synthse (CEVECS) et dune unit technique, le CERTA (centre
dexpertise gouvernemental de rponse et de traitement des attaques informatiques).
Chacune de ces units regroupe une dizaine de personnes.
Le COSSI intervient aussi sur deux points : la conduite dune crise (cest--dire
suite un incident informatique) et la conduite prventive.
Concernant le premier point, il se focalise sur deux aspects : comment lattaque
a-t-elle t techniquement ralise et quels sont les rseaux susceptibles dtre une
cible (et a fortiori comment assurer une protection efficace). Le COSSI ne traite
donc pas la source lorigine dune attaque, cet aspect tant rserv dautres servi-
ces gouvernementaux. La charge de travail est plus importante aujourdhui car
nous avons de plus en plus dincidents et des attaques de plus en plus sophistiques.
Il y a toutefois encore trs peu dattaques majeures , constate le responsable du
COSSI. Lorsquun incident informatique est signal par un ministre ou une admi-
nistration, le COSSI lance une expertise technique et rpond trois questions
principales :
sagit-il dune attaque majeure ciblant un ministre ?
sagit-il dun incident qui peut toucher dautres sites gouvernementaux ?
sagit-il simplement dune panne ou dune mauvaise manipulation ?
Limportant est de hirarchiser les impacts. Par exemple, le blocage dune appli-
cation majeure comme par exemple celle des cartes grises doit tre rapidement
gr , prcise Philippe Brandt.
Lorsque lorigine de lincident est dtermine, le COSSI travaille avec les autori-
ts comptentes. Les responsables scurit du ministre concern effectueront les
manipulations ncessaires.
Concernant le second point, cest--dire la prvention, le COSSI aide les minis-
tres mettre en place des protections et organise des exercices thoriques et rels
tous les ans.

Pour anticiper les attaques et larrive de nouveaux codes malveillants, le centre
a install diffrentes sondes qui attrapent tout ce qui trane certains points de la
toile. Nous voyons ainsi en temps rel ce qui se passe , dclare Philippe Brandt.
Ces sondes dtectent les comportements anormaux et lancent immdiatement une
alerte en cas de dtection dun tel comportement.
Toujours propos danticipation, le COSSI informe lensemble des ministres
ds quune vulnrabilit est repre. Si un proof-of-concept (le prototype dun code
malveillant en quelque sorte) est dcouvert, le centre le rcupre afin de tester son
impact. Il informe aussitt les ministres et les autorits par un flash spcial sur le ris-
que potentiel. Avant on comptait cinq jours entre la dcouverte dune vulnrabi-
lit et son exploitation, maintenant cest quelques jours, voire quelques heures ,
assure le chef du COSSI.

Le CERTA
Le Centre dExpertise gouvernemental de Rponse et de Traitement des Atta-
ques informatiques a t cr en 1999 au moment du prsuppos bug de lan
2000 . Il a une mission prventive : reprer les vulnrabilits et les traiter.
Chaque jour, ce site (www.certa.ssi.gouv.fr) publie une moyenne de cinq avis
de vulnrabilit dtects sur des logiciels et accompagns des moyens de sen
protger. Plus de 1500 documents (avis, alertes, notes dinformation, recomman-
dations) sont disponibles. Une note dinformation du Certa liste ainsi les bons
rflexes en cas dintrusion sur un systme dinformation . Une recommandation
datant de juin 2005 numre les moyens de se protger contre une attaque
cible par cheval de Troie . Autant dinformations qui constituent une rf-
rence pour les systmes et les rseaux publics ou privs.
Le CERTA collabore avec le FIRST1, le TF- CSIRT2, les trois CERT3 franais et
la dizaine de CERT gouvernementaux dautres pays.
14.1.2 Le Ministre de lIntrieur1 2 3
Il existe plusieurs structures. La plus emblmatique est la Direction de la surveillance du

territoire. Assurant une veille permanente dans le domaine des TIC, la DST a aussi une
activit de prvention qui sexerce dans quatre domaines : la tlphonie, la criminalit
informatique, les satellites et les matriels soumis une rglementation (art R226 du
Code pnal). Elle est donc en relation avec les oprateurs de Tlcom et les socits de
SSI (qui commercialisent des matriels pouvant porter atteinte la vie prive) et les
socits de cryptologie. Les informations concernant cette entit tant videmment trs
limites nous prsenterons donc les autres structures charges de la cybercriminalit.
14.1.2.1LOCLCTIC
Cr en mai 2000, lOffice Central de Lutte contre la Criminalit lie aux Techno-
logies de lInformation et de la Communication est une structure vocation inter-
ministrielle (il regroupe donc des policiers et quelques gendarmes) place au sein de
Direction Centrale de la Police Judiciaire (DCPJ). Il lutte contre les auteurs
dinfractions lies aux TIC, enqute la demande de lautorit judicaire, centralise
et diffuse linformation sur les infractions lensemble des services rpressifs (DCPJ,
Douanes, Gendarmerie). A noter que la Prfecture de Police de la capitale dispose
dun service similaire, la Brigade denqutes sur les fraudes aux technologies de
linformation. Dirige par le commissaire principal Yves Crespin, la BEFTI (une
trentaine de personnes) a un rayon daction limit lIle de France alors que celui de
lOCLCTIC (35 personnes) est national.
1. Forum of Incident Response and Security Teams. www.first.org

2. Task Force - Computer Security Incident Response Teams ou Coordination europenne des
organismes de rponses aux incidents de scurit.
3. Computer Emergency Response Teams (www.cert.org). Il y en a trois : CERT-A (Administra-
tion), CERTIST (entreprises prives) et CERTRENATER (Enseignement, universits).

Mais cette rpartition nexclut pas lextension de comptence au niveau

national ou international dans les affaires de haute technicit inities par la BEFTI.
La BEFTI, ex SEFTI devenu Brigade en 2000, dispose de 24 enquteurs dont 17 tra-
vaillent principalement sur les affaires (environ 300 par an) visant lintgrit des
rseaux et non pas, lexception de quelques infractions spcifiques, la dlinquance
vhicule par Internet. En effet, au sein de la Prfecture de Police de Paris, chaque Bri-
gade de Police Judiciaire dispose de groupes spcialiss dans son domaine de comp-
tence. Par ailleurs, au sein de la BEFTI, un Centre dAssistances. Il est compos de 7
policiers spcialistes qui dassistent techniquement ( tous les stades des investigations)
toute direction du ressort de la Prfecture de Police ou magistrat qui en ferait la
demande. Ce concours correspond gnralement lexploitation du contenu dun ordi-
nateur dans un temps limit la dure dune opration de Police ou dlai dune garde
vue. Cette ncessit dassistance suit une courbe exponentielle danne en anne.
Si les effectifs de la BEFTI ont trs sensiblement t renforcs depuis 2 ans (2 3
personnes) et ses moyens matriels sont de meilleure qualit, son budget de fonc-
tionnement a t revu la baisse.
Successeur de la Brigade Centrale de Lutte contre la Criminalit Informatique,
lOCLCTIC est dirig depuis 2006 par le commissaire principal Fabien Lang, qui
succde Catherine Chambon. Environ 150 dossiers sont traits chaque anne.
Nos agents sont avant tout des experts de la procdure pnale , prcise-t-elle. Ne
trouvant pas toujours sur le march les logiciels ad hoc, et ne disposant de toute
faon pas forcment des budgets pour les acqurir, les policiers de linformatique se
font volontiers dveloppeurs. Des solutions pour traiter, dans des conditions satisfai-
santes, les donnes fournies par les oprateurs tlcoms, pour rendre lisibles des ima-
ges floues sur un film dune vido de contrle, en passant par les analyses techniques
des frquences du spectre vocal sur une bande-son afin de sassurer de lidentit de la
personne qui parle sur un enregistrement 1 2
Des recherches qui cotent cher

Lorsque la police ou la Gendarmerie demande un oprateur de tlphonie mobile

de localiser un abonn, cette requte est facture quelques euros. Cest la mme
chose pour lInternet. Dans ce cas, il sagit didentifier une adresse IP. Selon le site
Zataz2, ce genre de demande dinformation cotait 12 euros chez Club-Internet,
17 euros chez Noos, 20 euros chez Free, 40 euros chez Orange et 55 euros chez Alice.
Ces cots tant jugs exorbitants par les pouvoirs publics, un accord aurait t
trouv : chaque recherche serait facture environ 0,99 euro. Chaque requte
formule auprs dun fournisseur daccs, interlocuteur incontournable de
lenquteur, doit faire lobjet dune autorisation cas par cas de la part dun magis-
trat. Cette particularit est un frein certain un type denqute dont la progres-
sion ne se conoit que par voie de rquisition.
1. Magazine 01 Informatique du 02/02/2005.

2. www.zataz.com du 7/06/06.

14.1.3 Le Ministre de la Dfense

Ce ministre a plusieurs priorits. Il doit doter ltat dquipes et de laboratoires
capables de satisfaire lensemble des besoins gouvernementaux. On peut citer lEcole
Suprieure et dApplication des Transmissions (ESAT) Rennes, et en particulier,
son laboratoire de cryptologie et de virologie dirig par lun des deux auteurs de ce
livre. Il doit aussi analyser les menaces trangres sur les systmes dinformation.
Cette fonction est assure par la Direction gnrale de la scurit extrieure
(DGSE). De son cot, la Direction de la protection et de la scurit de la dfense
(DPSD) assure de son ct une veille sur la scurit des industries de dfense. Les
Armes et la DGA (Direction gnrale de larmement) possdent chacune une
entit constitue de spcialistes de la SSI, charge en particulier de procder aux
audits des systmes dinformation dpendant de lautorit qualifie correspondante.
En matire de scurit informatique, la Gendarmerie joue aussi un rle de pre-
mier plan. Ds 1998, elle a cr le dpartement de lutte contre la cybercriminalit au
sein du Service technique de recherches judiciaires et de documentation (STRJD).
Elle sappuie aussi sur les comptences de lInstitut de recherche criminelle de la
gendarmerie (IRCGN) et des services de la sous direction de la police technique et
scientifique de la police judiciaire bass Ecully.
Cr en 1987, cet institut a reu de la direction gnrale de la gendarmerie natio-
nale quatre missions principales :
Effectuer, la demande des units et des magistrats, les examens scientifiques
ou les expertises ncessaires la conduite des enqutes judiciaires.
Apporter en cas de besoin aux directeurs denqutes, le soutien ncessaire au
bon droulement des constatations, principalement par la mise leur disposition
de personnel hautement qualifi disposant de matriels adapts et spcialiss.
Concourir directement la formation des techniciens en identification crimi-
nelle et linformation des enquteurs.
Poursuivre dans tous les domaines de la criminalistique les recherches ncessai-
res au dveloppement des matriels et des techniques dinvestigation criminelle.
Nous disposons aussi dune cellule de veille spcialise sur la fraude et la veille
technologique pour toutes les arnaques sur Internet 1, ajoute le Capitaine Eric
Freyssinet qui dirige le laboratoire de la Gendarmerie Nationale (recherche de la
preuve numrique dans les enqutes de police).
Il existe deux types denquteurs au sein de la Gendarmerie. Il y a tout dabord
quelque 160 enquteurs qui ont suivi une formation de six semaines. Il y a ensuite
des enquteurs IRCGN. Avec des experts en analyse scientifique des preuves, ils
recherchent des traces, rcuprent des donnes, analysent le fonctionnement de key-
loggers bancaires et les dispositifs de rcupration de caractristiques de carte ban-
caire en vue dune copie.
1. Extrait dune interview parue dans le numro 4 de la revue Magsecur.


14.2 Les organismes trangers 171
Ces deux types denquteurs ont dabord suivi la formation de gendarme

traditionnel avant dintgrer les quipes spcialises en cybercriminalit. Do
un recrutement plus compliqu.
Adresses utiles
La Gendarmerie : il faut contacter le Service Technique de Recherches Judiciai-
res et de Documentation (STRJD) : judiciaire@gendarmerie.defense.gouv.fr
BEFTI : Son territoire est Paris et la petite couronne. 122, rue du Chteau des
Rentiers. 75013 Paris. Tel : 01 55 75 26 19.
OCLCTIC : cet organisme relve du Ministre de lIntrieur. 101 rue des Trois
Fontanots. 92000 Nanterre. Tel : 01 49 27 49 27.
14.2 LES ORGANISMES TRANGERS
Si le niveau de protection informatique dun Etat se mesure aux effectifs de ces

entits spciales, alors la France nest pas bien protge ! Aux Etats-Unis, la Divi-
sion Information Assurance de la NSA compte environ 3000 personnes. En Alle-
magne, le Bundesamt fr Sicherheit in der Infromationstechnik (BSI) en emploie
450. Enfin, au Royaume-Uni, le Communications Electronics Security Group
(CESG) a aussi 450 agents. Rien voir avec les quelque 110 membres de la DCSSI.
En ralit, ce comparatif nest pas vraiment significatif des rapports de force entre
autorits et escrocs. La France dispose dune palette trs large de services spcialiss
et comptents. La diffrence fondamentale se trouve plutt au niveau de la sensibi-
lisation des victimes potentielles, quil sagisse de particuliers ou dentreprises prives
et publiques. Plusieurs spcialistes rencontrs estiment en effet que les anglo-saxons
sont un peu plus sensibiliss que nos compatriotes.
14.2.1 Les Etats-Unis

Depuis les attentats de septembre 2001, la scurit est devenue une priorit absolue
de la Maison blanche. Cela concerne entre autre les rseaux informatiques et tl-
coms. Le Federal Bureau of Investigation (F.B.I), les Douanes, lUS Air Force, tous
ont mis en place des units spcialises dans les technologies de linformation. Un
domaine trs vaste qui va du piratage de musique ou de vido, en passant par la
surveillance lectronique de nombreux individus ou groupes considrs comme
dangereux pour la nation, sans oublier les escroqueries en tous genre qui se multi-
plient sur le Web.
Lorganisme le plus connu (ou plutt celui qui fait le plus fantasm) est la
National Security agency (www.nsa.gov). Cre en 1952, la NSA a pour mission de
protger les systmes dinformation des Etats-Unis et dobtenir des renseignements
partir dinterceptions et des coutes dautres pays. Cest donc la fois une agence de

cryptologie et une agence de renseignements. Elle emploierait quelque 100 000 per-
sonnes (voir chapitre 15) pour toute la chane de transmission (interception,
coute, dcryptement, analyse, traduction). Son budget nest pas connu.
Lautre service est le FBI. Les Fdraux ont dcroch quelques beaux tro-
phes. Pour dmanteler des rseaux illicites, le FBI nhsite pas se faire passer pour
des pirates. Ce fut le cas en octobre 2005. Lorganisme fdral a mis fin aux agisse-
ments dun important groupe de contrefacteurs de musique connus sous le pseudo-
nyme de 4CHOON. Pour schanger leurs chansons, cette bande avait ^ris le
contrle des serveurs sur lesquels il fallait montrer patte blanche pour y accder. Le
FBI a donc d se faire passer pour des pirates pour infiltrer ce rseau et mettre la main
dessus Les Fdraux exploitent aussi les comptences de pirates quils arrtent.
Cest le cas par exemple de Justin Petersen. Arrt en 1989 pour stre introduit sur
le rseau de TRW, il a t relch pour aider le FBI pister et arrter des pirates.
14.2.2 Le Royaume-Uni
La scurit informatique revt un aspect particulier outre-Manche1. Depuis 2003, le
Royaume-Uni sest dot dune stratgie nationale qui met laccent sur le partenariat
avec le secteur priv. Le pays a aussi mis laccent sur linformation des entreprises et
des usagers.
Cr en 1999, le National Infrastructure Security Co-ordination Centre sappuie
sur lUNIRAS (CSIRT gouvernemental) pour fournir aux oprateurs des infrastruc-
tures critiques des avis techniques, des informations sur les menaces, les vulnrabili-
ts et les niveaux dalerte.
Comme les autres Etats, le pays a aussi cr diffrents organismes spcialiss. Il y
a par exemple le Central Sponsor Information Assurance (CSIA) et le Communica-
tions and Electronic Security Group (CESG). Ce dernier est lquivalent de la
DCSSI en France.
14.2.3 LAllemagne
En 2005, le pays a adopt un plan national pour la protection des infrastructures
dinformation. Il comporte trois objectifs principaux :
la prvention afin de protger convenablement les infrastructures ;
la prparation afin de rpondre efficacement en cas dincidents de scurit
informatique ;
le maintien et le renforcement des comptences allemandes dans le
domaine SSI.
1. Source : La scurit des systmes dinformation : Un enjeu majeur pour la France . Rapport
du Dput Pierre Lasbordes. Novembre 2005.

14.2 Les organismes trangers 173
Sa mise en oeuvre sappuie notamment sur le BSI (www.bsi.bund.de), homologue

de la DCSSI. Le BSI a aussi cr un standard professionnel en 1993, une IT Base-
line Protection (les bases de la protection dun systme dinformation) remise
jour constamment qui est devenu un standard pour lindustrie. Cest un ensemble de
bonnes pratiques qui permettent de scuriser un systme.
Figure 14-3 Budget de la BSI.
En rsum
En dcembre 1907, Georges Clemenceau dote la France des Brigades rgionales
de police mobile , plus connues sous lexpression des Brigades du tigre . Pour
la premire fois, la police dispose de voitures et de moyens (coordination des
informations entre la police et la Gendarmerie, dossiers sur les criminels, anthro-
pomtrie) lui permettant de rivaliser avec les bandits. Un sicle plus tard, la
France a su sadapter lvolution de la criminalit qui a trouv avec Internet un

nouveau territoire conqurir. Des ingnieurs en informatique ctoient des poli-
ciers et des gendarmes. Les ordinateurs portables ont remplac les automobiles
Renault EK. Mais la donne ne semble pas avoir beaucoup chang : les escrocs ont
toujours un (petit) coup davance

15
Les tats qui copient
les pirates
Les technologies de linformation et de la communication reprsentent un formidable

potentiel. Mais comme tout potentiel de cette nature, dont la porte est dsormais
mondiale, la surveillance des tats est permanente. Au fond, le cyberespace, dans son
acceptation la plus large, est un nouvel espace quil convient non seulement de
protger, mais galement de contrler. Or, la notion de contrle est difficile dfinir
et cerner mme pour un tat : comment sassurer que les vigiles de cet espace, dont
le rle est de protger les usagers ou habitants, ne vont pas devenir corsaires , voire
des pirates, pour une raison ou une autre. L est tout le problme. En particulier, sil
existe un droit de la guerre et des conflits arms (la Convention de Genve par
exemple), il nen existe pas de vritable pour le monde virtuel. Rsultat : chaque
pays, en fonction de sa position plus ou moins dominante sur le sujet, est tent
(quand il ne la pas dj fait) de dfinir ses propres rgles et de les appliquer.
Le meilleur exemple est sans doute la conception amricaine sur le sujet. Etendant
la notion de territorialit du gographique au numrique, ce pays considre que toute
agression contre un serveur de nom de domaine amricain est un acte de guerre com-
parable une agression de son territoire national et de ce fait, est libre de prendre tou-
tes les mesures adquates : les Etats-Unis considrent toute adresse Internet
libelle en .US comme faisant partie du territoire amricain et sautorisent des repr-
sailles en cas dattaques informatiques , rvle le lieutenant-colonel Tarbouriech, de
la cellule programme interarmes de ltat-major des Armes1. Rappelons-nous que le
rseau Internet, cr en 1971 sous le nom Arpanet la demande des militaires du Pen-
tagone, est depuis gr par lICAN. Cet organisme amricain en contrle tous les roua-
ges, ce qui na pas manqu dtre soulign lors de la dernire confrence internationale
1. Cyberabordage, Comment combattre les hackers, Armes daujourdhui, numro 302, juillet-aout
2005.

176 Chapitre 15 . Les tats qui copient les pirates
sur le sujet Tunis en 2006. Or, depuis quelques annes et en particulier depuis le
11 septembre 2001 les conceptions ont chang. Une loi comme le Patriot Act, offi-
ciellement institue pour lutter contre le terrorisme, a connu des dbordements qui
proccupent actuellement non seulement la justice amricaine et la socit amri-
caine dans son ensemble mais galement le monde entier, puisque les rcentes affaires
dcoutes plus ou lgales concernaient des ressortissants trangers, sur leur propre sol
national Mais dun autre ct, des groupes terroristes comme le Hezbollah ou Al Qaida
disposent de capacits et de personnels rompus aux techniques de cyber-guerre ou
de cyber-terrorisme .
Alors nouvel art de la guerre, nouvelle forme de renseignement ou nouvelle
thique ? Les pays sont-ils tents dutiliser les armes et les moyens des pirates et
autres hackers, pour la raison dtat ? Techniquement, cela ne reprsente aucune diffi-
cult. Entre recruter parmi llite universitaire ou embaucher quelques pirates repentis,
les Etats ne sont pas en mal de constituer des quipes importantes et extrmement
comptentes. Le problme se situe avant tout au niveau politique. Cest une question
de volont et de choix qui relve avant tout dune vision de socit. Nous sommes loin
de la phrase de Edgar J. Hoover1 qui affirmait quun gentlemen nespionne pas la cor-
respondance des autres . Depuis, le maccarthisme, le Watergate et les dbordements
sous couvert du Patriot Act ont montr que certains Etats ne reculaient devant aucun
moyen, fussent-ils ceux des pirates, pour exercer certaines fonctions rgaliennes pour
ne pas dire rganiennes2 . commencer par les Etats-Unis, modle dans bien des
domaines. Mais la transparence amricaine, presque nave est peut-tre larbre qui
cache la fort. Elle permet au moins davoir quelques informations, et de l de se faire
une ide. Malheureusement, dautres pays nont pas la mme attitude et cachent soi-
gneusement toute activit de ce type. Espionnage de ses propres citoyens, guerre co-
nomique, espionnage industriel, atteintes mdiatique aux personnes, guerre
informatique militaire tout lattirail des pirates est disponible.
15.1 LTAT DES FORCES
Il nexiste que trs peu dinformations sur lutilisation de la guerre informatique offen-
sive par les Etats. Discrtion oblige. Encore moins quand les comportements de hackers
sont le fait de personnels gouvernementaux. Il y a fort parier que, pour les pays dmo-
cratiques du moins, le recours des mercenaires des pirates plus ou moins manipuls,
des socits de service spcialises, leur permet de garder les mains propres. Ltat
des lieux que nous prsentons a privilgi lexactitude des faits sur lexhaustivit3.
1. Directeur du FBI de 1924 1972.

2. Cest en effet sous le mandat du prsident Reagan, que le renseignement amricain a com-
menc passer du renseignement purement stratgique et militaire vers le renseignement co-
nomique, incluant lespionnage de socits trangres.
3. Les donnes cites ici proviennent, pour la plupart, de deux ouvrages : Eric Filiol, Les virus
informatiques : thorie, pratique et applications, Springer Verlag 2004 et Cdric Thvenet, Cyber-
terrorisme, mythe ou ralit, Mastre CESD, Universit de Marne-la-Valle, 2005.

15.1 Ltat des forces 177
15.1.1 Les Etats-Unis

La philosophie amricaine peut tre rsume par la phrase du gnral John Bradley,
ancien responsable du Computer Network Attack (CNA) : nous passons plus
de temps sur les projets dattaques informatiques que sur les rseaux de dfense parce
que beaucoup de personnes un niveau trs lev sont intresses. Ainsi, en
2002, George Bush a sign la directive sur la scurit nationale numro 16, ordon-
nant au gouvernement amricain de prparer des plans nationaux de lutte lectro-
nique offensive contre des ennemis potentiels (ce qui en dit long quand on sait que
cette dfinition est gomtrie variable).
En mars 2005, devant le Snat amricain, lU.S. Strategic Command (Stratcom)
rvlait lexistence du Joint Functional Component Command for Network Warfare
(JFCCNW). Cette unit compose de hackers, au service de larme amricaine, a
pour mission prioritaire de protger les rseaux du ministre amricain de la
Dfense, mais galement de participer activement au CNA. Au cours de laudience
au Snat amricain, le porte-parole de Stratcom ne laissait aucun doute sur la force
de frappe de lquipe de hackers recruts par larme amricaine : pour des raisons
de scurit, nous ne pouvons donner aucun dtail. Toutefois, tant donn la dpen-
dance de plus en plus forte aux rseaux informatiques, toute capacit informatique
offensive ou dfensive est grandement souhaitable .
Il est ds lors difficile de dire quoi peut servir cette force nouvelle forme de
guerre, despionnage ou uvre de basse police et quelles collaborations elle entre-
tient avec les agences comme la NSA dont les capacits en matire dinterceptions,
de dcryptement et dcoutes sont prodigieuses. Il est clair que des laboratoires
comme lIWAR West Point, le Naval War College Monterey, des infrastructures
comme le rseau RINSE, sont impliqus et quil en existe bien dautres. Enfin, nom-
breux sont les cas o des pirates repentis ont t et sont utiliss par des agences
gouvernementales amricaines.
Quelques cas de dbordements sont dj connus. Les Etats-Unis les lgitiment
par la lutte contre le terrorisme. En 2001, les services amricains ont largement
espionn les flux bancaires internationaux. Le quotidien Le Monde1 rvle que

lAgence centrale de renseignement (CIA) a pass au crible, sous le contrle du
dpartement du Trsor, des dizaines de milliers de transactions financires impli-
quant des Amricains et des trangers, dans le cadre dun programme clandestin
lanc au lendemain des attentats du 11 septembre 2001 aux Etats-Unis.
En dcembre 2005, rapporte le quotidien du soir, le New York Times rvlait un
programme secret de la National Security Agency (NSA) comprenant, aux Etats-
Unis, sans laval dun juge, des interceptions de communications tlphoniques et de
messages lectroniques de personnes suspectes dtre en relation avec des membres
dAl-Qada ltranger. En mai, USA Today affirmait que la NSA avait aussi collect
auprs de compagnies de tlphone les listes de dizaines de millions dappels dAm-
ricains ordinaires.
1. Le Monde, 24/6/2006.

Toujours rapport par Le Monde, Michael Hayden nomm en mai 2005 la

tte de la CIA, aprs avoir dirig la NSA de 1999 2005 prcisait : si jai mis en
place ce programme (dcoutes tlphoniques) en octobre 2001, cest parce que ma
responsabilit est de dfendre la nation et la scurit de la Rpublique. Lexistence
du Terrorist Finance Tracking Program (Programme de traque du financement du
terrorisme) a t confirme en juin 2006, par le dpartement du Trsor. Il affirme
quil est limit la surveillance des oprations bancaires de personnes souponnes
de liens avec Al-Qada.
Mais un tel programme ne peut pas exister sans la collaboration du rseau de la
Society for Worldwide Interbank Financial Telecommunication (Swift), une coo-
prative interbancaire dont le sige se trouve en Belgique, centre nerveux des tran-
sactions financires mondiales par lequel transitent 6 000 milliards de dollars par
jour. Elle fournit ses services 7 800 tablissements financiers de plus de 200 pays.
Par rquisition administrative, sans laval dun juge, le dpartement du Trsor
obtient chaque jour des donnes de Swift. Lexistence de cette surveillance secrte
est connue depuis le dbut par les banques centrales du G10 (Canada, Allemagne,
France, Italie, Japon, Pays-Bas, Sude, Suisse, Angleterre, Etats-Unis, ainsi que par
la Banque centrale europenne) et les pays allis des Etats-Unis dans la guerre con-
tre le terrorisme. Mais, comme avec les coutes clandestines de citoyens amricains
menes sans lautorisation de la justice par la National Security Agency (NSA),
ladministration Bush semble avoir dlibrment contourn les lois protgeant les
liberts individuelles. Le journal Le Monde rvle galement que le gouverne-
ment avait demand au New York Times de ne pas publier son article, mais le quoti-
dien a refus.
15.1.2 La Russie et les anciens pays du bloc communiste

Parler du renseignement des ex-pays de lEst nest pas plus facile aujourdhui
quhier. Il est cependant clair que ces pays sintressent depuis trs longtemps aux
technologies de linformation. Outre la volont, ces Etats (en premier la Russie et
lUkraine) possdent un extraordinaire vivier de matire grise. Il est peu prs
certain qu lheure actuelle ils comptent les meilleurs spcialistes dans les techni-
ques de piratage et de hacking. Et ce genre de savoir-faire ne nat pas spontan-
ment. Que ce soit le KGB (8me direction principale ou la direction T, par
exemple), les services bulgares (suspects de soutenir une quipe de programmeurs
de virus connue sous le nom de Bulgarian Virus Factory), roumains (services E, T et
D) ou ceux de la Stasi (directions principales III, XIX et XXVI)1, tous ces pays ont
utilis ces techniques pour espionner lOccident. Il serait trs surprenant que ces
activits aient cess
1. La Stasi a notamment t suspecte avec le KGB de manipuler et dinstrumentaliser les mem-

bres du fameux Chaos Computer Club de Berlin.

15.1.3 Les deux Cores

Ces deux pays ont depuis les annes 90 manifest leur intrt pour la cyber-guerre.
La Core du Sud annonait officiellement, en 20041, que sa voisine du nord stait
dote dune composante militaire de guerre informatique de 500 hommes. La Core
du Nord, elle, squipe, sentrane et aurait dj men des oprations relles, notam-
ment contre les rseaux de la Core du Sud. Selon des responsables amricains et
sud-corens, la Core du Nord entranerait secrtement une arme de hackers au
cyberterrorisme. Pour Cho Kyong-won (agence France-Presse du 7 juin 2003),
expert pour la plus importante socit sud-corenne de scurit informatique,
AhnLab, ce nest pas parce que leur pays est pauvre que ces combattants du cyberes-
pace sont incomptents ou dpasss. Il se peut quils soient bons , estime-t-il. En
2003, le gnral Song Young-Geun, qui commande le Dpartement sud-coren de
scurit de la dfense, a averti les autorits de Soul que leur voisine du nord lchait
dans la nature 100 hackers par an, sans pouvoir cependant en apporter la preuve.
En 2002, le conseiller en technologie pour la Maison Blanche, Richard Clarke,
avait rvl une commission parlementaire amricaine que la Core du Nord,
(mais aussi lIrak et lIran, ainsi que la Chine et la Russie), entranaient des jeunes
gens aux subtilits du sabotage informatique. Quil sagisse dlaborer des virus
informatiques, des missiles ou des bombes nuclaires, il faut les mmes aptitudes
informatiques de base , estime un autre chercheur dAhnLab, Jung Kwang-Jin. De
plus, il semblerait que Kim Jong Il se soit rcemment pris de passion pour les ordina-
teurs. Au cours de ses rares visites lextrieur (en Chine et en Russie en 2000), il a
visit des laboratoires informatiques et des centres de haute technologie. Ds son
retour, il a ouvert des laboratoires dans son pays et rendu lenseignement de linfor-
matique obligatoire. Leur dveloppement en matire de savoir-faire informatique
est comparable celui des pays dvelopps , estime Park Chan-mo, un scientifique
sud-coren qui enseigne luniversit Pohang de sciences et de technologie, qui tra-
vaille en collaboration avec la Core du Nord. Des informations prcises sur lten-
due des capacits de la Core du Nord en matire de diffusion de virus et de
pntration des systmes informatiques seraient dune importance stratgique cer-
taine pour les Etats-Unis. La Core du Sud, qui est lun des pays les plus informatiss
du monde (plus de 70 % des mnages ont un accs Internet haut dbit), craint
aussi pour sa scurit. En janvier, une infection virale a paralys le rseau Internet
national pendant plusieurs heures.
15.1.4 La Chine et lAsie

Depuis le dbut des annes 90, la Chine dveloppe ses capacits en cyber-guerre. La
doctrine militaire chinoise intgre la cyber-attaque comme une composante de sa
stratgie visant dfaire un ennemi mieux quip ou suprieur en nombre. Lors dune
allocution devant le congrs, le directeur de la CIA, George J.Tenet2, a affirm que la
1. Agence France Presse, 4 octobre 2004.

2. George Tenet, Testimony Before the Senate Comittee on Government Affairs, Juin 1998.

Chine cherchait contourner lavance technologique de larme amricaine en utili-

sant la cyber-guerre comme arme asymtrique. La volont de la Chine tant de
ngliger lobsolescence de ses chars, bateaux et avions et de se concentrer sur les
failles technologiques adverses. LArme de Libration Populaire a bien compris la
dpendance sans cesse croissante des armes modernes vis--vis de linformatique et
de leurs besoins permanents de communiquer. ce titre, une attaque comme celle
visant des membres du Parlement britannique (utilisation de la faille WMF) et iden-
tifie comme venant de Chine pourrait trs bien entrer dans ce cadre. De mme, en
2005, un piratage de grande ampleur, identifi comme venant de Chine a frapp des
sites dinformation amricains sensibles (centre militaires, NASA).
Un expert en scurit du SANS Institute a dvoil de nouvelles informations sur
des vols rpts de documents sensibles dont ont t notamment victimes, en 2004,
des bases de larme amricaine ou encore la Nasa. Un commando informatique,
baptis Titan Rain compos de vingt Chinois bass dans la province de Guan-
gdong aurait russi pntrer des rseaux informatiques et semparer, entre autres,
de documents sensibles. Ils ont obtenu, depuis larsenal Redstone, base de lavia-
tion militaire et du centre de commandes de missiles, les spcifications dun systme
de plans de vol pour les hlicoptres de larme, ainsi que le logiciel de planification
des vols Falconview 3.2 utilis par larme et lUS Air Force , a indiqu Alan Paller,
le directeur du SANS Institute lors dune runion au ministre du Commerce et de
lIndustrie britannique, Londres. Ces vols auraient dbut en 2003. Une attaque
massive a eu lieu en novembre 2004, rendue publique seulement en 2005. Le quoti-
dien amricain The Washington Post a rapport que des sites chinois taient utiliss
pour cibler des rseaux informatiques du ministre de la Dfense et dautres agences
amricaines.
Selon Alan Paller, durant la nuit du 1er novembre 2004, les pirates ont dabord
exploit des failles dans le poste de commandes du systme dinformation de larme
amricaine, Fort Huachuca (Arizona). Ils ont ensuite tir parti de la mme faille
dans les ordinateurs de la DISA, un organisme qui administre des portions du rseau
Internet entrant dans la composition du rseau militaire, Arlington, Virginie. Puis,
ils sen sont pris une installation de la marine amricaine San Diego (Californie).
Avant de pntrer un autre site traitant des questions spatiales et stratgiques
Huntsville (Alabama).
Le magazine Time a, lui aussi, relat laffaire, indiquant quun expert en scurit
amricain du ministre de lnergie, Shawn Carpenter, avait repr le mange des
Chinois. Les pirates ont laiss des portes daccs pour pouvoir revenir. Il a russi
remonter jusqu eux, en pntrant des routeurs en Chine. Il a pu enregistrer des
sites ayant t corrompus, et dcouvert des donnes voles par les pirates.
Le directeur du SANS Institute estime que le bnficiaire des donnes rcoltes
nest autre que le gouvernement chinois. Bien sr, que cest le gouvernement. Les
gouvernements donneraient tout pour prendre le contrle des ordinateurs dautres
gouvernements. Cest bien plus efficace que deffectuer des coutes tlphoniques.
(Source : AFP du 25 novembre 2005).

Mais les autres pays dAsie ne sont pas en reste, ne serait-ce que pour contreba-
lancer lexemple chinois. La Jemaah Islamiah recrute en ligne les auteurs de ses
futures cyber-attaques. Rohan Gunaratna, prsident de lInstitute of Defense and
Strategic Studies de Singapour et auteur de plusieurs ouvrages sur Al Qaeda et la
Jemaah Islamiah met en garde les nations du Sud-est asiatique contre la menace
grandissante des cyber-attaques terroristes. LInde dveloppe galement des capaci-
ts dans ce domaine. En 1999, elle se dotait dun Institut des Technologies de
lInformation et les premiers cours taient donns sur le campus temporaire de
Hyderabad dans le but de former les tudiants aux rudiments de la cyber guerre. En
2002, est ne luniversit de Dfense nationale (National Defense University) dont
lobjet est la guerre de linformation et la rvolution numrique. Paralllement,
lInde a mis au point une stratgie de cyber-guerre incluant lassistance du secteur
priv du logiciel. Le dveloppement de moyens par le gouvernement indien sexpli-
querait notamment par les activits offensives du Pakistan dans le domaine num-
rique. Selon Ankit Fadia, un consultant en scurit informatique indien, les
services de renseignements pakistanais paient des pirates occidentaux entre 500$ et
10.000$ pour dfacer des sites indiens. Les groupes hacktivistes dfacent
selon lui jusqu soixante sites par mois. LInde sest donn les moyens dune relle
politique de dveloppement informatique et a fait en sorte dintgrer la cyber-
guerre dans sa doctrine militaire.
15.1.5 Le Proche et Moyen-Orient

Des pays comme lIran, des groupes palestiniens ou pro-palestiniens, et Isral sont
galement intresss par la cyber-guerre, mme sil est trs difficile davoir des infor-
mations prcises. Selon Cdric Thvenet (voir note de bas de page numro 4), la
tendance la militarisation et lisolationnisme conomique pousse lIran tudier
avec intrt la piste des armes non conventionnelles, incluant une connaissance
avance des nouvelles technologies. Certains lments laissent penser que la
nation iranienne a commenc dvelopper une capacit de cyber-guerre dans le but
de compenser les carences de son arme. Lobjectif de la politique iranienne est de
dvelopper le secteur des technologies de linformation tout en conservant le mono-

pole et le contrle des accs Internet. Les moyens consentis par les autorits
iraniennes dans le contrle de lInternet indiquent une matrise des technologies de
linformation susceptible dtre utilise dans des actions de cyber-guerre.
Lutilisation du piratage comme arme dans une stratgie du faible au fort a depuis
longtemps t considre par les diffrents groupes palestiniens. En juin 2006, des
pirates informatiques pro-palestiniens ont mis en panne des centaines de sites Inter-
net israliens alors que larme de lEtat hbreu lanait une opration denvergure
dans le sud de la Bande de Gaza pour tenter de rcuprer un soldat isralien captur,
selon le quotidien Jerusalem Post. Quelque 700 sites ont t ferms et leur page
daccueil a t remplace par le message pirat par lquipe du mal des pirates ara-
bes. Vous tuez des Palestiniens, nous tuons des serveurs israliens . Selon le Jerusa-
lem Post, cette quipe comprendrait six membres et serait apparemment base au
Maroc. Elle aurait commenc attaquer des sites du gouvernement amricain en

2004. Parmi les sites viss figuraient celui de la plus grande banque isralienne, Bank
Hapoalim, ainsi que celui dun hpital de Hafa, de BMW Isral, Subaru Isral et
Citron Isral (source AFP du 30 juin 2006).
De faon plus gnrale, Pierre de Bousquet, patron de la DST, affirme que le ris-
que de cyber-terrorisme est bien rel1 et quil est devenu une proccupation de ltat
franais. Dans ce contexte, affirme-t-il, les entreprises mais galement lEtat sem-
blent vulnrables avec des possibilits de plus en plus rduites de mettre en uvre
des solutions de protection efficaces . Il estime quen 2000 prs de 100 % des grou-
pes terroristes islamiques utilisent le web.
Enfin, en ce qui concerne un pays comme Isral, il est difficile de savoir avec pr-
cision quel est le niveau dengagement en matire de cyber-guerre. Ds le dbut des
annes 90, des souches virales comme celles de SURIV ont t attribues aux servi-
ces du Mossad. Lutilisation de techniques assimilables du hacking ou du piratage a
souvent t cite (en fvrier 1998, lespionnage de militants islamiques Berne, par
exemple, ou llimination de Y. Ayyash aprs avoir pirat distance son tlphone
portable en 1996). Un ouvrage comme celui de Nima Zamar2, ancien membre du
Mossad, est rvlateur. Cette agent a utilis le pigeage dordinateurs palestiniens et
son tmoignage indique que ces techniques sont dun usage courant.
Le niveau scientifique des Israliens ainsi quune diaspora soude et puissante,
assurant complicits et soutien logistique, rend ce type dattaques assez aises.
15.1.6 Les autres pays

Les pays europens sont trangement absents de cet inventaire. Que faut-il en
conclure ? Si la France a fait le choix politique dinterdire toute utilisation offen-
sive de linformatique pour se concentrer sur la dfense (voir note de bas de page
numro 1), la situation est peut-tre moins claire pour les autres pays, sans quil soit
possible pour autant dtre plus prcis. La lecture de louvrage de Peter Schweizer3
permet de comprendre pourquoi les services allemands (BND) ont dans le cadre du
projet Rahab, recrut des hackers des fins despionnage et doprations militaires.
Le Royaume-Uni quant lui semble avoir suivi la voie trace par son alli naturel.
A ce titre, la lecture dun livre crit par ancien du MI-6, Peter Wright4, donne
matire rflexion.
Nous allons maintenant voir, travers quelques cas trs connus sous quelles for-
mes le piratage la mode tatique peut exister. Les quelques exemples prsents ici
sont amricains. Mais il ne faudrait pas en conclure que seul ce pays est actif dans ce
domaine. Il a indubitablement la part la plus facile : matre du rseau Internet, distri-
1. Mag Secur, Avril 2006.

2. Nima Zamar, Je devais aussi tuer , Editions Albin Michel, 2003.
3. Peter Schweizer Friendly Spies : How Americas allies are using economic espionage to steal our
secrets, Atlantic Monthly Press, 1993.
4. Peter Wright The SpyCatcher Heinemann 1987. Une traduction est parue chez Laffont la
mme anne.

15.2 Les projets Carnivore et Magic Lantern 183
buteur monopolistique de systmes dexploitation et de processeurs, artisan de la

plupart des normes, une infrastructure mondiale despionnage comme Echelon
bref les tats-Unis ont tous les moyens dagir leur guise.
15.2 LES PROJETS CARNIVORE ET MAGIC LANTERN
Les Etats-Unis ont multipli les systmes de surveillance et dinfiltration et ce bien

avant les attentats du 11 septembre, lesquels ont dclench une vritable hystrie
scuritaire qui a eu son lot de dbordements anti-dmocratiques, actuellement
instruits par la Justice amricaine et le Congrs. Nous allons prsenter les trois plus
mdiatiss : les projets Carnivore, le projet Magic Lantern et laffaire des web bugs
de la NSA.
Le projet Carnivore, initi par le FBI, est n en 19971 et il est laboutissement
dun projet dnomm Omnivore. Il a t rebaptis DCS1000 en 2001, le terme de
Carnivore tant jug par trop agressif et suggestif. Sorte de cousin du fameux rseau
Echelon de la NSA, il sagit dune suite logicielle de type sniffer. Sa fonction est
dintercepter tout type de trafic sur le protocole IP en provenance des fournisseurs
daccs Internet (FAI). ce titre, Carnivore est lquivalent, pour le rseau Inter-
net, des coutes tlphoniques. Pour fonctionner, une bote noire doit tre ins-
talle chez les FAI. Lexistence de ce projet et de ces coutes na t rvle
quen juillet 2000. Le secret qui la entour na pas manqu dattirer la suspicion des
citoyens et journalistes amricains tel point que la justice amricaine a d diligen-
ter des enqutes. Malheureusement, le FBI na jamais collabor pleinement et prs
de 50 % de ses fichiers nont jamais t communiqus la justice, malgr de nom-
breuses injonctions des juges (les documents communiqus sont disponibles sur la
page web EPIC Carnivore Page2).
Dun cot total de prs de 2 millions de dollars, Carnivore est en fait un ensem-
ble doutils grs par une console unique. Initialement, le projet reconstituait en
temps rel les pages consultes par les cibles, puis peu peu le systme a accru ses
capacits : extension au systme Windows (alors quil tait limit initialement aux
systmes Solaris), gestion de la corruption de donnes, identification de cibles prci-
ses, analyse des protocoles DHCP et Radius, adaptation aux variations brutales des
flux du rseau, traitements automatiss des packets intercepts, interception FTP et
du courrier lectronique. Bref, le produit est devenu une vritable centrale despion-
nage en temps rel des diffrents trafics sur Internet.
1. Les informations prsentes ici sont tires de documents dclassifis amricains et du rapport
officiel du Electronic Privacy Information Center, rdig la demande du Dpartement de la Jus-
tice des Etats-Unis. Ltude technique a t ralise par un institut de recherche indpendant :
S. P. Smith et al. Independant Review of The Carnivore System Final Report, IITRI CR-030-
216, December 2000, IIT Research Institute.
2. http://www.epic.org/privacy/carnivore/ ; voir galement http://www.akdart.com/carniv.html

Figure 15.1 La console de configuration : lespionnage version internet.
Carnivore provoque toujours des controverses (le systme est toujours utilis
sous le nom de DCS 1000) mais il est trs difficile, malgr labondance de docu-
ments officiels, de dterminer comment et dans quel but ce systme a t utilis.
Critiqu par le Congrs amricain, inquit par la justice, ce projet trs
activement soutenu par ladministration Clinton a soulev des vagues de pro-
testations dans lopinion publique amricaine, qui craint un usage incontrl de
cette technologie. Au-del de ces considrations, le plus dsolant est que si leffi-
cacit de ce projet a pu tre tablie par la justice amricaine, travers des cas rv-
ls, le projet Carnivore a semble-t-il galement connu de graves dfaillances,
allant jusqu interfrer avec les enqutes sur Ben Laden. En effet, linterception
incontrle, en mars 2000, suite une dfaillance du logiciel, de cibles non auto-
rises, a t lamentablement gre. Pris de panique, les oprateurs ont dtruit
lensemble des enregistrements, lesquels contenaient des preuves dactivits terro-
ristes du rseau Al-Qada1.
Le projet Carnivore prsentant des dfauts et des limitations (notamment en
terme dusage car les interceptions sont statiques), un second projet plus ambitieux
mais galement plus contestable a t lanc et rvl par le FBI en novembre
20012. Magic Lantern. Il semble tre une partie seulement dun projet plus vaste,
dnomm CyberKnight (chevalier du Cyberespace), lui-mme constituant une
extension amliore du projet Carnivore (version 3.0).
Magic Lantern est en fait un ver espion ralisant de linterception de clavier. Une
fois la machine cible infecte, il est capable dintercepter tout ce qui est entr au
clavier : mot de passe, clef de chiffrement, donnes Ces donnes sont ensuite ren-
voyes de manire scurise vers les analystes du FBI (ou de la NSA ventuelle-
1. FBI memo on FISA Mistakes du 5/4/2000. Document dclassifi.

2. Ted Bridis, FBI develops eavesdropping tools, Washington Post, 22 novembre 2001.

15.2 Les projets Carnivore et Magic Lantern 185
ment)1. Lintrt de cette technologie est dtre mobile et donc de pouvoir grer
dynamiquement les cibles, en plus grand nombre que ne le faisaient les versions initia-
les du projet Carnivore. Comment est utilis ce ver prsent ? Nul ne le sait vrai-
ment. Mais le plus inquitant est la raction de certains vendeurs de logiciels antivirus
face au projet Magic Lantern. Certains dentre eux auraient modifi leurs produits afin
que Magic Lantern ne soit pas dtect. Selon Ted Bridis, du Washington Post, au moins
une socit Network Associates, diteur du logiciel McAfee a contact le FBI
pour lui assurer que Magic Lantern ne serait pas dtect par son antivirus
Dans cette atmosphre scuritaire et de peur citoyenne de dvoiements, les rv-
lations de la NSA, le 29 dcembre 2005, nont certainement pas arrang la situa-
tion. Elles ont contribu jeter un peu plus de trouble sur la nouvelle politique
amricaine en matire de scurit. La NSA utilise depuis quelques mois des cookies
et web bugs comme mouchards lectroniques. Si les cookies soccupent des pages
visits, les web bugs permettent galement la surveillance des courriers lectroni-
ques. Les cookies sont de petits fichiers textes stocks par votre navigateur Web sur
le disque dur, quand vous visitez un site Web. Ils servent (entre autres choses)
enregistrer des informations sur le visiteur ou encore sur son parcours dans le site. Le
webmaster peut ainsi reconnatre les habitudes dun visiteur.
Les web bug sont gnralement des images GIF transparentes2, de la taille dun pixel,
places dans une page Web ou un courrier lectronique au format HTML. Ils sactivent
lors du tlchargement de la page et lancent une requte un serveur distant qui collec-
tera des informations sur linternaute son insu. Parmi les informations pouvant tre
ainsi rcupres, figurent ladresse IP, le nom et la version du systme dexploitation et
du navigateur utiliss, ou mme encore la rsolution de lcran de linternaute. Ces fonc-
tionnalits sont galement prsentes dans certains documents bureautiques3. Ces dispo-
sitifs ont t insrs notamment sur le site web de la Maison Blanche Washington4.
Pourtant, lusage de ces technologies est interdit aux Etats-Unis (loi de 1994).
Si ces trois cas sont dsormais connus, force est de constater que bien des zones
dombre subsistent, non seulement sur les capacits techniques de ces outils mais
surtout sur leur utilisation relle, et notamment dans ce qui ressemble des uvres
de basse police et de surveillance de journalistes ou de citoyens hostiles la ligne

Bush. Dautre part, cette mdiatisation, qui peut surprendre, ne doit pas faire oublier
que ces cas sont peut-tre les arbres qui cachent la fort. En concentrant lattention
des mdias et du citoyen sur ces cas, ils la dtournent dautres projets du mme type.
1. Une description technique de la technologie Magic Lantern, ou du moins de son principe, est
dcrite dans le chapitre 13 du livre Les Virus Informatiques : thorie pratique et applications ,
Springer Verlag France, 2004.
2. Lutilisation dimages transparentes permet galement lactivation de certains types de virus de
manire indtectable. Voir dans Eric Filiol, Les virus informatiques : thorie pratique et
application , Springer Verlag France 2004 (pages 106 et suivantes).
3. Lire La fuite dinformations dans les documents propritaires , Journal de la scurit informati-
que MISC, numro 7, mai 2003, pp. 3541.
4. Anick Jesdanu, White House to InsvestigateContractors Web Tracking,Technologies may violate
Policy, Associated Press du 30 dcembre 2005.

15.3 LAFFAIRE HANS BUEHLER
Cette affaire1 clata en 1995. Elle constitua un vritable cataclysme dans le monde
feutr du renseignement, de lespionnage et des relations internationales. Elle fut en
fait juste lpilogue et en mme temps le rvlateur au public dune histoire
trs particulire. Depuis prs de 50 ans les services de renseignements amricains
lisaient livre ouvert les communications secrtes chiffres (diplomatiques, mili-
taires, politiques, conomiques et commerciales) de prs de 120 pays. Ils y taient
parvenus en sassurant que le plus important manufacturier de machines chiffrer
la socit Crypto-AG en Suisse insrait dans les machines vendues ces pays des
dispositifs permettant de briser les codes plus facilement soit lalgorithme tait
affaibli soit la clef tait dissimule dans le texte chiffr linsu du chiffreur.
Cet espionnage a dur de 1947 1992, cest--dire jusquau moment o les Ira-
niens clients de Crypto AG pour leurs propres besoins en machines chiffrer
ont commenc avoir des doutes quant la scurit de leurs communications. Des
dclarations faites par des politiques dans la presse, mettant en cause lIran et ses
actions terroristes (enlvement du journaliste Charles Glass en 1987, attentat con-
tre le vol 103 de la PanAm Lockerbie, assassinat de Shahpour Bakhtiar en 1991,
attentat dans un discothque Berlin) ont trs vite incit les Iraniens penser
que leurs communications chiffres les plus secrtes taient dcryptes par les Occi-
dentaux. De l souponner leur unique fournisseur, Crypto AG, il ni eu quun pas.
loccasion de son 25e voyage commercial en Iran, Hans Buehler, le super ven-
deur de la socit suisse, est arrt sous les charges despionnage pour le compte des
services allemands et amricains . Il a t retenu en captivit pendant 9 mois. Les
Iraniens ont tent (en le torturant psychologiquement) de savoir si les machines qui
leurs taient vendues taient affaiblies ou non. Crypto AG ngocia avec lIran et
paya une ranon de un million de dollars (somme paye en collaboration avec la
socit Siemens dont le nom a galement t voqu dans les collusions avec les ser-
vices amricains) pour la libration de son employ. Cette affaire aurait pu
sarrter l et il ny aurait jamais eu de scandale. Mais la socit licencia ds son
retour Hans Buehler et exigea quil rembourse la ranon paye aux Iraniens, sous
prtexte davoir livr des secrets de la socit. Cette attitude provoqua la suspicion
et les enqutes journalistiques. Elle a galement effray plusieurs salaris. Ces der-
niers ont alors commenc parler et raconter ce quils savaient.
Que rvla cette affaire ? Simplement que les services amricains (la NSA) et
allemands (le BND) avaient ngoci avec la socit Crypto-AG pour que toutes les
machines chiffrer vendues ltranger soient affaiblies afin den permettre le
1. Plusieurs sources officielles ont t utilises ici. Nous en indiquons que les principales. Le lec-
teur pourra consulter larticle de Wayne Madse, Crypto-AG : The NSAs Trojan Whore ?
(Crypto-AG, la prostitue de la NSA ? ), Covert Action Quarterly, Numro 63, 1998. Louvrage
tmoignage de Hans Buehler lui mme, Verschlsselt - Der Fall Hans Bhler , crit par
un journaliste Res Strehle, aux ditions Werd Verlag, 1998, ISBN 3-85932-141-2. Enfin,
larticle de J. Orlin Grabbe, NSA, Crypto AG, and the Iraq-Iran Conflict , novembre 1997.

15.3 Laffaire Hans Buehler 187
Figure 15.2 1 Hans Buehler et le livre tmoignage.


dcryptement facile, pour quiconque connaissait la faiblesse introduite. Les investi-

gations prouvrent que, depuis des annes, des employs de la socit avaient des
preuves de ces manipulations et les avaient transmises aux procureurs suisses sans
suite aucune.
La socit crypto AG tenta de museler Hans Buehler, les divers tmoins et les
journalistes en engageant un procs. En vain. Mme si des pressions tablies de la
NSA et du BND se sont arranges pour que les lments du dossier les plus
chauds restent jamais secrets. Le mal tait fait. Les clients de Crypto AG (Sad-
dam Hussein, le Vatican, la plupart des pays dAmrique Latine) ne firent plus
confiance aux machines de Crypto AG, socit suisse dont la neutralit affiche
avait t le meilleur des messages marketing. Autre rvlation : cette soi-disant neu-
tralit nexistait plus depuis 1956. Un document publi en 1995 par le Public
Records Office anglais prouvait que la Suisse et lOTAN avait conclu un accord
secret selon lequel la Suisse serait neutre en temps de paix mais rallierait lOTAN en
cas de guerre1. Dautres documents amricains ont galement tabli limportance de
la Suisse, notamment en ce qui concerne la fourniture de matriel de prcision et
autres matriels ncessaires la scurit nationale amricaine2 . Les recherches ont
montr que des socits tierces auraient t impliques dans les modifications des
machines chiffrer : Siemens en Allemagne. Gretag en Suisse, Transvertex et Erics-
son en Sude, Nokia en Finlande
Plus grave et ce fut l peut tre le volet le plus dlicat de cette affaire il
semblerait que les informations techniques de dcryptement connues de la NSA
aient t partages avec les Israliens et que le contenu des communications secrtes
iraniennes une fois dcrypt aient t communiqu lIrak en soutien sa
guerre contre lIran (lire larticle de J. Orlin Grabbe).
Cette affaire qui illustre ce quun Etat en situation de force peut faire nest pas
surprenante. Ce qui lest plus, cest que le secret ait pu tre prserv si longtemps.
Alors que le contrle de la cryptographie est une chose comprhensible3 au mme
type que le contrle des armements4, le contrle la mode NSA nest plus trs
loign des techniques de chevaux de Troie des pirates. Cest prcisment parce
que la cryptologie ntait pas contrle que lAllemagne nazie a pu acqurir la
machine Enigma, alors en vente libre.
Prcisons que la France ne figurait pas au nombre des clients de la fameuse
socit suisse. Sur dcision du Gnral de Gaulle la fin des annes 1950, les
moyens de chiffrements franais sont exclusivement conus et raliss par la France.
Une dcision avise
1. Document rfrenc Prem11/1224, du 10 fvrier 1956, rdig par le Marchal Montgomery

(alors commandant adjoint de lOTAN) et le ministre suisse de la dfense Paul Chaudet.
2. Directive pour la scurit nationale prpare pour le prsident Harry Truman.
3. Cest prcisment parce que la cryptologie ntait pas contrle que lAllemagne nazie a pu
acqurir la machine Enigma, alors en vente libre.
4. Rappelons que jusquen 2000, en France, comme dans beaucoup de pays, les moyens de crypto-
logie taient assimils des armes de guerre. Ils le sont toujours sagissant de produits exports.

15.3 Laffaire Hans Buehler 189
En rsum
Ces quelques exemples montrent tout lintrt des techniques de piratage pour les
Etats qui les emploient ou du moins sy intressent . Une certaine transparence
amricaine a permis travers ces quelques cas dimaginer ce que peut tre le
ct obscur . Mais dautres pays ne communiquent pas sur le sujet alors quil est
maintenant avr quils disposent dentits de LIO (Lutte Informatique
Offensive) ou assimiles (ce qui est de toute logique). Outre les pays cits dans ce
chapitre, dautres sont trs probablement dots de telles structures et ne le disent
pas.
Tous ces pays ont compris limmense potentiel que constitue le champ numri-
que. Et les entreprises prives galement. Elles se lancent dans la production et la
fourniture de logiciels adapts . Ainsi, le meilleur outil de dsassemblage au
monde, IDA Pro, nest disponible que pour les agences gouvernementales et le
logiciel DIRT, vendu aux seuls militaires et policiers, par la socit Codex Data
Systems, permet de disposer de vritables outils dignes des meilleurs pirates. Ces
socits sont en quelques sortes les marchands darmes de demain. Les champs de
bataille sont dsormais les rseaux et chacun dentre nous, que ce soit au niveau
professionnel ou personnel, est une cible potentielle. Dans ce domaine, il ny a
pas vraiment de temps de paix.
Le plus proccupant est la facilit avec laquelle une socit dmocratique pourrait
basculer dans la pire des dictatures et sans que personne ne sen rende compte. De
la lutte contre les criminels et les terroristes la surveillance du citoyen, laquelle
peut prter tous les dbordements, la frontire est mince. Les outils sont en
place et nous entourent.
Orwell tait peut-tre un visionnaire.

16
La lgislation
face la cybercriminalit
A linstar des paradis fiscaux, il existe maintenant des paradis numriques o un

malfaiteur peut agir ou hberger des serveurs et des contenus illicites en toute
impunit , constate dans la revue Information & Systmes (fvrier 2006) Solange
Ghernaouti Hlie, professeur lEcole des HEC de lUniversit de Lausanne et
directrice de lInstitut dinformatique et Organisation.
Ce constat nest pas une surprise. Tout au long de ce livre nous avons montr
comment et pourquoi les cybercriminels staient adapts lvolution technologi-
que de la socit. Cette volution des murs a donc oblig les pouvoirs publics
renforcer son dispositif rpressif. Certains seraient tents de dire que la justice a un
train de retard. Ce nest plus le cas.
Jusquau milieu des annes 80, la France ne disposait que de deux textes : la Loi
informatique et liberts (1978) et la Loi sur la protection du droit dauteur (1985). Il
faut attendre 1988, avec ladoption de la fameuse Loi Godfrain (relative la fraude
informatique) pour que lHexagone commence se doter dun arsenal rpressif
allant jusquau pnal. Il y aura ensuite la loi relative la scurit quotidienne
(2001), la loi relative la scurit intrieure (2003), la loi pour la confiance dans
lconomie numrique (2004) et la loi relative aux communications lectroniques et
aux services de communication audiovisuelle (2004).
Cet arsenal, aussi important soit-il en France, prsentait nanmoins quelques
failles, concernant principalement le commerce lectronique. Jusqu la fin des
annes 90, tout a t fait pour dvelopper le e-commerce, explique un spcialiste. La
scurit ntait pas une priorit. Cette situation est en train dvoluer depuis que
lUnion Europenne a dcid que le commerce lectronique tait suffisamment
mature pour quon sattaque maintenant au cybercrime et aux pratiques anormales
de certains cybermarchands .

192 Chapitre 16. La lgislation face la cybercriminalit
Dautres signes tmoignent de cette volution. Des magistrats spcialiss dans le

domaine des technologies de linformation ont t dsigns dans chacun des Tribu-
naux de grande instance des cours dappels de Paris et de Versailles.
Au niveau europen, un texte en gestation depuis quatre et remani une ving-
taine de fois devrait tre sign fin 2006 par 43 Etats (cf paragraphe 16.1.1 ci-dessous.
Il a pour objet la cration dune politique pnale commune destine protger la
socit de la criminalit. Ce texte rglemente notamment les atteintes la proprit
intellectuelle, la falsification et les fraudes informatiques. Il fixe galement les rgles
relatives au stockage des donnes.
Condamnation dun crateur de virus

Les virus qui paralysent une partie de la plante numrique ne font plus parler
deux. Cette dlinquance est passe de mode. Mais cela nempche pas les
pouvoirs publics de condamner les auteurs de ces mfaits. En juillet 2005, un
jeune Allemand lorigine du virus Sasser a t condamn un an et neuf mois
de prison avec sursis par la justice de son pays. g de 18 ans, Sven Jaschan tait
jug pour sabotage dordinateurs, modification de donnes et perturbation dacti-
vits dentreprises. Quelque 140 particuliers, administrations et entreprises
avaient port plainte. Un an plus tt, le jeune homme avait cr ce code qui
installait un programme (nomm lsasss.exe) qui provoquait des redmarrages
intempestifs toutes les 60 secondes, aprs affichage dun message dalerte.
Lors de son arrestation, il avait dclar avoir galement t le crateur de Netsky,
un autre virus. Source : Journal du net.
16.1 UN ARSENAL JURIDIQUE ADAPT
Pour diffrents juristes que nous avons rencontrs, la France est un modle en
matire de rglementation. Les articles 323 1, 2 et 3 de notre Code pnal sont
courts mais ils sont efficaces et ils font jurisprudence depuis 1988 , indique matre
Eric Barbry, directeur du dpartement nouvelles technologies au cabinet Alain
Bensoussan.
Ainsi larticle 25 de la Loi informatique et liberts permet par exemple de con-
damner quelquun qui rcupre des donnes au moyen dun logiciel espion (spyware)
ou dun robot. De son ct, la loi Godfrain permet de condamner une personne uti-
lisant un keylogger (enregistrant par exemple les mots de passe taps sur un ordina-
teur) ou une application malveillante charge dcouter et de rcuprer les
flux de donnes dun rseau. Cette loi sanctionne aussi lassociation de malfaiteurs
en matire informatique.

16.2 Des condamnations exemplaires 193
16.1.1 La Convention sur le cybercrime

Le 23 mai 2006, le Journal officiel a publi deux dcrets officialisant la Convention
sur la cybercriminalit, un texte sign par la France et quarante deux autres Etats
Budapest le 23 novembre 2001. Seul bmol : fin juin 2006, il ny avait que 14 Etats
avoir ratifi ce texte. La France est le troisime pays en 2006 lavoir fait, aprs
lUkraine et la Bosnie-Herzgovine.
Cette convention poursuit trois objectifs :
Harmoniser les lgislations des Etats : la Convention tablit des dfinitions
communes de certaines infractions pnales commises par le biais des rseaux
informatiques. Ces infractions sont notamment relatives aux contenus, ainsi
qu toute atteinte la proprit intellectuelle commise sur Internet.
Harmoniser les procdures : cet objectif vise amliorer la capacit des
services de police mener en temps rel leurs investigations et collecter des
preuves sur le territoire national avant quelles ne disparaissent.
Amliorer la coopration internationale : ce volet concerne notamment
lextradition et lentraide rpressive.
Bien que peu de pays laient encore ratifie, Eric Barbry se montre optimiste :
Ce texte est remarquable par la vitesse laquelle il a t adopt. Gnralement, il
faut 10 20 ans pour quune convention internationale soit signe et ratifie. Cest
le signe quon a pris, au niveau international, conscience trs vite de la
cybercriminalit . Mais pour ce spcialiste, cest aussi le signe que lUnion euro-
penne na pas ncessairement pris contrairement au conseil de lEurope la
mesure de la cybercriminalit en privilgiant avant tout le dveloppement du com-
merce lectronique . Son maitre-mot est : on va ouvrir le march de llectronique .
Le Conseil de lEurope na pas la mme vue puisquil veut lutter contre le
cybercrime !
16.2 DES CONDAMNATIONS EXEMPLAIRES
Les arrestations de quelques pirates historiques le plus connu tant Kevin

Mitnick ont fait la une des journaux il y a quelques annes. Ctait lpoque des
pandmies de virus et des intrusions visant surtout prouver quon tait comptent.
Aujourdhui, la donne a chang. Il y a deux types de cybercriminalit. La premire
est ralise par des bandes organises. Elles sappuient notamment sur les comp-
tences de pros de linformatique. Ces derniers utilisant des mthodes trs sophisti-
ques et donc difficilement dtectables. Le second type de cybercriminalit est celui
orchestr par Monsieur-tout-le-monde. Aujourdhui, sur Internet on trouve assez
facilement des kits du parfait pirate du dimanche (mais aussi dautres programmes
plus sophistiqus mais plus difficiles dnicher sur le rseau). Les cas de figure
sont varis. Frustr de ne pas avoir obtenu une promotion quil juge vidente, un

employ veut se venger en essayant de sintroduire dans le rseau informatique de

son entreprise. Il cherche y glisser un code malveillant. Insatisfait du comporte-
ment commercial de sa banque, un client va vouloir dfigurer (appel defacement en
anglais) son site. Dernier exemple, le beau-frre qui glisse un keylogger dans le PC
dun membre de sa belle famille pour rcuprer identifiant et mot de passe afin de
faire un virement sur son compte. Tout est possible.
Et ces deux types de cybercriminalit sont en hausse. Bien sr, nous avons des
outils plus sophistiqus permettant de mieux apprhender ce phnomne et nous
sommes plus sensibiliss mais il nen reste pas moins vrai que cette criminalit aug-
mente depuis un ou deux ans , dclare un membre du Secrtariat gnral de
Dfense nationale (SGDN). Malgr tout, il y a peu daffaires rendues publiques.
La fameuse culture du secret propre la France ( il ne faut surtout pas dire que
nous avons t victime dune attaque car cela voudrait dire que nous sommes
mauvais ) et labsence dun organisme unique (et connu de tous) pour dposer
des plaintes lies la scurit informatique expliquent en partie ce constat.
De son ct, Eric Barbry indique quil y a beaucoup de procdures trs lon-
gues en cours et il y a aussi beaucoup de transactions, cest--dire des ngociations
lamiable .
Amende record pour une potion miracle

Le roi du Spam, Stanford Wallace, a t condamn en mai 2006 payer une
amende de quatre millions de dollars. Il tait accus davoir infect des PC
laide dun logiciel publicitaire charg de vendre lantidote ! Sa combine tait
simple. Il infectait des milliers dordinateurs et ensuite contactait ces pauvres
internautes en le proposant dacheter un logiciel soi-disant dsinfectant .
Cet amricain nen est pas sa premire condamnation. Il a dj t reconnu
coupable de fax publicitaires sauvages au dbut des annes 1990 et dix ans plus
tard, de spam.
16.2.1 La guerre contre les spammeurs

Apparu il y a deux ou trois ans en France, le spam est une plaie. Mais la situation
semble moins catastrophique que dans dautres pays comme les Etats-Unis notam-
ment. Les pouvoirs publics de diffrents pays ont dvelopp un arsenal juridique,
plus ou moins efficace.
Pour endiguer le flau, lorganisme charg de la concurrence aux Etats-Unis, la
Federal Trade Commission (FTC), a lanc en 2004 lopration Spam Zombies .
Soutenue par des organismes quivalents dans plus de vingt pays (pas encore la
France) et par le London Action Plan, un groupe dagences gouvernementales inter-
nationales, la FTC souhaite sensibiliser les fournisseurs daccs Internet la ques-
tion. Trois mille dentre eux ont reu une lettre dtaillant les diffrentes mesures
ncessaires pour faire baisser le nombre des zombies : surveillance du nombre

denvois par les utilisateurs pour identifier tout changement dhabitude suspect,
dconnexion des ordinateurs contamins (en avertissant leurs propritaires !), limi-
tation de la bande passante qui leur est alloue, assistance aux abonns pour dsin-
fecter leur PC, etc.
Lgislation dj adopte
Autres lois
Lgislation en cours
Aucune lgislation
Figure 16-1 Plusieurs pays ont dj adopt une lgislation contre le spam
comme lAustralie, les Etas-Unis, lUE, et le Japon
Pionniers dans ce domaine, les Etats-Unis sappuient sur la loi CAN Spam (Con-
trolling the Assault of Non Solicited Pornography and Marketing), vote en 2003, qui
prvoit jusqu cinq ans de prison et de lourdes amendes (jusqu six millions de dol-
lars) pour le non-respect de ses principes fondamentaux.
Ce dispositif rpressif a permis de condamner lourdement quelques spammeurs
(mais les Etats-Unis restent malgr tout le premier pays metteur de spams en avril
2006 juste devant la Chine). En 2003, le FBI a arrt lun des plus importants spam-
meurs au monde en sappuyant sur cette loi. Pour promouvoir son activit de phar-
macie illgale en ligne, cet Amricain de 30 ans aurait mis un milliard de courriers
indsirables depuis son bureau install en Rpublique dominicaine !
En juin 2006, une cour fdrale du Texas a condamn un trio de spammeurs une
amende et des frais de justice de 10 millions de dollars. Ce groupe de spammeurs est
souponn davoir t lun des membres du Top 5 des plus gros metteurs de spams
dans le monde. Lun des spammeurs utilisant plus de 200 identits pour envoyer ses
millions de-mails. Avec ses deux autres complices, il aurait envoy 25 millions de
spams chaque jour en 2004.
Concernant le Vieux continent, le Parlement europen a adopt en juillet 2002
une directive qui pose le consentement pralable du destinataire comme condition
lenvoi de messages. Cest le principe de opt-in (littralement opter pour
entrer ). En clair, linternaute ne doit pas recevoir de courrier commercial sans son

feu vert. Propos par la Commission europenne en mars 2004, le programme Safer
Internet Plus (2005-2008) est dot dun budget de 45 millions deuros. Il vise lutter
contre les contenus Internet illicites et prjudiciables. Il couvre galement dautres
mdias comme les supports vido et est explicitement conu pour combattre le
racisme et les communications lectroniques commerciales non sollicites (spam).
En France, la collecte dloyale de donnes est sanctionne par larticle 226-18 du
Code pnal et dans toute lUnion europenne, depuis la directive 95/46 sur la pro-
tection des donnes. Larticle 226-16 du Code pnal prcise : Le fait, y compris par
ngligence, de procder ou de faire procder des traitements automatiss dinfor-
mations nominatives sans quaient t respectes les formalits pralables leur mise
en uvre prvues par la loi est puni de trois ans demprisonnement et de
45 000 euros damende.
La premire condamnation remonte mai 2004. Un commerant du Midi a t
condamn verser 22 000 euros de dommages intrts et de frais de justice pour
non-respect des conditions gnrales dutilisation dAOL et Hotmail. Au printemps
20061, la Cour de cassation a confirm lamende inflige la socit Alliance
Bureautique Service qui a exploit durant quelques mois en 2002 les logiciels
aspirateurs (Robot Mail et Freeprospec). Lobjectif tait en effet de collecter sur
Internet des adresses de courriers lectroniques de personnes physiques afin de leur
adresser des messages caractre publicitaire.
En se rfrant notamment larticle 226-18 du Code pnal, lequel interdit et
sanctionne toute collecte dloyale ou illicite de donnes nominatives de personnes
physiques, la Cour a donc rejet le pourvoi dABS qui contestait larrt de la Cour
dappel de mai 2005. Cette juridiction lavait condamn une amende de
3000 euros pour dlit de collecte de donnes nominatives aux fins de constituer
des fichiers ou des traitements informatiques par un moyen frauduleux, dloyal ou
illicite . Rappelons quen dcembre 2004, le tribunal correctionnel de Paris avait
relax ABS. La Cnil (Commission nationale de linformatique et des liberts) avait
demand au parquet de faire appel de cette dcision.
16.2.2 Les phishers sont dans le collimateur

Pour diffrentes raisons (impossibilit de faire des virements dun compte de la banque
A vers celui de la banque B, comme cest le cas aux Etats-Unis), le phishing ne touche
pas beaucoup dinternautes franais. Cela ne signifie pas pour autant quil ny ait pas
quelques affaires. La plupart impliqueraient des membres dune mme famille (le
frre ou le gendre qui veut escroquer un proche). Officiellement, il ny aurait quun
seul cas de phishing national avoir t condamn. En septembre 2004 Paris, un
tudiant strasbourgeois a t condamn 1 an de prison avec sursis et 8500 euros de
dommages intrts pour avoir usurp lidentit dune grande banque franaise.
1. Pour plus de dtails sur cette affaire, consultez : www.legalis.net/jurisprudence-deci-

sion.php3?id_article=1380

Lamour na pas de prix

Les courriers non sollicits inondent nos botes aux lettres classiques et nos e-
mails. Cest aussi le cas, dans une moindre mesure, de nos tlphones mobiles.
Cet harclement est aussi condamnable. La socit CellCast la appris ses
dpens. Dbut 2006, elle a t condamne 50 000 euros damende et a aussi d
verser 30 000 euros de dommages intrts lUFC-Que Choisir, qui stait porte
partie civile. Au printemps 2002, des millions de particuliers ont reu un SMS
leur rvlant que quelquun tait secrtement amoureux deux Le message
donnait ensuite un numro de tlphone rappeler (appel surtax : 1,35 euro
lappel, puis 0,34 euro par minute) pour savoir de qui il sagissait. Si lutilisateur
appelait, il devait alors donner entre un et cinq numros de tlphone de
connaissances qui, selon lui, pouvaient tre sous son charme.
Daprs lenqute de la DGCCRF, personne ntait en fait amoureux de qui que
ce soit. La socit avait lou une base de contacts. Quelle continuait dalimenter
en demandant des numros ses victimes . Do des poursuites judiciaires
engages pour publicit mensongre et collecte illicite de donnes nominatives.
Source : 01net.com. 17/01/2006
Les principales condamnations ont lieu aux Etats-Unis, pays qui hberge le plus
de sites de phishing (voir chapitre 4). En juin 20061, un phisher de 23 ans a t con-
damn 21 mois de prison ferme assorti dune amende de 45 565 euros. Entre jan-
vier 2003 et juin 2004, il a envoy des spams afin de diriger les clients MSN vers son
site sur lequel les internautes taient invits mettre jour leurs informations ban-
caires et leurs numros de carte de crdit en change dune remise de 50 % sur un
mois dabonnement au service MSN. Repr par Microsoft ( qui appartient ce ser-
vice de messagerie), lescroc a t arrt par le FBI.
16.2.3 Les logiciels espions mis lindex

Appels aussi spywares, ces programmes malveillants peuvent tre extrmement
dangereux. Certains pntrent dans un ordinateur ltat dormant et se rveillent

soudain quand lutilisateur de la machine tente daccder un site Internet de
banque. Les codes daccs et les coordonnes de lutilisateur peuvent ainsi tre trans-
frs aux mains descrocs, avec toutes les consquences que lon peut imaginer.
Selon une tude publie lautomne 2005 par lditeur de scurit Aladdin
Knowledge System2, un spyware sur six est dot dun mcanisme de vol didentit.
60 % des spywares se contentent de jouer les espions marketing, notant au passage
les habitudes de navigation de linternaute
Face cette menace, les Etats-Unis ont mis en place en 2005 la loi anti spywares,
le Spyblock Act (Software Principles Yielding Better Levels of Consumer
1. www.vnunet.fr. 23.06.2006
2. Magazine CSO. 15/09/2005

Knowledge). Elle vise notamment les entreprises de marketing en ligne qui ne doi-
vent plus rediriger la page daccueil par dfaut du navigateur Web vers un site
vocation marchande. Est galement dans la ligne de mire de la proposition de loi, le
fait dempcher la fermeture dune fentre publicitaire intrusive (pop up), qui ne
peut tre effective quaprs arrt du navigateur Web lui-mme. Paralllement cette
loi, lEtat de lUtah a adopt une lgislation spcifique dnomme Spyware Con-
trol Act . Cette loi ne contient pas seulement linterdiction dinstaller des logiciels
espions linsu de lutilisateur, mais pnalise aussi la production de tels logiciels.
Tout contrevenant pourra tre sanctionn dune amende pouvant aller jusqu
30 000 euros, voire davantage si les dommages sont plus levs.
Une plainte contre Microsoft

Le gant Microsoft est poursuivi cause de son outil anti-piratage Windows
Genuine Advantage (WGA) rapporte le magazine amricain Inquirer le
30 juin 2006. Lavocat Brian Johnson, de Los Angeles, essaie dobtenir pour sa
plainte le statut de class-action (action en justice regroupant plusieurs plai-
gnants). Son argument : lditeur na pas divulgu suffisamment dinformations
sur cet outil quand il a t install sur les PC distance, via Windows Update,
son systme de mise jour automatique en ligne.
Microsoft naurait pas apport une information claire qui aurait permis aux utili-
sateurs de choisir librement de linstaller ou pas. Cit par le magazine, un porte-
parole de Microsoft a dclar que cette plainte tait sans fondement et
prcise que WGA ne sinstalle quavec le consentement de lutilisateur et ne vise
qu avertir celui-ci de labsence dune licence authentifie.
Travaillant pour le compte du cabinet Kamber & Associs, cet avocat tait dj
prsent dans le procs qui avait contraint Sony retirer son logiciel rootkit
(programme permettant de camoufler des lments dposs par un pirate ou un
diteur sur une machine).
16.3 LVOLUTION DE LA LGISLATION
Pour Eric Barbry, nous allons passer dun droit la scurit une obligation de
scurit. Prenons lexemple de la jurisprudence Tati1. Celle-ci dit en substance :
vous ne pouvez pas bnficier de la protection au titre de la loi Godfrain car vous navez
pas scuris votre rseau . Cest comme un particulier qui laisse sa maison ouverte et
qui ne se fait pas rembourser par son assureur aprs un cambriolage . Concernant le
rseau informatique, cette volution ne vas pas sans poser de problmes selon
lavocat du cabinet Bensoussan : Il y a une diffrence entre le numrique et la
voiture : on sait quune voiture qui nest pas la vtre ne vous appartient pas ! Or, on
ne peut pas toujours faire la diffrence entre les pages web dun site Internet et celles
1. www.secuser.com/dossiers/affaire_tati_kitetoa_analyse.htm

16.3 Lvolution de la lgislation 199
dun rseau interne (Intranet) dune entreprise. On peut par contre condamner la
personne qui simmisce dans un Intranet o il y a des tags ou des annonces qui
rappellent quon ne peut pas recopier et publier ces documents qui sont protgs par
un copyright. Par contre, si les donnes ne sont pas cryptes ou protges la
personne ne peut pas savoir si ce sont des donnes prives !
Cette volution permettra aussi de mieux lutter contre lintelligence conomique.
En rsum
Aprs un temps de retard, les pouvoirs publics ont mis en place tout un arsenal
juridique efficace. Les escrocs en tout genre (spam, phishing, intrusion) peuvent
tre condamns lourdement. La coopration internationale et lharmonisation
des procdures devraient accentuer la pression sur les cyberdlinquants. Les auto-
rits sont donc sensibilises. Il reste maintenant lessentiel : informer correcte-
ment les entreprises et les particuliers sur les dangers lis linformatique afin
quils dposent plainte plus facilement et soient surtout plus vigilants.

17
Lavenir de la cyberdlin-
quance : les prochaines cibles
Comment la cybercriminalit va-t-elle voluer ? Prendra-t-elle des directions et des

formes totalement nouvelles ou bien tout simplement suivre le dveloppement de la
technologie ? Cette dernire hypothse, au vu de lhistoire de la criminalit, semble
la plus probable. Au fond, les malfrats numriques nont fait quadapter des infrac-
tions traditionnelles aux nouvelles technologies : du racket, quil soit traditionnel ou
numrique, reste une tentative dextorsion. Les buts et motivations restent les
mmes, seuls les moyens changent. Cest ce qui avait guid le snateur Godfrain
lorsquil avait propos sa fameuse loi de 1988 : adapter lexistant de la criminalit au
champ numrique et les quelques nouveauts (association de malfaiteurs informati-
ques, rpression de la tentative) nen taient que du point de vue du juriste et de
la procdure. Cette loi, devenue larticle 323 du Code Pnal, est toujours aussi
actuelle, prs de vingt ans plus tard. Cela tend confirmer lhypothse selon laquelle
la cyberdlinquance ne fera que suivre la technologie et ses multiples applications.
Il est cependant possible denvisager trois ressorts principaux que les cybercrimi-
nels de demain pourront exploiter : la mobilit extrme de nos capacits informati-
ques, leur omniprsence et en mme temps leur invisibilit et, toujours, ce
facteur humain qui, sil nous protge contre une invasion totale de la technologie,
reste un levier extrmement efficace.
17.1 LA MOBILIT
Cest devenu le matre-mot de nos jours. Tlphones mobiles, PC ultra portables,

consoles de jeux, PDA et autres organisateurs digitaux, communication sans-fil (Wi-
fi, Bluetooth) et plus rcemment linformatique embarque (dans les voitures par

202 Chapitre 17 . Lavenir de la cyberdlin-quance : les prochaines cibles
exemple) envahissent notre espace sans que nous en soyons bien conscients.
Combien dutilisateurs dun mobile de dernire ou avant-dernire gnration savent
ou devinent que leur appareil est en ralit un vritable petit ordinateur ?
Les pirates, eux, le savent ! Ils ne sy sont pas tromps et les attaques fleurissent.
Tout ce que lon connat en matire dattaques informatiques pour les ordinateurs
traditionnels a t transpos au monde du mobile dans son acceptation la plus large :
virus, vers, dnis de service, phishing (voir les chapitres 4 et 5)1 Tout y est. Et le
pire, avec le dveloppement de cette informatique, est venir. Pour le moment, le
nombre de cibles potentielles est relativement limit car les abonns ne changent
pas de mobiles aussi souvent que le souhaiteraient les constructeurs et oprateurs.
Mais lapparition de nouvelles normes de connexion (tlphonie 3,5 et 4G) et ses
nouveau services multimdias et interactifs pour forcer la consommation
devraient accentuer le risque.
La plante narrte pas de tlphoner ! Au rythme actuel de croissance du march
(22,5 % au deuxime trimestre 2006, 26 % au premier), il devrait se vendre un mil-
liard de tlphones mobiles sur lanne 2006. Le seuil des 2 milliards dutilisateurs
dans le monde a t franchi en dcembre 2005 et celui des trois pourrait tre atteint
vers 2010. En France, les derniers chiffres de lArcep indiquaient un taux de pntra-
tion suprieur 80 % la fin de juillet 2006 avec plus de 48 millions dusagers.
Ces quelques chiffres ont de quoi faire saliver bien des escrocs en tout genre. Ima-
ginons que seulement 1 % de ces utilisateurs soient victimes dune attaque informa-
tique, cela reprsente quelque 20 millions de victimes ! Mais il est assez difficile
dobtenir des statistiques dans ce domaine. Les constructeurs de tlphones et sur-
tout les oprateurs ne pratiquement pas la transparence : il ne faut pas effrayer le
client potentiel. En fvrier 2006, 267 codes malveillants pour smartphones ont t
rpertoris. Officiellement, seule une trentaine sont efficaces et seulement cinq
seraient rellement actifs. Mais cela correspond-t-il la ralit ? Des discussions off
avec des spcialistes du domaine notamment appartenant aux socits de fourni-
ture daccs semblent indiquer le contraire, sans quil faille cder la panique. Un
virus comme CommWarrior a fait des dgts qui ne sont pas forcment connus du
grand public, avec pour consquence de la surfacturation de MMS.
Les messages MMS sont des messages contenu multimdia grs par les smart-
phones utilisant le systme dexploitation Symbian ou les tlphones compatibles.
Ces messages peuvent contenir toutes sortes de donnes (images, sons, vido, fichier
dinstallation). CommWarrior attaque les portables de la srie Symbian 60 et se
rpand via les messages de type MMS ou via le protocole Bluetooth. Dans ce dernier
cas, il recherche tous les appareils proches quil peut atteindre par ce protocole.
Enfin, le ver envoie des MMS aux contacts prsents dans le carnet dadresses,
avec le ver en pice jointe provoquant ainsi de la surfacturation (quelques dizaines
de MMS par minute).
1. Philippe Richard, Les smartphones, nouvelles cibles des pirates , Les Echos, 30 mars 2006, p.31.

17.1 La mobilit 203
Figure 17-1 Le fichier SIS infect est alors envoy ( gauche) et propos linstallation.
Le nom du fichier est alatoire ( droite).
Figure 17-2 Fichier SIS infect.


Les messages incitant la personne activer le fichier SIS sont nombreux et utili-
sent tous lingnierie sociale. En voici quelques-uns :
3DGame from me. It is FREE ! Security update #12 Significant security update. See
www.symbian.com
SymbianOS update OS service pack #1 from Symbian inc.

Happy Birthday! It is present for you! Porno images collection with nice viewer!
Norton AntiVirus Released now for mobile, install it!
Lexemple de CommWarrior est assez exemplaire de ce que font les codes mal-
veillants pour smartphones. Que nous rserve lavenir ? Voici en rsum quelles sont
les volutions du risque prvoir1 :
La localisation linguistique des messages : pour le moment, langlais est la
langue la plus utilise, ce qui limite les possibilits concernant des utilisateurs
francophones, mais pour combien de temps ?
Lexplosion des services et protocoles. Voici la chronologie selon les
constructeurs :
1990/2000 : Tlphonie et SMS
2000/2003 : Messaging : SMS, WAP, MMS, e-mail
2003/2005 : Systmes Java ; Symbian ; WinCE
2004/2005 : Multimedia : Camera, Video, Audio
2004/2006 : Bluetooth, Ext Card, USB, WIFI
2005/2007 : 3G : Video-tlphonie / Streaming
Toutes ces technologies permettent de plus en plus dapplications et donc de plus

en plus dattaques. Gageons que la vido-tlphonie, elle seule, va constituer un
formidable potentiel dattaque (voir le chapitre 5). Le passage au tout IP va gale-
ment constituer un risque majeur.
La nature du danger : en effet, la mobilit est tellement pratique quelle a
investi tous les secteurs, commencer par celui de la scurit traditionnelle.
Quel mdecin, pompier, vigile, personnel de permanence na pas dsormais
dappareil mobile pour les besoins de sa mission ou de sa permanence ? Cette
dpendance vis--vis de ces environnements mobiles risque de devenir extr-
mement proccupante, surtout si aucune mesure de gestion de situation dgra-
de nest prvue. La dictature de lergonomie frappe encore.
Linterconnexion de tous les systmes, mobiles ou non, entre eux : en 2006,
lexistence dun code, connu sous le nom de CrossOver, a t rvle. Ce code
doit son nom au fait quil est capable dinfecter un environnement mobile
(PDA, smartphone) partir dun simple PC. Le virus CardTrp, quant lui,
peut raliser linverse (mme sil sagit seulement dune preuve de concept).
De par leur nature et leur interaction avec les autres systmes, les environne-
1. Certaines sont tires de M. Morvan, Quelles menaces pour les tlphones mobiles ? Actes de la
confrence SSTIC 2005. Disponible sur http://www.sstic.org/ .

17.2 Linvisibilit et lomniprsence 205
ments mobiles reprsentent des accs pouvant tre utiliss pour pntrer les
systmes classiques, pourtant protgs par un firewall. Mais l, ces priphri-
ques se connectent derrire ces barrires.
Les problmes datteinte la vie prive : mobiles, par dfinition, ces environ-
nements vous suivent partout et renvoient de nombreuses informations sur
vous et votre position.
Ce qui vient dtre voqu ne concerne pas seulement les tlphones mobiles,
mais tous les environnements informatiques. Les premiers virus destins la console
portable de Sony (la PSP) et celle de Nintendo (la DS) ont t identifis en 2005 :
Trojan.PSP.Brick.a pour la premire et Trojan.NDS.Taihen.a pour la seconde. On a
beaucoup parl, cette mme anne, de virus ayant infect des ordinateurs de bord de
voitures (via une connexion Bluetooth, lors doprations de maintenance). Mme
sil faut tre prudent sur la ralit de ces cas le manque de transparence des
acteurs industriels naide pas vraiment , les donnes techniques disponibles ne
manquent pas ; elles prouvent que techniquement linfection est ralisable.
17.2 LINVISIBILIT ET LOMNIPRSENCE
En plus dtre mobile, linformatique devient de nos jours invisible et de fait omni-
prsente. La domotique est souvent voque. Microsoft et dautres constructeurs y
travaillent depuis plusieurs annes pour exploiter ce qui est prsent comme lun des
Eldorado des nouvelles technologies. Pour schmatiser, la domotique permet de
rgler le chauffage de son appartement et de fermer les volets distance (via son
tlphone par exemple) ou de commencer faire rtir un poulet dans le four (
condition quil y soit). Quelles possibilits seront alors offertes au pirate qui
pourra se connecter votre rfrigrateur en ligne et vous faire livrer quelques
dizaines de yaourts. Science-fiction ? Rien nest moins sr. Les premiers rfrigra-
teurs connectables au rseau existent dj et de grandes enseignes les proposent
leur catalogue. Imaginons quun malfrat puisse rcuprer des donnes personnelles
via votre frigo ?

Mais dans limmdiat le risque nest pas l. Le danger concerne plutt la RFID
(Radio Frequency Identification) qui permet didentifier distance, sans contact physi-
que ni visuel. Cette technologie, qui date de la seconde guerre mondiale1 est en train
denvahir notre quotidien. Selon une tude amricaine, environ 320 millions de ces
puces ont t installes depuis 2002 dont 50 % dans lindustrie, 47 % dans lautomo-
bile et 3 % dans la filire animale. Ce march devrait progresser de 255 % dici
2010 avec un CA de 2,3 milliards de dollars pour 65 milliards dtiquettes en 2010.
La premire tape est le remplacement du bon vieux code barre prsent sur le
moindre article ou bien de consommation. Mais elle promet maintenant une vritable
1. Elle permettait la Royal Air Force de distinguer les avions allis des avions ennemis, une sorte
danctre de lIFF.

rvolution dans le monde industriel, mdical et de la scurit. Grace un lecteur sp-

cial, le consommateur peut plus facilement reprer son fromage prfr dans le rayon
dun supermarch et de son ct, le chef de ce mme rayon peut connatre en temps
rel lvolution de son stock. Cette solution est aussi utilise par des laboratoires phar-
maceutiques. Ils mettent des petites puces communicantes sur les bouteilles de mdi-
caments afin de combattre la contrefaon et la fraude. Autre application : la
protection des documents. Une banque japonaise, la Nagoya Bank, a dcid dintgrer
un systme de gestion de documents faisant appel la RFID. Cette solution lui permet
notamment de rpertorier et de suivre des milliers de dossiers et savoir si un lment de
lun dentre eux quitte une pice ou un btiment. Enfin, ces puces pourraient aussi tre
exploites pour contrler laccs des lieux ou des ordinateurs sensibles. Et mme des
hommes ! Au Mexique, des avocats et des juges se sont fait implanter une puce pour
que la police les retrouve plus facilement en cas denlvement.
Une atteinte la vie prive ?

Comme les Etats-Unis sont en avance sur ce domaine par rapport lEurope, la
polmique sur ces tiquettes high tech fait rage depuis quelques annes. Le prin-
cipal pourfendeur de cette nouvelle technologie est le Caspian (Consumers
Against Supermarket Privacy Invasion And Numbering). Selon cet organisme,
ces puces menaceraient la vie prive des consommateurs car elles pourraient
permettre aux entreprises ou aux forces de lordre de lier chaque produit liden-
tit de son acheteur.
Il est vrai que les grands magasins amricains et certains industriels nont pas faits
dans la finesse. Caspian a rvl que le Carrefour amricain , Wal-Mart, avait
pratiqu des tests pour le compte de Procter&Gamble. Des puces RFID taient
places sur des rouges lvres de la marque. Ds quune cliente se servait en
rayon, le fabriquant tait alert et pouvait suivre sur un cran dordinateur le
comportement de la personne grce une Webcam du magasin !
Un systme RFID est compos essentiellement de trois parties 1:

un transpondeur, appel tag ou tiquette, qui est appos sur les objets
identifier ;
un lecteur permettant dinterroger ces tiquettes par radiofrquence ;
un systme de traitement de donne, centralis ou distribu au niveau de
chaque lecteur.
Le facteur de risque est essentiellement li aux tiquettes, lesquelles peuvent

avoir une taille infrieure celle dun grain de riz et de ce fait tre totalement invi-
sible. Notons quune telle tiquette cote quelques centimes deuros seulement. Ces
tiquettes peuvent tre de deux sortes :
1. Gildas Avoine, RFID et scurit font-elles bon mnage ? Actes de la confrence SSTIC
2006, p. 400-409. Disponible sur http://www.sstic.org.

Passives : elles nont pas dalimentation interne et se comportent en fait

comme de simples codes barres. Le signal du lecteur induit un courant lectri-
que suffisant pour que ltiquette puisse mettre les informations quelle
contient. La plus petite a une taille de 0,15 mm par 0.15 mm et est plus fine
quune feuille de papier. Leur porte dmission est de 10 cm quelques
mtres selon la norme.
Figure 17-3 Ces nouvelles tiquettes sont utilises dans les bibliothques
pour grer les fonds bibliothcaires et lutter contre le vol.
Active : elles disposent de leur propre source dalimentation interne et

dispose de fait dnergie suffisante pour conduire de vritable session de
connexion avec un lecteur. Elles contiennent de la mmoire, peuvent mettre
sur plusieurs centaines de mtres et leur batterie dispose dune autonomie de
prs de dix ans. Elles sont utilises par exemple pour marquer le btail et
pouvoir le localiser.
Ces tags sont utiliss dans un grand nombre dapplications :
Moyen de paiement : mtros de Moscou, de Londres, de New York, de Hong
Kong, systme Navigo de la RATP, pages dautoroutes, remontes mcani-
ques dans les Alpes

Systme de traage des biens et des personnes1 : codes barres, badges daccs,
cartes bancaires (la carte American Express intgre dsormais des tags RFID
haute frquence), passeports2, cartes didentit (la future carte didentir
franaise INES), systmes de surveillance des prisonniers (depuis 2004 dans
lOhio aux Etats-Unis)
1. La socit Carrefour a sign en fvrier 2006 un contrat avec le fabricant Checkpoint Systems
pour quiper ses 179 magasins.
2. Les passeports des citoyens amricains intgrent une telle tiquette. Mais la peur de la voir uti-
liser par des terroristes et ainsi identifier facilement leurs cibles a oblig modifier le systme.
Les tags nmettent pas lorsque le passeport est ferm

Contrle distance : des constructeurs automobiles (Toyota) ou de pneuma-

tiques (Michelin depuis 2003) utilisent des tags FRID pour ce type dapplica-
tion. Les systmes antivol moderne fonctionnent ainsi et peuvent bloquer
distance un vhicule vol.
Et de trs nombreuses autres applications1

Quel est le risque en termes de scurit attach cette technologie ? Il semble quasi-
illimit mais il est difficile de se faire une ide prcise. En effet, comme pour dautres
technologies stratgiques , les intrts de toutes sortes empchent quun dbat vri-
tablement ouvert et constructif puisse avoir lieu. Ces risques sont de deux types :
Ceux lis la technologie elle-mme : pour le moment, seules quelques faibles-
ses dans les implmentations (faille de type buffer overflow), dans les protocoles
de chiffrement ont semble-t-il t identifis aux dires des constructeurs.
Mais la ralit pourrait tre toute autre. Ainsi, Annalee Newitz du journal
Wired2 a montr comment en quelques secondes seulement il est possible de
modifier le prix des denres vendues dans certains supermarchs. La journaliste
tait simplement quipe dun simple PDA et dune petite antenne Il tait
tout aussi facile de lire puis de cloner le badge permettant dentrer dans un
btiment scuris , une chambre dhtel ou une voiture barde dlectroni-
que. Pire, semble-t-il, Annalee Newitz raconte comment Jonathan Westhues,
un dveloppeur de 23 ans, a galement russi cloner la clbre puce Verichip
quelle stait faite implanter dans le bras. Accessoirement, les puces RFID
accessibles en criture tant nombreuses, il serait galement possible dy placer
subrepticement des cookies , la manire de ceux quenvoient les sites web,
afin de suivre la trace le trajet des objets ainsi identifis.
Pour Ari Juels, des laboratoires RSA, spcialiss dans la scurit informatique,
le monde des RFID ressemble linternet ses dbuts : lun comme lautre nont
pas t scuriss par dfaut , et ce nest que des annes aprs que lon en mesure
vraiment les consquences. On dnombre pourtant dores et dj des dizaines de
failles ou dutilisations dtournes des RFID.
Que croire ? Lavis dAri Juels est pertinent. Les moyens seuls changent mais
notre capacit plus ou moins bien grer les choses, vouloir du profit avant tout
restent les mmes. Seul change galement le champ de bataille des pirates : avec
le RFID, le rseau est maintenant partout, invisible et omniprsent.
En mars 2006, une quipe de luniversit dAmsterdam a annonc avoir ralis
plusieurs virus pour systme RFID3. La nouvelle a jet un trouble et le consortium
1. La lecture de larticle Voila ce que nous rserve la biomtrie , http://nice.indymedia.org/arti-

cle.php3?id_article=12589 permettra au lecteur de se faire une ide assez prcise de lutilisation
venir de cette technologie. Indymedia, 15/08/2006.
2. RFID sous-cutanes en avoir ou pas ? Internet Actu, 6/6/2006.
3. M. Rieback, B. Crispo et A.S. Tanenbaum, Is your cat infected with a computer virus ?
( Votre chat est-il infect par un virus informatique ? ), Confrence IEEE, Pise. Ces rsultats
ont galement t prsents lors de la confrence TCV 2006 Nancy en mai 2006.

pour la technologie RFID sest empress de nier ou au moins damoindrir ces rsul-
tats. Si ces rsultats utilisent des faiblesses supposes dans le systme et sont donc
discutables quant une efficacit relle, ils nen demeurent pas moins importants
car ils illustrent le fait que la moindre faille dans le systme sera techniquement et
immdiatement exploitable. Mais qui pourra contrler un systme devenu invisible
et omniprsent ?
Ceux lis lutilisation de cette technologie. On ne peut sempcher davoir une
vision orwellienne de ce que sera la socit gouverne par la technologie RFID. Qui
pourra empcher un dirigeant dentreprise, un gouvernant extrmiste, une dicta-
ture den faire un usage que lon ose imaginer. Avec le RFID, le pirate peut trs
bien tre lEtat lui-mme. Imaginons ce que la technologie RFID a d permettre de
faire depuis que le Patriot Act a t vot outre-Atlantique. La traque multicritres des
citoyens sera alors possible. Certes, en France, la CNIL veille mais avec une techno-
logie invisible en aura-t-elle la possibilit ?
Figure 17-4 Le pire rside certainement dans tags RFID implants sous la peau.
Ce qui tait jusqu prsent rserv aux bovins et autres animaux sappliquera
alors aux hommes. Des botes de nuit Rotterdam et Barcelone proposent leurs
clients VIP qui trouvent cela tendance de se faire implanter sous la peau
un moyen de paiement RFID. Au Mexique, en Australie les personnels de tribunaux
ou de banques se font implanter de tels tags des fins didentification.
La technologie RFID pose donc un certain nombre de problmes et de ques-

tions de socit. Mais, cette technologie pourrait bien faire voler en clat le principe
mme de scurit informatique, entre autres choses. Alors que les seules solutions
consistent cloisonner ou isoler les rseaux et les infrastructures sensibles, qui peut
prdire leffet final dun tag RFID actif et cach dans un disque dur ou pire dans un
processeur. Et pourra-t-on le dtecter ? Aujourdhui, il est trs difficile de savoir ce
que peut faire rellement un logiciel. Cette incertitude pour ne pas dire inqui-
tude concernera aussi le matriel. Imaginons un tag RFID servant de relais pour
mettre des informations captures dans un ordinateur. Plus besoin de prise rseau.
Ces quelques incursions dans un futur qui se rapproche toujours plus vite ont per-
mis dentrevoir comment la cyber-criminalit pourrait voluer. La technologie
aidant, les attaques pourront viser potentiellement un nombre toujours plus impor-
tant de cibles. Verra-t-on un jour un 11 septembre informatique (des vers ayant

infects des systmes informatiques embarqus par exemple, pilots par

radiofrquence) ? Qui sait ? Science-fiction pour les uns, champ dinvestigation pour
les attaquants. La socit devient de plus en plus dpendante des tlcommunica-
tions. Nous pensons quun jour, il y aura des attaques globales, cest--dire classiques
et numriques, nous a dclar un haut responsable de la scurit informatique de
lEtat. Nous faisons des exercices avec les diffrents dpartements ministriels et
nous simulons sur papier comment nous pourrions communiquer avec le papier, sans
tlphone, ni internet. Ce qui minquite le plus cest la grosse panne qui paralyse-
rait tout.
Mais les dngations de telle ou telle corporations ou lobby nempcheront pas
les pirates dagir si la technologie le permet. Les attaques frapperont des gens endor-
mis par des discours lnifiants et rassurants. Comme disait un humoriste : la der-
nire phrase que lon entendra durant lapocalypse (nuclaire) sera que ctait
techniquement impossible . Le futur de la cyberdlinquance pourrait trs bien tre
celui-l.
Alors faut-il dsesprer ? Aucunement. Mais tout cela rappelle que lhumain doit
rester le matre en toutes choses. Si lingnierie sociale permet lattaquant de frap-
per efficacement, le bon sens, la sagacit, la vigilance et la prudence permettent ga-
lement un RSSI de savoir comment organiser et faire voluer la scurit des
systmes de sa socit. Jean Bodin disait : Il nest de richesse que dhommes ! .
Et si les personnes les mieux protges taient celles que nous considrons avec
condescendance comme du mauvais ct de la fracture numrique ? Les pays soi-
disant en retard en matire de technologies de linformation et de communica-
tion ne seront-ils pas en fait les mieux protgs et les moins touchs le jour o la
grande panne tant redoute par les responsables, surviendra ? Un Pearl Harbour
numrique ne risquerait-il pas de changer la polarit de la plante et dinverser les
quilibres gostratgiques ? Lavenir le dira.
En rsum
Au fur et mesure que linformatique et les technologies numriques simmiscent,
souvent linsu des utilisateurs, les risques dattaques et dinfection en tout genre
se multiplient. Les tlphones portables, et de faon plus gnrale tous les appa-
reils mobiles, et les tiquettes communicantes (RFID) constituent de nouveaux
terrains dinvestigation pour les pirates. Plus que jamais la vigilance simpose.
Seuls les paranos survivront-ils ce dveloppement de la cybercriminalit ?
Bibliographie
OUVRAGES ET ARTICLES DE RFRENCE
MISC Le journal de la scurit informatique : revue vendue en kiosques et traitant

de tous les aspects de la scurit informatique (techniques, rglementaires,
guerre de linformation, droit). Bimestriel.
Revue La lettre des techniques de lingnieur - Scurit des systmes dInforma-
tion, ditions des Techniques de lingnieur : lettre bimestrielle prsentant de
manire didactique et condense les aspects techniques et les enjeux en matire
de scurit des SI. Bimestrielle.
Actes des confrences SSTIC (Symposium sur la Scurit des Technologies de
lInformation et des Communications). Confrence nationale annuelle runis-
sant tous les spcialistes et professionnels de la scurit informatique franco-
phones. Les articles sont disponibles gratuitement en ligne sur le site http://
www.sstic.org.
Le hold-up plantaire, de Roberto Di Cosmo et Dominique Nora. Ce texte a t
publi par les ditions Calmann-Lvy et les ditions 00h00 en 1998. Lditeur
ne souhaitant plus le rimprimer, les auteurs ont rcupr les droits dauteur sur
ce livre. Ils ont dcid de le mettre disposition de la communaut (sous licence
Creative Commons Attribution-NoDerivs-NonCommercial). Il sera toujours
disponible sur http://www.pps.jussieu.fr/~dicosmo/HoldUp/HoldUpPlane-
taire.pdf.
Encyclopdie de la scurit informatique. Ouvrage collectif sous la direction de
Claude Kirchner. Vuibert, 2006.
Protection des systmes dinformation, Qualit et scurit informatiques, sous la
direction de philippe Ros, Rfrentiel de 4800 pages + 1 CD-Rom. Mise jour
trimestrielle. Dunod.
Scurit des Systmes dInformation. Ouvrage collectif sous la direction de M. Mak-
navicius-Laurent. Techniques de lIngnieur, vol. TI400, 2004. Ouvrage didac-
tique et trs complet, accessible un public non spcialiste.
Scurit des systmes dinformation. Ouvrage collectif sous la direction de Ludovic
M, (trait IC2). Lavoisier, 2006.

212 Cybercriminalit
Les virus informatiques : thorie, pratique et applications de Eric Filiol. Springer

Verlag, Collection IRIS, 2004.
valuation des logiciels antiviraux : quand le marketing soppose la technique
de ric Filiol. MISC Le journal de la scurit informatique, numro 21, sept.
2005.
La simulabilit des tests statistiques de ric Filiol. MISC Le journal de la scurit
informatique, numro 22, novembre 2005.
Scurit informatique et rseaux. S. Ghernaouti-Hlie, Dunod, 2006..
Utiliser votre PC en toute scurit de T. Grard, ditions Dunod/Micro Hebdo,
2005.
Halte aux hackers (4e dition) de Mclure, Scambray et Kurtz. OEM/Eyrolles, 2003.
Google Hacking, Mettez vos donnes sensibles labri des moteurs de recherches.
J. Long, Dunod, 2005.
Tout sur la scurit informatique de J-F. Pillou. Dunod, 2005.
Stratgies anti-hackers, (2me dition) de Russell. OEM/Eyrolles, 2003.
Secrets et mensonges de B. Schneier. Vuibert, 2001.
Histoire des codes secrets de Singh. Latts, 1999.
Les protocoles de scurit dInternet, S. Natkin, Dunod, 2002
Sites utiles
Sites gouvernementaux
CERTA (Centre dExpertise Gouvernemental de Rponse et de Traitement des
Attaques informatiques). www.ssi.gouv.fr.
OCLCTIC (Office Central de Lutte contre la Criminalit lie aux Technologies de
lInformation et de la Communication). www.interieur.gouv.fr
Legifrance (service public de la diffusion du droit). www.legifrance.gouv.fr.
Autres sites
CLUSIF (Club de la Scurit Informatique des systmes dinformation Franais).
www.clusif.asso.fr.
CNIL (Commission Nationale Informatique et Liberts). www.cnil.fr.
Mag Secur : magazine ddi la scurit informatique. www.mag-securs.com/.
Vulnrabilit : site spcialis dans la scurit informatique. www.vulnerabilite.com/.
Internet sans crainte. http://www.internetsanscrainte.fr/.
Journal du Net. www.journaldunet.com.
01Net, Silicon et Zdnet. Trois sites ddis aux nouvelles technologies et linfor-
matique. www.01net.com, www.silicon.fr et www.zdnet.fr.
CNRS : site ddi la scurit et la protection du patrimoine scientifique.
www.sg.cnrs.fr.
F-Secure et Kaspersky : sites de deux diteurs de logiciels de scurit. De nombreu-
ses informations sur les derniers codes malveillants. www.f-secure.fr et www.kas-
persky.com/fr.
Les Echos. Quotidien conomique avec chaque mercredi le cahier Echos
Innovation . www.lesechos.fr.
Action innocence. Constitue en novembre 1999, cette organisation non gouver-
nementale (ONG) but non lucratif lutte contre les abus sexuels impliquant
des enfants sur Internet.www.actioninnocence.org
Internet Mineurs. Site fond par les ministres de la Justice, de lIntrieur, de la
Dfense et de lEmploi.www.internet-mineurs.gouv.fr

214 Cybercriminalit
Filtra Info. Cr par Action Innocence, ce site a pour objectif d'valuer, tous les 6
mois au minimum, les solutions de contrle parental disponibles sur le march.
www.filtra.info.
Assiste et Zebulon. Deux trs bons sites informatiques avec notamment des forums
thmatiques (dont un ddi la scurit) trs ractifs et aux rponses pertinen-
tes. Assiste publie aussi une liste noire , non exhaustive, des logiciels inutiles,
voire dangereux car inefficaces. www.zebulon.fr et http://assiste.free.fr.
Index
Numriques D
3D-Secure 83 DCSSI 165
DDoS 5, 66, 67
A dfaage 120
defacement 9
antivirus 107
DMZ (zone dmilitarise) 121
Arpanet 175
DST 168
B
E
BEFTI 168
eBay 88
blogs 66, 75
eCarte Bleue 87
Bluetooth 27
eGold 87
bombe logique 65
EMV 83
botnet 5, 58
Brigade de Protection des Mineurs 150
F
bug de lan 2000 125
filtres ICRA et Safesurf 153
C Fournisseurs daccs Internet 70
Carnivore 183
G
carte bancaire 77
Carte Vitale 35 Google 67
cartes de paiement, 34
CERTA 167 H
cheval de Troie 68
hacker 9
chevaux de Troie 4
hackers 177, 179
ChoicePoint 30
Hoax 15
Convention sur la cybercriminalit 193
COSSI 166
I
Crypto AG 186
cyber-guerre 176 ICAN 175
cyber-terrorisme 176 ingnierie sociale 14

216 Cybercriminalit
K R
keylogger 45 racket 65
ROKSO 70
L rootkit 198
RSSI 127
Lofficier de scurit (ou RSSI) 118
Licorne 31 S
logiciel de contrle parental 152
logiciels antispam 73 screenloggers 53
Loi Godfrain 191 serveur proxy 122
serveur reverse proxy 123
M sites denchres 88
spam 43, 69, 194
Magic Lantern 183 spam nigrian 70
mass mailing 74 Spamhaus 70
Mastercard 33 spams 66
messagerie instantane 46 spywares 197
micro paiement 86 SSL 82
Mots de passe 17
T
N
Ticket Surf 87
NSA 177 tokens 88
O V
OCLCTIC 169 ver espion 184
ordinateurs portables 32 vishing 55
VoIP 63
P voix sur IP 46
PayPal 86 Vol de donnes 119
vulnrabilits 23
PC zombies 5
pdophiles 149
W
phishing 15, 39, 196
proof-of-concept 2 web bug 185

Cybercriminalité, Enquète Sur Les Mafias Qui Envahissent Le Web

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cybercriminalité, Enquète Sur Les Mafias Qui Envahissent Le Web

Uploaded by

Copyright:

Available Formats

Creative Commons BY-NC-ND

cybercriminalite.book Page V Jeudi, 14. septembre 2006 8:25 20

Creative Commons BY-NC-ND

Table des matires

Chapitre 1 Internet : le nouveau filon des organisations criminelles . . . . 1

1.1 Une exploitation professionnelle de la cybercriminalit . . . . . . . . . . 2

1.2 Des pertes estimes en million deuros . . . . . . . . . . . . . . . . . . . 6

Chapitre 2 Les maillons faibles de la scurit informatique . . . . . . . . . 13

2.1 Linternaute et lingnierie sociale . . . . . . . . . . . . . . . . . . . . . 14

2.2 Les failles de scurit logicielles . . . . . . . . . . . . . . . . . . . . . . . 23

Chapitre 3 Vols et pertes de donnes personnelles . . . . . . . . . . . . . . 29

3.1 Donnes personnelles : pertes et profits . . . . . . . . . . . . . . . . . . 29

3.2 Les pertes de donnes sensibles . . . . . . . . . . . . . . . . . . . . . . . 31

3.3 Le vol des donnes : le march aux puces . . . . . . . . . . . . . . . . . 32

Creative Commons BY-NC-ND

Chapitre 4 Le phishing : lapproche artisanale . . . . . . . . . . . . . . . . 39

Chapitre 5 Le phishing : lapproche industrielle . . . . . . . . . . . . . . . 55

Chapitre 6 Le racket numrique . . . . . . . . . . . . . . . . . . . . . . . . 65

6.1 Les attaques contre les entreprises . . . . . . . . . . . . . . . . . . . . . . 66

Chapitre 7 La scurit du commerce en ligne . . . . . . . . . . . . . . . . . 77

7.1 La fraude aux paiements . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

Creative Commons BY-NC-ND

7.2 Les diffrentes solutions de paiement scuris . . . . . . . . . . . . . . . 81

Chapitre 8 Les entreprises sont mal protges . . . . . . . . . . . . . . . . 91

8.1 Les diffrentes menaces . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

Chapitre 9 Antivirus : lintox marketing . . . . . . . . . . . . . . . . . . . 107

9.1 La dtection de tous les virus ou la quadrature du cercle . . . . . . . . . 108

Chapitre 10 Les systmes de dfense des rseaux dentreprise . . . . . . . 117

10.1 Les menaces contre lentreprise . . . . . . . . . . . . . . . . . . . . . . . 118

Chapitre 11 La protection des donnes . . . . . . . . . . . . . . . . . . . . 131

11.1 La sret de linformation . . . . . . . . . . . . . . . . . . . . . . . . . . 133

Creative Commons BY-NC-ND

11.2 La confidentialit des informations : le chiffrement . . . . . . . . . . . . 134

Chapitre 12 La pdophilie sur Internet . . . . . . . . . . . . . . . . . . . . 149

12.1 La traque policire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

Chapitre 13 Banques en ligne : une scurit limite . . . . . . . . . . . . . 157

13.1 Un manque de volont . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

Chapitre 14 Les vigies dInternet . . . . . . . . . . . . . . . . . . . . . . . 163

14.1 Les organismes officiels francais . . . . . . . . . . . . . . . . . . . . . . . 164

Chapitre 15 Les tats qui copient les pirates . . . . . . . . . . . . . . . . . 175

15.1 Ltat des forces . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176

Creative Commons BY-NC-ND

15.1.4 La Chine et lAsie . . . . . . . . . . . . . . . . . . . . . . . . . 179

Chapitre 16 La lgislation face la cybercriminalit . . . . . . . . . . . . . 191

16.1 Un arsenal juridique adapt . . . . . . . . . . . . . . . . . . . . . . . . . 192

Chapitre 17 Lavenir de la cyberdlin-quance : les prochaines cibles . . . . 201

17.1 La mobilit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

Sites utiles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

Autres sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213

Creative Commons BY-NC-ND

Creative Commons BY-NC-ND

Creative Commons BY-NC-ND

Creative Commons BY-NC-ND

Creative Commons BY-NC-ND

Les infractions lies aux technologies de linformation et de la

En fait, dans la dfinition de la cybercriminalit, il est dusage de considrer tout

1.1 UNE EXPLOITATION PROFESSIONNELLE

Creative Commons BY-NC-ND

Publie en avril 2006, la neuvime dition de l'Internet Security Threat Report de

Types d'attaque ou de dtournement identifis ces 12 derniers mois

2005 : 500 correspondants

Creative Commons BY-NC-ND

Autre constat selon Symantec : le dclin notable des menaces de catgories 3

Cot financier total par type d'attaques en dollars