Professional Documents
Culture Documents
Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IX
4.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40
4.2 Les techniques du phishing . . . . . . . . . . . . . . . . . . . . . . . . . 42
4.2.1 Comment harponner la victime . . . . . . . . . . . . . . . . . . . 43
4.3 Les mcanismes dattaques . . . . . . . . . . . . . . . . . . . . . . . . . . 47
4.3.1 Attaque par le milieu . . . . . . . . . . . . . . . . . . . . . . . . 48
4.3.2 Obfuscation dURL . . . . . . . . . . . . . . . . . . . . . . . . 49
4.4 Les diffrentes protections . . . . . . . . . . . . . . . . . . . . . . . . . . 52
5.1 Le pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
5.1.1 Lattaque par empoisonnement du cache DNS et le pharming. . . . . . 56
5.1.2 Quelques exemples dattaques . . . . . . . . . . . . . . . . . . . . 56
5.1.3 Quelques mesures de lutte . . . . . . . . . . . . . . . . . . . . . 57
5.2 Les botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
5.2.1 Quelques chiffres . . . . . . . . . . . . . . . . . . . . . . . . . 59
5.2.3 Les attaques par botnets . . . . . . . . . . . . . . . . . . . . . . 60
5.3 Le vishing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63
Bibliographie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 211
Ouvrages et articles de rfrence . . . . . . . . . . . . . . . . . . . . . . . . . 211
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215
cybercriminalite.book Page X Jeudi, 14. septembre 2006 8:25 20
Avant-propos
En 1983, le film Wargames relate les exploits de Kevin Mitnick, un pirate rendu
clbre pour avoir notamment russi sinfiltrer dans lordinateur du commande-
ment de la dfense arienne amricaine. Vingt ans plus tard, la ralit a largement
dpass la fiction. Les virus informatiques, ou de faon plus gnrale les codes
malveillants, sont partout. Les effets de cette pandmie sont multiples. Tout le
monde est concern, le particulier comme lentreprise.
Lpoque o quelques tudiants en informatique craient des virus est rvolue.
Place la cybercriminalit. Le principal objectif des pirates et des organisations cri-
minelles est largent. Tous les moyens sont bons : faux sites de banque incitant les
clients donner leurs coordonnes bancaires pour ensuite faire des prlvements
(technique du phishing), intrusions dans les rseaux dentreprises pour voler des
informations stratgiques ou mener des oprations de dsinformation afin de faire
capoter un projet, espionnage dordinateurs, tentative de racket dune entreprise en
saturant son site, etc.
Cette nouvelle forme de dlinquance cote trs cher. Selon le FBI, les virus, les
intrusions sur les rseaux et les autres incidents relatifs la scurit cotent, chaque
anne, environ 70 milliards deuros aux entreprises amricaines ! En France, des sta-
tistiques similaires sont rares et ne sont pas rendues publiques. Cest la culture du
secret, une particularit qui nest pas propre notre pays1 mais qui semble nan-
moins plus dveloppe chez nous Rsultat, il est trs difficile destimer ltendue
de ce flau. Les banques, les sites ou les entreprises victimes de piratage ne commu-
niquent que trs rarement. Mme les services spcialiss de la police ont le plus
grand mal connatre ces affaires ou convaincre les victimes de porter plainte afin
de lancer des enqutes !
Aujourdhui, les escrocs du net emploient des mthodes de plus en plus sophisti-
ques et de plus en plus cibles. Il ne sagit plus dinfecter la toile entire mais
datteindre une cible prcise : une entreprise ou un profil dinternautes (les clients de
1. Selon le FBI, seulement 25% des entreprises amricaines victimes d'attaques avertissent les
autorits.
cybercriminalite.book Page X Jeudi, 14. septembre 2006 8:25 20
telle ou telle banque). Pour mener bien leurs oprations ils peuvent mme faire
leurs emplettes sur Internet.
Des sites plus ou moins discrets permettent dacheter toute une panoplie : virus,
logiciels espion, programmes permettant de prendre le contrle distance dun PC,
etc. On peut mme y trouver des numros de carte bancaire et des codes entre 3 et
100 euros.
Le plus inquitant est quen faisant quelques requtes prcises sur un moteur de
recherches on peut trouver ce mme genre de programmes en libre accs sur des
blogs phmres. Frustr de ne pas avoir obtenu une promotion, un employ peut
ainsi se venger en infectant le rseau de son entreprise. Un ancien amant peut lui
aussi se venger en espionnant le PC de son ex-compagne. Il peut ainsi rcuprer le
numro et le code daccs de sa carte bancaire afin de faire des achats sur Internet.
Cette volution inquite de plus en plus les responsables de la scurit informatique.
Mais le plus grand danger se situe au niveau des donnes personnelles. Selon Pri-
vacy Rights Clearinghouse, quelque 90 millions de personnes (pas uniquement am-
ricaines compte tenu de la mondialisation des rseaux informatiques) ont t
victimes dun vol d'identit aux tats-Unis entre avril 2005 et juillet 2006. Selon
cette ONG spcialise dans les questions de scurit de donnes sensibles, prs de la
moiti de ces pertes sont classables dans la colonne des vols prmdits fins
d'exploitations nuisibles . Il ne se passe plus un jour sans quon apprenne la
disparition de lordinateur portable dun cadre suprieur ou lintrusion dans une
entreprise. Fin aot 2006, la boutique en ligne du gant amricain des tlcommuni-
cations AT&T a t pirate. Les fiches client (avec le numro de carte de crdit) de
plus de 19 000 personnes ont t drobes.
Parfois, le travail des pirates est facilit par des entreprises. Dbut aot 2006,
AOL a divulgu par erreur les donnes personnelles de 650 000 abonns.
Lavenir est plutt sombre. Messagerie instantane, tlphone IP, tlphones por-
tables Tous ces moyens de communication vont tre, plus ou moins brve
chance. Les particuliers et les entreprises doivent donc redoubler de vigilance car
les diffrents logiciels de scurit (antivirus, antispams, pare-feu) ne peuvent pas
garantir une scurit 100 %. Quoiquen disent certains diteurs qui confondent
marketing et efficacit.
En matire de scurit informatique, le maillon faible est - et restera toujours - luti-
lisateur. Les pirates le savent. Vous aussi vous en serez persuad aprs avoir lu ce livre.
cybercriminalite.book Page 1 Jeudi, 14. septembre 2006 8:25 20
1
Internet : le nouveau filon
des organisations criminelles
Les braquages de fourgons blinds existeront toujours mais on ne peut pas en faire
plusieurs dans la journe ou dans la semaine ! Cest le cas des attaques
informatiques : on peut automatiser des oprations quotidiennes. Et en plus, le
cot (en termes de moyens ncessaires lattaque et de risques juridiques et physi-
ques) est moins lev . Pour ce spcialiste trs au fait de la cyberdlinquance,
lavenir apparat donc comme une vidence : les hold-up virtuels vont augmenter.
Pour tous les experts que nous avons rencontrs, cette volution est trs rcente.
Linformation est bien sr trs difficile vrifier mais il semblerait que, pour la pre-
mire fois en 2005, le montant des vols gnrs sur Internet soit suprieur celui du
trafic de biens rels. Selon les estimations des chercheurs de lorganisation Compu-
ter Econmics, en 2004, le montant des pertes engendres par ces diffrentes attaques
tait de presque 18 milliards de dollars.
Lpoque des informaticiens qui craient des virus dans leur chambre est rvolue.
Le dveloppement des moyens de tlcommunication et la trs forte dpendance des
entreprises, et de la socit en gnral, ont favoris lmergence de la cybercrimina-
lit. Ce terme regroupe trois types dinfraction diffrents :
Les infractions relatives au contenu : diffusion intentionnelle sur le web de
textes ou dimages illgaux (insultes caractre raciste, xnophobe ou nga-
tionniste, pdopornographie) ;
Latteinte la proprit intellectuelle : mise en ligne de fichiers musicaux et
vido gratuits sans laccord des auteurs, vol dun prototype dappareil ou des
codes dun nouveau logiciel
cybercriminalite.book Page 2 Jeudi, 14. septembre 2006 8:25 20
Plusieurs signes tendent confirmer cette tendance. L'anne 2003 tait une anne
de virus ciblant notamment les banques. L'anne 2004 a t marque par des affaires
de chantages afin d'extorquer des fonds. L'anne 2005 me semble avoir t celle o
de vraies connexions sont apparues entre criminalit hors l'Internet et
cybercriminalit 1 explique Pascal Lointier, prsident du Clusif, le Club de la scu-
rit des systmes informatiques franais.
Crer un virus pour planter un ordinateur na plus beaucoup dintrt. Sauf
prouver quon sait le faire. Ce qui intresse les malfrats du net cest lefficacit.
Depuis moins de deux ans, nous sommes passs du crime informatique ludique
bas notamment sur le proof-of-concept (voir encadr ci-dessous) avec des hackers
thiques ou historiques (cherchant montrer les faiblesses du systme en gnral)
une exploitation professionnelle de la cybercriminalit. La preuve : depuis Slam-
mer, il ny a plus de vagues de virus qui plantent tous les ordinateurs, nous explique
Patrick Pailloux, directeur central de la scurit des systmes d'information. L're
des attaques virales de masse est termine. Cest le gain financier qui compte
maintenant.
Le proof-of-concept
Cette notion dsigne un code conu et ralis dans le but de prouver quun risque
donn et identifi est bien rel. Dans le domaine de la virologie, ce concept est
fondamental. Il permet de prouver techniquement, selon une dmarche scientifique
avre, quun risque existe. Il permet galement de lutter contre les rumeurs, faux
bruits et autres fantasmes. Ainsi, les volutions majeures en virologie sont le fait
dauteurs qui ont publi des proof-of-concept (premier virus polymorphe, premier
code mtamorphe, premier virus pour tlphone portable). Cette notion divise
les opinions : alors que les diteurs dantivirus diabolisent systmatiquement tous les
auteurs de ce genre de codes, quils soient chercheurs reconnus ou simple program-
meurs lesquels se contentent de les rendre publics sans les utiliser le monde
scientifique et universitaire considre cela comme relevant dune dmarche scienti-
fique et intellectuelle rigoureuse. Le dbat nest pas prs dtre clos.
1. Libration, 13/01/2006.
cybercriminalite.book Page 3 Jeudi, 14. septembre 2006 8:25 20
100
Attaque interne
rseau Internet
Virus
Vol d'ordinateurs
80 portables
Atteinte la
confidentialit
des donnes
Dni de service
60
Intrusion de systmes
Vol de donnes
Fraude tlphonique
40 Fraude financire
Sabotage matriel
Attaque de rseaux
sans fil
Dtournement
20 dapplications Web
Dfacement
de sites Web
Dunod La photocopie non autorise est un dlit
0
1999 2000 2001 2002 2003 2004 2005
Figure 1.1 La palette des codes malveillants devient de plus en plus large,
la tendance tant lutilisation darmes cibles et sophistiques.
Dans son prcdent rapport (premier semestre 2005), Symantec signalait une
progression des codes malicieux conus des fins financires. Cette tendance s'est
maintenue tout au long du deuxime semestre 2005. Les codes malicieux permet-
tant d'accder des informations confidentielles reprsentent aujourd'hui 80 % des
50 principaux codes malicieux rpertoris, contre 74 % au cours du premier semes-
tre 2005 .
cybercriminalite.book Page 4 Jeudi, 14. septembre 2006 8:25 20
Les organisations criminelles qui svissent sur Internet seraient donc entres
dans une logique conomique qui consiste minimiser les cots de fabrication (en
loccurrence des codes malveillants) pour optimiser leur forfait Pour atteindre cet
objectif, elles sengouffrent dans les diffrents maillons faibles de la scurit informa-
tique (voir chapitre 2) et les limites intrinsques aux antivirus (chapitre 11). Des
hackers ont mme mis sur pied des sites e-commerce proposant des exploits 1 pri-
vs capables de contourner ces logiciels de scurit.
Encore plus surprenant, deux sites vendaient des chevaux de Troie indtectables
par les antivirus conventionnels. Ferms il y a quelques mois, ils permettaient qui-
1. Tout ou partie d'un code permettant d'utiliser une vulnrabilit ou un ensemble de vulnrabili-
ts d'un logiciel (systme ou application) des fins malveillantes. Source : CERTA.
cybercriminalite.book Page 5 Jeudi, 14. septembre 2006 8:25 20
rien arranger, les pirates utilisent diffrentes techniques permettant de brouiller les
pistes (techniques danonymisation, implications de plusieurs pays pour faire soppo-
ser les diffrentes lgislations, socits crans) afin de rendre plus compliques les
enqutes des autorits comptentes. Cette gurilla numrique est dautant plus diffi-
cile reprer et dmanteler que ces quipes sont clates sur plusieurs
continents , prcise Eugne Kaspersky.
Les principales victimes sont les entreprises et les organismes financiers car ils
dtiennent diffrents trsors : fichiers clients avec des donnes plus ou moins
personnelles, dossiers confidentiels sur des projets et prototypes, forte dpendance
aux moyens de communication (et notamment dInternet), etc.
Publi en aot 2005, le rapport IBM Global Business Security Index indique quil y
a eu 237 millions d'attaques virales et informatiques lances dans le monde durant
le premier semestre 2005. Un peu plus de la moiti (137 millions) se sont concen-
tres sur quatre domaines : les sites gouvernementaux, les services financiers, les
constructeurs (tous domaines confondus) et les industries de la sant. Pour valuer
cette situation, le gant de linformatique a interrog 2 700 professionnels de la scu-
rit et sest appuy sur les enregistrements et statistiques fournis par 500 000 outils de
surveillance dans le monde.
La principale cible reste les agences gouvernementales avec un peu plus de
50 millions d'attaques lors des six premiers mois 2005. Viennent ensuite le secteur
industriel (36 millions) et la finance (34 millions). Les tats-Unis ne sont pas un
paradis pour les entreprises puisque cest dans ce pays qua lieu la majorit
(12 millions) des oprations menes par des bandes criminelles ou des individus. Les
deux autres pays les plus touchs le sont beaucoup moins : la Nouvelle Zlande
(1,2 million) et la Chine (1 million).
La cyberdlinquance a donc un impact sur lconomie des entreprises. Dans la
dixime dition de son tude (ralise avec la participation du bureau de San Fran-
cisco du FBI) le Computer Security Institute (CSI) ne se montre pas optimiste. Bas
sur les rponses fournies par 700 responsables de la scurit au sein dentreprises,
1. Libration. 11/02/2006.
cybercriminalite.book Page 7 Jeudi, 14. septembre 2006 8:25 20
39 %
49 %
42 %
39 %
39 % 32 %
25 %
19 %
18 % 27 %
7% 13 %
15 %
9% 2%
5%
Les entreprises ne sont pas les seules victimes. Les particuliers paient aussi un
lourd tribut cette avalanche de codes malveillants. Une enqute ralise, auprs de
3 200 foyers amricains quips dune connexion Internet, par l'association de
dfense des consommateurs Consumer Reports value 9 milliards de dollars le
montant des frais occasionns, dans 61 % des cas, par un virus. Le cot moyen de la
remise en tat de marche de lordinateur serait de 300 dollars. La cybercriminalit
aurait mme t lorigine de prs de 8 % des ventes d'ordinateurs Et ne parlons
pas de lenvole du march des logiciels de scurit (voir le chapitre 11). Selon cette
enqute, les consommateurs amricains ont investi 2,6 milliards de dollars dans
l'achat de ces logiciels entre 2003 et 2004. Ce march devrait encore se dvelopper
ment important et les outils statistiques utiliss ne sont toujours pas adapts.1 Selon
Yves Crespin, 90 % de la cybercriminalit nous chappe .
Le commissaire Marie Lajus prcise que de nombreuses entreprises victimes de
ce type dattaques ne font pas appel aux services de police. Pour diffrentes raisons.
Premirement, elles connaissent mal les capacits des services de police qui ont
pourtant de vraies comptences dans ce domaine. Deuximement, plusieurs de ces
entreprises vivent grce la confiance que leur prtent leurs clients sur Internet.
Porter la connaissance de tout le monde la ralit dune vulnrabilit nest pas bon
pour limage. Or, porter plainte ne signifie pas pour autant rendre publique cette
affaire. Nous pouvons travailler de faon discrte et cest un moyen efficace pour que
a ne se reproduise pas.
Une autre raison, moins officielle, explique le dcalage entre la ralit et le nom-
bre de faits constats. Le parquet va tre amen classer de nombreuses affaires
cause dune nouvelle loi dorientation, explique un spcialiste. Sil reoit une plainte
et sil estime que le cot des prjudices est infrieur celui des rquisitions, il peut
dcider de classer laffaire. Cela arrive de plus en plus souvent.
tation, les policiers sont surpris par son quipement informatique trs rudimen-
taire. Vivant chez sa sur et matrisant un peu linformatique, cest le
prototype de hacker qui commence poser des problmes. Son seul but : embter
le monde , constate un policier.
Cest bien sr aux tats-Unis que les arrestations sont les plus nombreuses. Dbut
2006, un Californien a plaid coupable lors de son procs devant une cour fdrale
amricaine. Il tait accus de stre servi dune arme de 400 000 PC infects (dont
certains appartenaient au dpartement de la Dfense) pour endommager des sys-
tmes (attaques DDoS), lancer des spams et installer des logiciels espions (spywares
et keyloggers) sur des systmes. Il louait aussi ses PC zombies des pirates et des
1. Source : Chantier sur la lutte contre la cybercriminalit . Rapport prsent par Thierry Bre-
ton. Fvrier 2005.
cybercriminalite.book Page 10 Jeudi, 14. septembre 2006 8:25 20
Figures 1.4 et 1.5 Nimporte quel site peut tre victime dun defacement.
Ici celui de France Telecom et de la CIA.
cybercriminalite.book Page 11 Jeudi, 14. septembre 2006 8:25 20
En rsum
Lpoque du pirate en chambre est rvolue. La cration de virus visant simplement
prouver ses comptences nest plus dactualit. Aujourdhui, des organisations crimi-
Dunod La photocopie non autorise est un dlit
nelles, ou des individus, ont pris le relais et mnent des attaques de plus en plus
sophistiques (et donc de plus en plus difficilement dtectables) et cibles sur les
entreprises. Dernier maillon de la chane, le particulier paie aussi un lourd tribut
cette expansion de la cybercriminalit.
cybercriminalite.book Page 12 Jeudi, 14. septembre 2006 8:25 20
2
Les maillons faibles
de la scurit informatique
En matire de scurit, quel que soit le domaine considr, la cause des problmes
relve toujours de deux aspects qui peuvent intervenir sparment ou simultan-
ment :
Une erreur, volontaire ou non de lutilisateur ;
Un dfaut dans le systme concern, soit au niveau de loutil lui-mme, soit au
niveau de la fonctionnalit mise en uvre par cet outil (le protocole).
Il est intressant de remarquer que ces trois causes sont classes par ordre dcrois-
sant de probabilit de ralisation, les accidents tant plus souvent engendrs par la
faute directe des usagers que par le mauvais tat des routes. Cet exemple sapplique
parfaitement au domaine de la scurit informatique et les causes daccidents sur nos
routes sont transposables sur les autoroutes de linformation .
cybercriminalite.book Page 14 Jeudi, 14. septembre 2006 8:25 20
Mais ces comportements ne sont mauvais dans labsolu que parce quil existe un
autre acteur important dans toute attaque : le pirate, le hacker, lescroc Bref, celui
que nous nommerons le malfaisant informatique. Pour atteindre sa cible, il va
dployer une stratgie trs efficace : mettre son profit les mauvaises habitudes des
usagers pour les transformer en comportements dangereux pour la scurit informa-
tique. Cest que lon appelle lingnierie sociale1.
L'attaquant a alors deux axes d'approche pour tenter de porter atteinte la scurit
du systme considr : soit il en vise directement les lments techniques (exploita-
tion de failles, de la mauvaise gestion, de mauvaises configurations cet aspect-l
sera dvelopp plus loin dans ce chapitre), soit il s'attaque directement l'utilisateur
ou l'administrateur pour l'amener effectuer certaines actions lui permettant de por-
ter atteinte au systme. En clair, le pirate peut soit exploiter un bug dj prsent,
Mots de passe et noms de login : aussi incroyable que cela puisse paratre,
encore trop de personnes et mme des professionnels donnent par
tlphone ou par e-mail leur code de carte bancaire ou leur mot de passe
informatique ! Plusieurs tudes lont dmontr. Lors du colloque Infosecurity
Europe 2004, organis Londres, une exprience a t mene lentre dune
station de mtro. Une personne accostait les usagers de la faon suivante : Je
vous offre cette barre chocolate si vous acceptez de me rvler le mot de
passe que vous utilisez pour vous connecter Internet . Sept personnes sur
dix ont craqu pour la friandise. Ce petit test na videmment pas une porte
scientifique puisquil na concern que 172 personnes. Mais il reste nanmoins
intressant. Lanalyse de lattaque opre en 1999 contre l'hbergeur franais
Multimania est plus significative puisquelle a occasionn la publication de
70 000 mots de passe. Elle va rassurer les pirates car le mot de passe qui dcro-
che la premire marche du podium est 123456. Sur les deux autres
marches il y a azerty et Nicolas !
Les principaux moyens utiliss par les attaquants pour dcouvrir les mots de passe
sont les suivants :
Consultation de diffrents fichiers : annuaires, pages web personnelles,
panneaux d'affichage dans les halls d'accueil, bases de donnes en ligne, infor-
mations publiques concernant le systme, recherche sur Internet, annuaires
danciens lves dcoles dingnieurs, offres publiques de march
Analyse des rebuts : exprience personnelle l'appui, nous avons pu consta-
ter plusieurs reprises que les poubelles taient de vritables mines dinforma-
tions. Les personnels et futures victimes jettent dans leur corbeille les
papiers, brouillons, post-it (quelquefois celui sur lequel est inscrit le mot de
passe !), dossiers Ils ne se doutent pas que, bien souvent, ces corbeilles sont
vides dans une poubelle plus grande qui se retrouve sur le trottoir la dispo-
sition de l'attaquant. Combien d'entreprises en sont conscientes ? Certains
prsidents de grandes entreprises, conscients de ce risque, crivent leurs notes
Dunod La photocopie non autorise est un dlit
administratives sur des brouillons qui passent ensuite dans un broyeur tandis
que dautres, moins prudents, les tapent sur un ordinateur portable ou un PDA
connect Internet , nous rvle Patrick Pailloux, directeur central de la
scurit des systmes d'information.
Utilisation de logiciels spcialiss dans la collecte de renseignements techni-
ques sur votre environnement informatique : ils sont nombreux et redouta-
bles. Pour vous faire une petite ide, allez sur le site de la CNIL1 et vous pourrez
constater comment, en un clic de souris, il est possible, de l'extrieur, d'obtenir
des informations techniques sur votre propre ordinateur. Et les informations
retournes par ce lien sur le site de la CNIL, des fins de sensibilisation, ne
reprsente quune infime partie de ce quil est possible de collecter.
1. http://www.cnil.fr/traces/index.htm
cybercriminalite.book Page 18 Jeudi, 14. septembre 2006 8:25 20
Visite des locaux : lors de visites d'entreprises, un futur attaquant peut glaner
beaucoup trop d'informations. Si une visite n'est pas possible, il peut se faire
passer pour un prestataire de service ou un personnel de maintenance. En
priode de vacances, cela marche encore mieux, les personnels intrimaires
pouvant se faire abuser plus facilement.
Observation distance de moniteurs : promenez-vous prs de certaines soci-
ts ou de certains ministres, et comptez le nombre d'ordinateurs dont l'cran
est tourn vers l'extrieur. Vous serez surpris. Le nombre dingnieurs ou de
dcideurs offrant la vue de quiconque son ordinateur portable dans les lieux
publics (le train par exemple) est un autre exemple de mines dinformations
techniques rentables.
Mais le plus redoutable est l'indiscrtion quasi maladive des personnes vis--
vis de l'extrieur. Beaucoup dingnieurs ou de dcideurs connaissent une
baisse de vigilance devant la jolie fille sur le stand dun salon ou assise quel-
ques places deux dans un train. Et cet ingnieur de faire le paon verbalement
du moins pour pater la galerie. Pour tayer ce propos, nous prendrons un
exemple rel qui, malheureusement, s'observe frquemment. Lors d'un voyage
en TGV entre Rennes et Paris, deux professionnels de l'informatique discutaient
boulot . En moins de deux heures, entre lobservation de leur ordinateur por-
table et lcoute de leur conversation, nous en avons appris suffisamment sur leur
entreprise, son environnement sociologique et son environnement informatique
pour potentiellement mener une attaque par ingnierie sociale : logiciels utili-
ss, habitudes, penchants et travers de l'administrateur systme, nom du
directeur technique, informations sur des dossiers commerciaux en cours Et si
la jolie blonde qui leur faisait face et qui tait la cible involontaire de leurs
propos hbleurs avait t un pirate informatique ou la complice dun hacker
assis plus loin, leur entreprise aurait pu payer un prix trs lev pour leurs fanfa-
ronnades verbales.
Autre exemple ahurissant : un ingnieur commercial a communiqu son mot de
passe et son login par tlphone sa secrtaire (les mobiles tant d'ailleurs une
aubaine pour les attaquants) et discut avec elle d'un dossier d'un client, avec force
dtails. Le TGV ou autres transports en commun, mais aussi le caf et le restaurant
(o les personnels d'une entreprise ou dune administration ont l'habitude de se
retrouver) sont des lieux propices pour la collecte d'informations.
Une autre approche, plus active, consiste discuter de faon anodine avec des
personnels de la socit vise (la standardiste, une secrtaire). Il est toujours trs
intressant de savoir que l'administrateur systme est un mordu de jeux ou est parti-
culirement sensible la gent fminine. Et pourtant, ce ne sont pas des informa-
tions techniques !
La ruse et l'inventivit des attaquants d'un ct, la crdulit ou le manque coupa-
ble de professionnalisme et de srieux des utilisateurs d'un autre ct, montrent
rgulirement que la liste prcdente n'est malheureusement pas exhaustive.
cybercriminalite.book Page 19 Jeudi, 14. septembre 2006 8:25 20
plus robuste.
Que dire de la grave faute commise par cet administrateur systme ? Rien sinon
qu'elle a permis l'attaquant de s'introduire sur le rseau de cette entreprise, selon le
principe de mutuelle confiance et de drober en trs peu de temps de nombreuses
informations et notamment une partie de la base clients.
sont les utilisateurs qui ont envoy leurs collgues, sur le rseau dentreprise le petit
jeu de massacre o la cible n'est autre qu'un Ben Laden apparaissant alatoirement,
des cartes de vux lectroniques ou des diaporamas Power Point humoristico-
pornographiques1)
Mais la plus redoutable des approches est celle qui utilise la pornographie.
Combien d'attaques ont utilis ce ressort avec succs. Et malheureusement, dans
ce cas-l, les neurones cdent devant les hormones. Lexemple le plus typique res-
tera celui du macro ver W97M/Melissa. Initialement, ce ver est apparu en mars
1999. Il a t distribu dans un fichier LIST.DOC dans le forum de discussion
alt.sex. Le fichier en attachement contenait une liste de login (identifiant) et de
mots de passe pour des sites pornographiques. Le ressort utilis (le sexe) se rvla
extraordinairement efficace. Melissa est l'un des macro vers dont la propaga-
tion a t l'une des plus foudroyantes. Des multinationales comme Microsoft ont
d, pendant plusieurs heures, fermer leur service de messagerie pour endiguer la
dissmination. Il nest donc pas tonnant que des codes malveillants faisant appel
au sexe apparaissent rgulirement.
Un autre exemple rapport2 est particulirement intressant. La collaboratrice
de la socit Quartier Libre Productions reoit un e-mail l'objet engageant : Une
journe Belle-Ile . Cette invitation est d'autant plus attractive que c'est prcis-
ment le titre d'une nouvelle crite par le frre de cette collaboratrice (pure conci-
dence ou attaque cible ?). Au final, un dossier du disque dur envoy tout son
carnet d'adresses et 99 % des fichiers dtruits en une heure (notamment la compta-
bilit et les courriers avec les clients). Et pourtant cette socit tait protge par un
antivirus mis jour rgulirement. Le sentiment de scurit induit par ces logiciels
diminue souvent la vigilance des utilisateurs qui leur accordent une confiance
inconsidre (voir le chapitre 11). Dans notre cas prcis, il est possible d'imaginer
qu'un renseignement judicieusement utilis permette une attaque d'autant plus effi-
cace qu'elle est cible.
contraintes d'UNIX pour les mots de passe : pas plus de 8 caractres, respect des
majuscules/minuscules. Le mot de passe devra tre vrifiable par notre jury.
Les auteurs rapportent que rien n'indiquait la provenance de cette annonce, ni
les informations usuelles (composition du jury, remise des prix). Malgr cela, une
cinquantaine d'utilisateurs ont inscrit les donnes demandes sur cette affiche. Il va
sans dire que leurs comptes ont t attaqus presque immdiatement.
Dans le mme registre, et plus rcemment, certaines attaques de dni de service
ont t ralises en exploitant lappt du gain. Les chanes de courriers lectroni-
ques proposant de gagner des tlphones mobiles en faisant suivre le-mail dix per-
sonnes et en mettant en copie la socit vise (en loccurrence un des leaders de la
tlphonie mobile), provoquaient leffet de saturation dsir.
Un autre exemple rcent concerne un cas dinfection de tlphones portables par
le virus Skulls.L. Lutilisateur reoit un message linvitant installer une copie pirate
de lantivirus pour mobiles de F-Secure.
Figure 2.1 Les tlphones vont devenir lune des nouvelles cibles des pirates.
sement , labonn qui accepte se fait alors infecter par le code qui modifie lenvi-
ronnement, dgrade les fonctionnalits et les performances et installe deux autres
vers tout en dfaant le bureau de travail du mobile (voir figure de droite). L
encore, une simple manipulation exploitant le manque de scrupules des utilisateurs
a permis la ralisation de lattaque (voir galement [4]). A lavenir, les utilisateurs de
tlphones mobiles devront tre plus vigilants car ils vont devenir lune des nouvel-
les cibles des pirates (voir le chapitre 18).
tement notre propos. Il s'agit d'un virus dit psychologique . Ce genre de virus
et autres canulars sont recenss sur le site www.hoaxbuster.com.
Dans le courant fvrier 2002, certains utilisateurs ont reu un message alarmiste les
avertissant qu'un virus particulirement destructif venait d'apparatre. Pour vrifier
une ventuelle infection, le destinataire du message tait invit regarder si un fichier
KERNEL32.DLL se trouvait dans le rpertoire C:\WINDOWS\SYSTEM de son dis-
que dur. Dans l'affirmative, l'utilisateur devait effacer au plus vite ce fichier et redmar-
rer immdiatement son ordinateur. Or, ce fichier est un excutable lgitime et
essentiel Windows. Il est charg au dmarrage du systme d'exploitation et gre la
mmoire, les entres-sorties et les interruptions. Le-mail, par son style et son appa-
rence, ressemblait s'y mprendre une alerte srieuse. Il n'tait pas demand de dif-
fuser ce message. Mais gnralement, les destinataires le diffusent leur entourage, par
solidarit. L'utilisateur sans connaissance technique de base sur le systme d'exploita-
tion de Microsoft qu'il utilise, paniqu par l'ide d'avoir sa machine infecte (et la peur
d'une ventuelle sanction de la part de sa hirarchie sil travaille dans un bureau),
effectue les oprations conseilles. Le mal est fait et Windows ne peut plus redmarrer.
Il y a atteinte la disponibilit et ventuellement perte des donnes si aucune sauve-
garde n'a t faite et qu'aucun CD ou DVD de sauvetage n'a t prvu.
Il faut surtout sensibiliser et former les personnels, quels qu'ils soient, par le biais
de stages ou lors de runions rgulires. Le point le plus important tant de les sensi-
biliser aux risques de l'indiscrtion hors de l'entreprise.
Il est surtout fondamental de garder constamment l'esprit que personne n'est
l'abri ou naturellement immunis (par la grce d'une position hirarchique sup-
rieure ou d'une forte expertise) contre ce genre d'attaque. Cest ce qua dcouvert la
directrice de la scurit de Bouygues. En faisant ensemble un audit de scurit
nous avons en effet remarqu que ce ntaient pas les employs qui faisaient le plus
derreurs en matire de scurit mais les cadres suprieurs, nous explique le Commis-
saire principal Yves Crespin, Chef de la Brigade denqutes sur les fraudes aux
technologies de linformation (BEFTI). Estimant tre protgs par leur direction
informatique, ils font des fautes de scurit que ne ferait mme pas un dbutant. Cet
exemple montre quil faut une vision globale en matire de scurit. Cela implique
une coopration entre la direction informatique et celle des ressources humaines
pour mieux duquer les employs.
Il vaut mieux surestimer l'attaquant que l'inverse. Mais surtout il convient de gar-
der l'esprit que dans une politique de scurit, l'lment humain (c'est--dire les uti-
lisateurs en y incluant les administrateurs systme) restera toujours le facteur limitant.
Ce genre de failles, encore connues sous le nom de vulnrabilits, est lautre facteur
trs important permettant de raliser des attaques avec une facilit dconcertante.
Une vulnrabilit est un dfaut de programmation ou de gestion affectant soit un
logiciel ou soit limplmentation dune fonctionnalit ou dun protocole. Elle per-
met de pntrer sans aucune procdure dautorisation ou de contrle, un systme et ce
Dunod La photocopie non autorise est un dlit
avec des privilges maximaux (qui sont ceux du systme lui-mme). On appelle
exploit le code permettant dexploiter cette vulnrabilit.
A ct de la notion de vulnrabilit, il est ncessaire de dfinir la notion de vul-
nrabilit 0-Day (et donc galement dexploit 0-Day). Il sagit dune vulnrabilit
permettant de compromettre des systmes mis jour. Lexistence de ces vulnrabili-
ts particulires a plusieurs explications [1] :
Lditeur est au courant de la faille mais na pas encore publi de correctif (cas
de la faille WMF de janvier 2006).
Lditeur nest pas au courant de la faille, cette dernire nest partage que par
un nombre restreint de personnes.
cybercriminalite.book Page 24 Jeudi, 14. septembre 2006 8:25 20
Ce dernier cas il est difficile voire impossible den valuer limportance est le
plus grave puisque non seulement les systmes sont totalement vulnrables, mais cette
situation est aggrave par lignorance totale de la part des professionnels de scurit.
Comment en effet se protger contre quelque chose que lon ne souponne mme pas.
Ce qui est clair, cest que des groupes et notamment dans les pays de lEst ainsi quen
Asie connaissent et exploitent ce genre particulier de vulnrabilits. Le cas de la
faille WMF (Windows Meta File) lors dune attaque venant de Chine (voir chapitre 11)
le dmontre clairement. Nous verrons un autre exemple dattaque de ce type.
1. Ce logiciel est indispensable pour organiser un serveur web, mettre disposition des pages et
services attachs et permettre aux internautes de se connecter sur un tel serveur.
cybercriminalite.book Page 26 Jeudi, 14. septembre 2006 8:25 20
Attaque BlueJacking
Elle consiste envoyer un fichier pour transmettre un message et, ce sans authenti-
fication, un autre quipement Bluetooth. Le nom de lquipement Bluetooth
metteur peut tre modifi afin de faire croire une communication lgitime et
normale (fournisseur de services de tlphonie par exemple). Cela autorise une
forme nouvelle de spam et une mthode denvoi de codes malicieux.
Attaque BlueSnarfing
Le pirate peut accder en lecture et en criture aux informations contenues dans
lenvironnement mobile vis (rpertoire tlphonique par exemple). Les donnes
contenues dans lappareil vis peuvent tre modifies. De nouvelles variantes de
cette attaque sont dcouvertes rgulirement. Dans tous les cas, un dfaut dauthen-
tification est lorigine de la faille.
Attaque BlueBugging
Elle permet de prendre le contrle des appels (et ainsi, par exemple, permet de trans-
former le tlphone en micro). Il est galement possible lattaquant dmettre, de
lire ou deffacer des SMS ainsi que de lire ou dcrire les entres du carnet dadresse.
Il peut galement rediriger le trafic tlphonique
Dunod La photocopie non autorise est un dlit
En rsum
Ingnierie sociale et vulnrabilits sont les deux principaux angles dapproche que
tout attaquant qui se veut efficace doit connatre et matriser. En face, tout
dfenseur se doit de connatre lexistence de ces possibilits. Si la lutte contre
les vulnrabilits reste encore une chose relativement facile quoique vite con-
traignante dans un systme informatique complexe la gestion technique des
vulnrabilits dites 0-Day est impossible. Quant la gestion de lutilisateur et de
sa sensibilit vis--vis de lingnierie sociale la gestion du fameux facteur
humain existe-t-il seulement un espoir dfaut dune solution. Tout officier
de scurit est pass par suffisamment de grands moments de solitude pour savoir
ce quil en est. Et lattaquant le sait aussi
cybercriminalite.book Page 28 Jeudi, 14. septembre 2006 8:25 20
3
Vols et pertes
de donnes personnelles
Laffaire McAfee/ Deloitte & Touche peut prter sourire tellement elle parat
invraisemblable ! Malheureusement, il ne sagit pas dun cas isol. Depuis un peu
plus dun an, diffrentes affaires de pertes et de vols de fichiers informatiques
cybercriminalite.book Page 30 Jeudi, 14. septembre 2006 8:25 20
dfrayent la chronique surtout aux tats-Unis. Une tude publie au printemps 2006
par le ministre de la Justice amricain estime 3,6 millions le nombre de victimes.
La majorit dentre elles aurait entre 18 et 24 ans et se situerait dans les couches
sociales aises (revenu annuel suprieur 75 000 dollars). La moiti des cas recenss
concernent des escroqueries la carte de crdit et 15 % des vols d'identit dans le
but d'ouvrir de nouveaux comptes ou de bnficier de prts.
Il nest donc pas surprenant que bon nombre dAmricains commencent srieu-
sement douter des capacits des entreprises et surtout des organismes financiers
protger efficacement les donnes personnelles quils stockent. Plus de la moiti des
consommateurs amricains utilisant lInternet craignent davantage depuis un an le
dtournement de donnes confidentielles comme les codes bancaires. Beaucoup ont
mme chang leurs habitudes, dcidant de moins recourir aux achats en ligne.
Ces affaires de pertes de donnes sont en effet dautant plus inquitantes quelles
concernent des banques rputes. Cest le cas de la Bank of America. En fvrier 2005,
la troisime banque amricaine (quelque 38 millions de comptes privs et dentre-
prises) a perdu des donnes financires de 1,2 million de fonctionnaires de l'tat
fdral amricain. Cet organisme semble dailleurs avoir quelques soucis avec la
scurit informatique. En fvrier 2006, il a annul les cartes de crdit de nombreux
clients suite un mystrieux incident technique Le palmars de Javelin Strategy
& Research, une socit amricaine spcialise dans les finances, apparat dans ce
cas trs surprenant. Pour la seconde anne conscutive (2004 et 2005), la Bank of
America a dcroch la premire marche du podium de la scurit en ligne. Dans cette
tude comparant vingt-huit banques, elle a aussi obtenu la premire place concer-
nant la prvention et la rsolution de vol didentit.
Les clients des autres banques ou organismes ne sont pas mieux lotis. En avril
2005, Citigroup a perdu des bandes magntiques contenant les donnes prives
denviron 4 millions de comptes. Le fichier se serait gar lors dun envoi dans un
avion affrt par une socit connue pour ses livraisons express.
En mars 2005, LexisNexis, spcialise dans la recherche et la vente d'informa-
tions personnelles de millions de consommateurs amricains, annonce la disparition
frauduleuse de 32 000 fichiers de donnes.
Mais laffaire la plus retentissante a lieu en fvrier 2005. Le service amricain de
renseignements financiers ChoicePoint a vendu par erreur un extrait de son fichier
clients de mystrieux acheteurs. Une mine dor pour tous les cyberdlinquants
puisquil contient l'identit personnelle (numro de scurit sociale, numros de
tlphone, adresses e-mails) et la situation bancaire (tat d'endettement notam-
ment) de quelque 160 000 personnes. Un vent de panique sempare du pays. Vingt-
deux tats ouvrent une enqute afin de vrifier notamment si le nombre de victimes
potentielles (dont une bonne partie se trouve en Californie) annonce par lorga-
nisme nest pas sous-valu. Les magistrats sappuient notamment sur le Privacy
Act of 2005 qui stipule que citoyen amricain doit tre inform ds quun
incident informatique concerne ses donnes. Mais comme cette lgislation nest
cybercriminalite.book Page 31 Jeudi, 14. septembre 2006 8:25 20
pas applique partout, des procureurs de ces tats-l ont demand des complments
dinformations auprs de ChoicePoint et ont averti le grand public.
Cette absence dune lgislation homogne explique en partie la difficult va-
luer, avec plus ou moins derreurs, le nombre de vols ou de pertes de fichiers de ce
genre. Image de marque oblige, les banques et les organismes de crdit restent trs
discrets sur ces dgts collatraux . Il faut donc se tourner vers des institutions
plus indpendantes pour obtenir des renseignements plus prcis. Ainsi, la Federal
Trade Commission (Commission Fdrale du Commerce aux tats-Unis) estime
quen 2005 un peu plus de 9 millions de ses concitoyens auraient t victimes d'un
vol ou d'une arnaque par usurpation de leur identit durant les 12 derniers mois ! Le
cot pour les entreprises ou les internautes est estim 50 milliards de dollars. Une
rcente tude1 de la Privacy Rights Clearinghouse, une association de dfense des con-
sommateurs amricains, value 53 millions le nombre de personnes qui auraient
perdu des informations personnelles entre mars 2005 et le printemps dernier.
Une thse ne peut pas sappuyer que sur des anecdotes. Mais celles-ci ont au
moins le mrite dtre significatives si elles sont choisies bon escient. Cest la
mme chose pour les exemples qui suivent. On peut en tirer toutes les conclusions
que lon veut et estimer que les exemples que nous allons prsenter sont rares. Cela
reste prouver. Tous les spcialistes en scurit que nous avons rencontrs nous ont
racont quelques bvues croustillantes. Les Gaston Lagaffe sont partout, y compris
dans lArme ou la police Quelques officiers franais ont par exemple oubli dans
des vhicules des tlphones portables contenant quelques numros classs
Mais lhistoire la plus connue remonte 2004. Lors de lopration Licorne en
Cte dIvoire, les militaires franais sont repartis un peu trop vite et ont laiss der-
rire eux un ordinateur contenant des renseignements classifis : cartes, inven-
Dunod La photocopie non autorise est un dlit
1. http://www.privacyrights.org/ar/ChronDataBreaches.htm.
2. Le monde. 14/04/2005.
cybercriminalite.book Page 32 Jeudi, 14. septembre 2006 8:25 20
naise Chubu Electric Power. Les donnes se seraient retrouves sur le web via le
logiciel de partage de fichiers Share. Quelques mois plus tt, la mme socit avait
connu un incident similaire Enfin, en juin 2005, lditeur dantivirus Sophos avait
rvl la diffusion dinformations secrtes sur une centrale nuclaire, drobes sur
lordinateur priv dun employ de Mitsubishi Electric Plant Engineering.
Toujours au Japon, des donnes sur des victimes japonaises de violences sexuelles
sont apparues sur Internet la suite de linfection de lordinateur dun enquteur de
la police.
Ces exemples peuvent paratre anecdotiques et le lecteur peut objecter que
somme toute, de tels cas sont fort heureusement peu nombreux. Que faut-il en
penser ? Sil est effectivement trs difficile, voire impossible, dtablir des statisti-
ques, cest en partie parce que le secret est de rigueur et qu moins dindiscrtions,
ces affaires et autres fautes graves ne sont jamais rendues publiques. Cest parfaite-
ment comprhensible si lon considre que leur rvlation donne aux attaquants
sinon des ides du moins des informations utiles pour savoir o chercher. Une autre
illustration du duel entre lpe et le bouclier.
Mais deux mois plus tard, ce record est tomb. Une base de donnes contenant
les informations personnelles denviron 26 millions d'anciens combattants amri-
cains a t drobe. En cambriolant le domicile dun analyste du ministre des
anciens combattants, les malfrats ont en effet mis la main sur un PC portable conte-
nant ce prcieux document.
Une autre tude publie en mai 2006 est tout aussi rvlatrice. A la demande du
groupe Kensington, le cabinet IDC a interrog 200 entreprises europennes.
Conclusion : en moyenne, une PME perd quatre ordinateurs portables par an, avec
trs peu de chances (5 %) de les retrouver. Le quart des vols serait d des employs.
Ce nest pas tellement la perte dun PC qui inquite le plus les entreprises mais le
cot li la disparition des donnes. Dans cette mme enqute, IDC annonce que
seulement 13 % des entreprises interroges font de la scurit matrielle de leur
matriel informatique une priorit
Le vol de donnes bancaires passe aussi par lutilisation de chevaux de Troie con-
us spcialement pour la rcupration de ce genre dinformations. Selon lditeur de
scurit Kaspersky, ces codes malicieux sont de plus en plus nombreux. Le taux de
croissance de cette catgorie est le plus lev parmi les programmes malicieux. Il
reprsente 402 % la fin de lanne 2005.1
Les Amricains ne sont pas les seuls tre concerns. Les pertes lies ce genre de
larcins atteindraient 1,7 milliard de livres Sterling en Angleterre selon les propos
tenus dbut 2006 par Andy Burnham, le secrtaire d'tat du ministre de l'Intrieur.
Lune des dernires affaires remonte au mois davril 2006. Le quotidien britannique
The Times2 rvle que des informations lies aux cartes de crdit de 300 400 Britan-
1. 01Net.com. 21/06/2005.
2. 15/04/ 2006.
cybercriminalite.book Page 34 Jeudi, 14. septembre 2006 8:25 20
niques ont t mises en vente sur l'Internet par des pirates qui les ont voles sur des sys-
tmes informatiques d'entreprises mal protges. Un vrai march aux puces ! Un
numro de carte cote 1 euro environ. Plus on paie, plus on obtient dinformations
facilitant les achats comme le code de scurit de trois chiffres cote (quelques euros)
et le code secret (entre 10 et 100 euros). Pour diffrentes raisons, lies notamment la
lgislation, ces sites ne se trouvent pas en France. Ils sont en principe hbergs hors
d'Europe et bien souvent aux tats-Unis, explique Yves Crespin, chef de la Brigade
denqutes sur les fraudes aux technologies de linformation (BEFTI). Dans ce pays, les
pirates profitent de la libert d'expression et de communication (1er amendement de
la Constitution) Autres terres daccueil : les pays de lEst et dAsie.
En France, les donnes officielles concernant ce genre de dlits sont rares, tous
les organismes bancaires (cest aussi la mme chose ltranger) restant trs discrets
sur ce genre de sujet. Selon lObservatoire de la scurit des cartes de paiement (cr
en 2003), le taux global de fraudes sur les cartes de paiement, toutes transactions
nationales et internationales confondues, a t estim en 2004 0,07 %. Il tait de
0,09 % en 2003 et de 0,08 % un an plus tt. Le montant de la fraude est pass de
273,7 millions deuros en 2003 241,6 millions deuros en 2004 (soit une diminu-
tion de 11,7 % alors que dans le mme temps les capitaux changs ont augment de
7,8 %, passant de 320 345 milliards deuros.
cybercriminalite.book Page 35 Jeudi, 14. septembre 2006 8:25 20
Mais le plus intressant est que cet observatoire constate une augmentation des
piratages des bases de donnes : la frquence est peu prs dun piratage par
semaine, alors que celle-ci tait dune par mois, voire une par anne, il y a peu de
temps. Ces piratages proviennent notamment des tats-Unis et de Turquie peut-on
lire dans un compte-rendu rcent1.
L'Office central de lutte contre la criminalit lie aux technologies de l'informa-
tion et de la communication (OCLCTIC) fournit aussi des statistiques. Sur les
59.964 faits enregistrs en 2004, 83,24 % concernent la falsification et l'usage de
cartes de crdits, en diminution de 0,45 % par rapport 2003.
Concernant la protection des donnes personnelles, de srieux doutes concer-
nent la carte Vitale. Il y a un an, deux ingnieurs ont dmontr quelle ntait pas
scurise. Ils ont dmontr quil tait possible davoir accs aux donnes confiden-
tielles mais aussi de crer des cartes compatibles acceptes par les professionnels
de la sant. Cette facilit serait due au fait que les donnes sont codes et non pas
chiffres (il ny a pas dalgorithme de cryptographie).
Ces deux informaticiens nen sont pas leur premire rvlation. Lun dentre
eux affirme avoir prvenu le GIE Sesam Vitale, ds 2000, de la prsence dun bogue
qui permettait dintercepter les codes porteurs confidentiels. Son compre avait de
son ct consacr deux articles, publis dans Pirates Mag de mai et aot 20052, dans
lesquels il indiquait quil tait possible de lire et de copier lensemble des donnes
prsentes dans cette carte et donc de la cloner.
Mais cest en Russie que la situation est la plus catastrophique. Du numro de
scurit sociale la date de naissance en passant par le prnom de sa mre, le
numro de compte bancaire ou de carte de crdit avec son code, toutes ces donnes
peuvent permettre d'accder diffrents comptes, le plus souvent des fins d'extor-
sion financire, mais aussi pour fabriquer de fausses pices d'identit, de faux
certificats, etc. Ces donnes pirates sont stockes sur des sites clandestins fonction-
nant comme des self-services d'informations voles. Pour pouvoir y accder, il faut
montrer patte blanche, et prouver sa bonne foi criminelle en apportant un lot de
donnes pirates3.
Dunod La photocopie non autorise est un dlit
La gangrne russe va-t-elle stendre dautres pays ? Il est difficile dapporter une
rponse prcise car les lgislations, les murs, lorganisation des rseaux financiers
varient dun pays un autre. Faut-il en conclure que les socits spcialises dans la
scurit informatique crient au loup pour mieux vendre leurs solutions ? La menace
est-elle vraiment leve ? Des spcialistes estiment en effet que les exploitations de
donnes personnelles pirates seraient assez rares. Dans le cas de laffaire Choice-
Point, les donnes prives auraient servi essentiellement dtourner le-mail des
victimes et il ny aurait eu que 800 victimes sur les 160 000 noms figurant sur les
fichiers. Les risques seraient donc limits. Ce sont du moins les conclusions de deux
1. Commission des finances de lconomie gnrale et du plan. Compte rendu n 48. 8/02/2006.
2. http://www.acbm.com/pirates/num_18/carte-vitale-ald.html et http://www.acbm.com/pirates/
num_19/problemes-securite-carte-vitale.html.
3. Libration. 11 /02/2006.
cybercriminalite.book Page 36 Jeudi, 14. septembre 2006 8:25 20
tudes ralises en 2005. Celle commande par le Better Business Bureau (cre en
1912 aux tats-Unis, ce bureau d'thique commerciale est une organisation but
non lucratif) et par Javelin Strategy & Research1, indique que seulement 11,6 % des
fraudes relatives l'identit auraient t commises via Internet.
Selon cette enqute, les internautes qui accdent leurs comptes financiers en
ligne pourraient plus rapidement dtecter les transactions suspectes que ceux qui
n'utilisent que la version papier. Cette rapidit pourrait expliquer que les pertes
encourues par les premiers s'lvent en moyenne 550 euros contre 4 500 euros
pour les seconds.
La seconde tude a t ralise par ID Analytics. Selon ce cabinet, un vol d'iden-
tit sur 1 000 seulement aboutirait un dtournement de fonds ou un dommage
rel. Les analystes d'ID Analytics ont suivi le quotidien de 500 000 consommateurs
amricains victimes dune des affaires de vols de fichiers. Principale cause de ce fai-
ble taux de transformation : la rapidit avec laquelle une carte ou une informa-
tion bancaire est annule lorsque sa disparition est avre. Encore faut-il que les
clients en soient informs le plus tt possible. Or dans laffaire du casse du sous-trai-
tant CardSystems Solutions, les possesseurs de cartes de crdit nont t informs
que quinze jours aprs le forfait ! Les victimes se sont dailleurs regroupes pour
dposer une plainte en nom collectif auprs d'une cour en Californie. Mme lenteur
du ct de ChoicePoint. Le courtier a attendu plusieurs mois avant de reconnatre
publiquement sa terrible erreur.
Un peu plus dun an aprs, la sanction est tombe. La FTC (Federal Trade Com-
mission) a condamn ChoicePoint une amende de 10 millions de dollars. L'hber-
geur de donnes personnelles devra aussi verser 5 millions de dollars de dommages
intrts aux victimes. Cest la plus grosse amende jamais inflige par la FTC pour un
vol de ce genre. Avec ce type de record, lorganisme public espre faire comprendre
aux entreprises la ncessit de mieux se protger.
En fvrier 2006, cest au tour de la banque d'investissement amricaine Morgan
Stanley dtre sur le devant de la scne. Elle devrait payer 15 millions de dollars dans
un arrangement l'amiable avec le ministre de la justice et la SEC, la Securities and
Exchange Commission, le gendarme de la Bourse aux tats-Unis. La banque est cou-
pable de ne pas avoir suffisamment protg la confidentialit des courriers lectroni-
ques d'Amricains.
Ces premires condamnations visent notamment sensibiliser encore plus les
entreprises ainsi que leurs clients qui deviennent de plus en plus dpendants
des technologies de la communication. La protection des donnes personnelles est
devenue un enjeu majeur pour toute la chane des transactions financires : du com-
merant au consommateur en passant par tous les organismes dtenant des donnes
confidentielles (centres de traitement informatique de cartes de crdit, organismes
de crdits, diteurs de cartes bancaires). Cette pratique touche aussi les sites de
commerce lectronique et ceux qui sont spcialiss dans les enchres.
En rsum
Les donnes des internautes deviendraient-elles de moins en personnelles ? Les diffrentes
affaires que nous relatons tendraient le montrer. Dautant, quil est trs difficile destimer
le nombre de ces fichiers qui ont disparu ou qui ont t vols puis revendus. En France, la
police estime quelle na connaissance que de 10 % des affaires de cybercriminalit. Les
victimes, quil sagisse de particuliers ou dentreprises, portent rarement plainte.
Dunod La photocopie non autorise est un dlit
cybercriminalite.book Page 38 Jeudi, 14. septembre 2006 8:25 20
4
Le phishing :
lapproche artisanale
Un nouveau type de pche fait fureur sur le Web : le phishing contraction des mots
anglais fishing, qui veut dire pche en franais, et phreaking, dsignant le piratage de
lignes tlphoniques. Pratique par les pirates, cette technique profite notamment
de la navet des internautes pour leur soutirer leurs donnes personnelles (notam-
ment bancaires) afin effectuer des achats avec leur numro de carte bancaire.
Contrairement ce que lon pourrait croire, cette technique nest pas apparue
avec le dveloppement des connexions internet. Cette arnaque existait dj avec
le papier, prcise Patrick Pailloux, directeur central de la scurit des systmes
d'information. Des entreprises recevaient de faux fax de France Telecom leur
demandant de payer leur facture. Cette escroquerie marchait surtout avec les PME
ou les artisans car ils navaient pas le temps de tout contrler comme dans une
grande socit o il y a des comptables, un service de scurit
Aujourdhui, lre du tout numrique, ce procd reprsente le nec plus ultra de
ce quil est possible de faire en ingnierie sociale (voir chapitre 2). Mme lorsquelles
sappuient sur des techniques basiques, ces attaques font de nombreuses victimes par
la simple manipulation des esprits.
Les risques sont dautant plus levs que ce genre descroquerie ne concerne pas
uniquement les banques. Il y a aussi les sites de commerce lectronique et ceux des
oprateurs tlcoms sur lesquels on peut acheter des cartes prpayes ou des for-
faits. Trs souvent, plus la ficelle est grosse, plus lattaque a de chances de russir ! En
2005, il y a eu une tentative de phishing qui reprenait les logos de la CIA et du FBI ,
dclare Yves Crespin de la BEFTI. Le texte de le-mail tait peu prs celui-ci : Vous
avez surf sur des sites interdits et vous avez t repr par nos services. Mettez-vous
rapidement en relation directe avec nous par retour de-mail sous peine de poursuites.
Indiquez-nous toutes vos coordonnes, y compris bancaires et code secret.
cybercriminalite.book Page 40 Jeudi, 14. septembre 2006 8:25 20
Le chef de la BEFTI voque aussi les faux e-mails de scurit provenant soi-
disant de Microsoft. Les pirates ne proposent plus aux internautes de tlcharger
le dernier tube de Madonna car le grand public commence savoir que la pice
jointe peut contenir un virus. Par contre, ils sont moins vigilants concernant un e-
mail leur demandant de cliquer sur un lien pour une mise jour de scurit ! ,
constate ce spcialiste.
Le plus frustrant est donc de constater que, attaques aprs attaques, les victimes
sont toujours aussi nombreuses, bien que les ressorts psychologiques du phishing
naient gure volu depuis lorigine.
Cette situation amne deux constats : le manque dinformations des internautes
est encore extrmement important et, deuximement, certains acteurs impliqus
dans la scurit des utilisateurs (diteurs de logiciels, constructeurs, fournisseurs de
services bancaires par exemple , assureurs, mdias) nont pas uvr avec suf-
fisamment dnergie pour djouer les attaques par phishing
Le phishing recouvrant de multiples facettes, nous allons laborder en deux chapi-
tres, en allant des procds artisanaux aux techniques les plus sophistiques .
4.1 INTRODUCTION
1. http://www.sophos.fr/pressoffice/news/articles/2006/02/phishstats.html.
2. A. Litan, Phishing Victims Likely Will Suffer Identity Theft Fraud, Gartner Research Note, 14 Mai
2004.
cybercriminalite.book Page 41 Jeudi, 14. septembre 2006 8:25 20
57 millions dinternautes amricains ont identifi une attaque reposant sur ce pro-
cd. Cette mme tude estime quenviron 1,7 million dentre eux en ont t victi-
mes et ont divulgu des informations confidentielles.
Toujours selon les chiffres du groupe APWG, lvolution du nombre des sites
construits chaque mois, pour raliser des attaques de phishing, est en constante aug-
mentation comme le montre la figure 4.2. Entre 2000 et 7 000 nouveaux sites appa-
raissent chaque mois. L'APWG affirme galement que le temps moyen d'existence
d'un site d'escroquerie est de 6 jours et que 80 % des faux sites copient des sites
financiers (banques, organismes de crdit).
De son cot, le leader mondial de la scurit, Symantec, estime quil y avait au
premier semestre 2006 quelque 8 millions de tentatives de phishing par jour. Lors
de la priode prcdente, lditeur nen avait comptabilis que 5,70 millions.
Des statistiques plus dtailles concernant la France sont plus rares. Mais cela ne
signifie pas pour autant que notre pays soit pargn. Quelques cas ont t reprs en
2005. Mais lune des grandes nouveauts est l'apparition dattaques de phishing en
franais , constatent diffrents spcialistes. Les premires sappuyaient sur des tra-
ductions approximatives. Mais les plus rcentes sont parfaites ou en tous les cas suf-
fisamment bien conues pour que le grand public ny voit que du feu. Cette
volution peut tre inquitante. Les pirates ont peut-tre dnich la mthode
dapprentissage dune langue la plus efficace ou alors ils sont Franais.
Etats-Unis 27,74 %
Chine 8%
France 6,27 %
Allemagne 4,85 %
Dunod La photocopie non autorise est un dlit
Royaume-Uni 3,95 %
Espagne 3,59 %
Japon 3,49 %
Italie 2,43 %
russite pourrait tre plus lev. Un sondage ralis par linstitut TNS-Sofres
en 2005 outre-Rhin rvle que 80 % des clients de la Deutsche Postbank
(premire banque de dtail allemande) se laisseraient tromper par un e-mail
frauduleux !
Fin 2005 et dbut 2006, les clients des banques LCL et BNP Paribas ont t la
cible des mmes types de-mails (voir figure 4.3). Le lecteur remarquera que la con-
texture des courriers est quasi-identique. Les pirates adoptent une dmarche syst-
matique et aucune banque (ou autre cible ainsi exploitable) nest pargne.
cybercriminalite.book Page 44 Jeudi, 14. septembre 2006 8:25 20
Figure 4.3 Attaque par phishing de la banque BNP Paribas (mars 2006).
Activation de nouvelles options sur le site (site AGF en aot 2005). Des
donnes confidentielles doivent tre fournies pour lactivation
Lutte contre le vol didentit et renforcement des mesures de scurit. Lutili-
sateur doit fournir des donnes personnelles bancaires sinon son compte est
suspendu (site de Citibank)
Scurisation du compte suite des tentatives de connexions douteuses. L
encore, cette scurisation est active en donnant des donnes bancaires.
Mise jour des donnes personnelles sous peine de ne plus pouvoir accder
certains droits (site eBay en 2005).
Tous ces courriers lectroniques utilisent les mmes approches. Les plus frquen-
tes tant :
La simulation par un courrier dun contenu professionnel, officiel ou
commercial.
La duplication de contenus connus ou reconnus auxquels sont insrs une ou
plusieurs modifications imperceptibles, dans lURL par exemple.
Lutilisation du format HTML pour dissimuler ladresse du site de phishing.
Lutilisation de courriers cibls ou fabriqus pour une victime ou un groupe de
particuliers. Rcemment des attaques par phishing cibl utilisaient le nom de
jeune fille. Une telle approche cible a de plus grandes chances de russir.
Lutilisation de codes malveillants en pice jointe (voir plus loin figure 4.6).
cybercriminalite.book Page 45 Jeudi, 14. septembre 2006 8:25 20
peut faire afficher ladresse de son choix dans la barre du navigateur de la victime
tout en contrlant le contenu apparaissant lcran. Cela permet de concevoir des
sites de phishing quasi-indtectables puisque la barre dadresse indiquera la vraie
URL du site imit au lieu de celle du serveur contrl par le pirate et utilise pour
lattaque.
Dun point de vue technique, ces attaques sont souvent perues comme requrant
un haut niveau de savoir-faire et donc accessible une lite peu nombreuse. Par
exemple, les sites de banque tant souvent utiliss, le grand public imagine que
cela ncessite dattaquer pralablement le ou leurs serveurs. Ces organismes tant
bien protgs, le risque est ipso facto rduit. Pour la majorit des attaques de
phishing, il nen est rien. La plupart du temps, une bonne utilisation de lingnierie
sociale suffit. Le phisher aura russi son coup si, sur des millions de tentatives, un
pourcentage mme faible dutilisateurs y succombent. Ces attaques deviennent
alors rentables.
cybercriminalite.book Page 48 Jeudi, 14. septembre 2006 8:25 20
Toutefois, assez souvent les mcanismes mis en place par les escrocs ne peuvent
fonctionner que si les victimes elles-mmes ralisent des actions prcises. Les tech-
niques tant trs nombreuses, nous nen dtaillerons que les principales1.
1. Pour plus de details, vous pouvez consulter : Gunter Ollman, The Phishing Guide : Understan-
ding and Preventing Phishing Attacks, NGSSoftware Insight Security Research, 2004.
cybercriminalite.book Page 49 Jeudi, 14. septembre 2006 8:25 20
client/pirate est bien chiffre, dchiffre par le pirate puis rechiffre pour la liaison
pirate/serveur rel. En clair, linternaute nhsite pas une seconde taper toutes ses
coordonnes personnelles puisquil croit tre labri de tout risque de pirate grce
cette fameuse connexion chiffre ! On vous laisse imaginer les consquences pour le
commerce lectronique (voir chapitre 7).
La partie la plus dlicate consiste, pour le phisher parvenir intercaler un ser-
veur de type proxy1 entre le client et le serveur. Plusieurs techniques existent :
Technique du serveur proxy transparent : le serveur install par lattaquant
est situ sur le mme segment rseau que celui de la victime (ou le mme
chemin de routage). Lintrt de cette approche est quaucune modification
de la configuration rseau de la victime nest ncessaire (do le terme
transparent ; linterception des donnes est totalement passive).
Technique dite de lempoisonnement DNS : le but est de perturber le
chemin normal (routage) existant entre la machine de la victime et le serveur
dun site victime de phishing. En injectant le cache DNS dun firewall avec de
fausses adresses IP, le routage vers le serveur est drout vers le serveur du
phisher.
Modification de la configuration proxy du navigateur : le truand va modifier
la configuration proxy de la victime (avec un code malveillant par exemple)
de faon rerouter le trafic vers un serveur contrl par lattaquant.
1. Un serveur proxy est un fait une sorte de pare-feu applicatif (couche 7 du protocole ISO).
cybercriminalite.book Page 50 Jeudi, 14. septembre 2006 8:25 20
Dans le dernier cas, il est important de noter la prsence discrte dun ren-
due possible par le fait que depuis trs rcemment les noms de domaine peuvent tre
rgionaliss et tenir compte des particularits linguistiques de chaque pays.
Ainsi, il y a quelques annes, une socit russe a acquis le nom de domaine
microsoft.com tout simplement en remplaant un o du mot Microsoft par un
o cyrillique. De mme le i majuscule, en caractre ASCII peut trs facile-
ment tre confondu avec le L minuscule. Les possibilits sont trs varies.
Cette approche a donc de beaux jours devant elle pour trois raisons principales :
Le manque dattention des utilisateurs : il est d, en grande partie, un abus
dergonomie (trop de fonctionnalits destines faciliter de faon exagre
le travail des utilisateurs et qui constituent autant de fonctionnalits
exploitables par un attaquant).
Certains ressorts psychologiques naturels : un nom est facilement lu et
reconnu quel que soit lordre de ses lettres la condition que la premire et la
dernire restent non permutes.
Le manque de vigilance et de contrle de lenregistrement des noms de
domaine : les socits charges denregistrer les nouveaux sites font parfois
preuves de lgret Il y a mme des sites de phishing qui ont des certificats
serveurs puisque lenregistrement des .com est trs laxiste , rvle Pascal
Lointier, prsident du Clusif.
Liens ergonomiques
Dans un but dergonomie, certains navigateurs autorisent des liens incluant directe-
ment des informations dauthentification tels que le login et le mot de passe. Une
faute grave en matire de scurit ! Le format gnral de ces liens est
nom_utilisateur:mot_de_passe@nom_hote/chemin_du_site. Un phisher peut alors
substituer les champs login et mot de passe par le lien du site vers lequel il souhaite
attirer la victime. Ainsi, en remplaant le champ nom_utilisateur par celui de la
banque et le champ mot de passe par le nom dhte correspondant au serveur du
phisher, ce dernier peut parvenir leurrer les victimes. Ainsi ladresse suivante :
http://banque-picsou.com:e-bank@site_du_phisher.com/phishing/fausse_page.html
peut russir faire croire un utilisateur peu attentionn quil consulte une page
lgitime de la banque Picsou. Face ce type dattaque, la plupart des versions
rcentes des navigateurs actuels nautorisent plus ce type de codage ergonomique.
Dtournement de service de simplification dURL
la complexit et la longueur croissantes des URL de sites ont fait apparatre de
nombreuses socits proposant des services de simplification dadresses web. Ainsi
des adresses de type http://petite_url.com ou http://min_url.com sont substitues par
ces socits de services (en gros, il sagit dun service dalias) en lieu et place des liens
dmesurment trop longs. Cette facilit avec de lingnierie sociale et des URL
volontairement incorrectes et/ou trop longues a t exploite avec succs par les
phishers pour cacher la vritable destination dun lien.
cybercriminalite.book Page 51 Jeudi, 14. septembre 2006 8:25 20
multiples manires en utilisant des codages varis la fois site dun pirate dont le
nom dhte est www.site-phisher.com et ladresse IP correspondent est
208.132.201.40. Ainsi le lien malicieux http://banque-picsou.com:e-banque@site-
phisher.com/phishing/fausse-page.html peut tre obfusqu par ladresse suivante :
http://banque-picsou.com:e-banque@209.132.201.40/login.html
Il existe de trs nombreuses autres possibilits de modification de lien par obfusca-
tion. Les diffrents types de codage de linformation (caractres dchappement,
bases octales, dcimales, hexadcimales, codages unicode, codage UTF 8). A
moins de dcortiquer tous les liens proposs ce que ne fera jamais un utilisateur
il trs difficile de dtecter la nature malicieuse dun lien.
cybercriminalite.book Page 52 Jeudi, 14. septembre 2006 8:25 20
Lexprience montre que dans la trs grande majorit des cas les attaques repo-
saient dune manire plus ou moins importante sur lingnierie sociale et la
connaissance des habitudes des utilisateurs gnriques. Cela implique quau-del
des techniques de protection, la sensibilisation des internautes et leur niveau de
connaissances restent les meilleures parades. Les techniques de phishing voluant
trs rapidement, les techniques de protection doivent voluer constamment. Or,
dans ce duel sans fin entre la lance et la cuirasse qui est toujours en faveur de
lattaquant lutilisateur na aucune chance de survie sil base sa protection sur la
seule technique.
Dun autre ct, nous sommes surpris que les banques et autres socits vises par
le phishing ne simpliquent (ou ne communiquent) pas plus dans la sensibilisation
de leurs clients. A lheure actuelle, la principale protection dveloppe (du moins la
plus visible) est le pav numrique virtuel. Il est utilis pour saisir les mots de passe
de connexion aux comptes en ligne et ainsi dfaire les keyloggers qui enregistrent les
frappes de clavier. Pour entrer son mot de passe, le client doit cliquer avec sa souris
sur les bonnes touches.
Figure 4.7 La Socit Gnrale a t lune des premires recourir au clavier virtuel .
cybercriminalite.book Page 53 Jeudi, 14. septembre 2006 8:25 20
Ces techniques ont efficaces mais elles ne prennent en compte quune partie des
attaques existantes. Il existe en effet quelques keyloggers spcialiss dans lenregistre-
ment des mouvements de souris On les appelle des screenloggers.
Toutefois les dimensions de ces pavs ne varient pas tellement dune banque
une autre et, surtout, sa position sur lcran nest pas assez alatoire. Nous avons pu
constater en tant que client de la Socit Gnrale et en nous rendant plusieurs
fois par semaine sur le site pendant plusieurs mois que le pav ne va jamais cer-
tains endroits de lcran
La vigilance de lutilisateur tant la meilleure des protections, voici un rappel des
mesures quil doit prendre et les rgles quil doit observer sont les suivantes :
Ne jamais communiquer des donnes confidentielles que ce soit par e-mail,
par tlphone ou par quelque autre moyen. Un banquier ou une autre
autorit (police, service de scurit informatique) ne doit pas vous
demander ni votre code PIN ni votre mot de passe. Au pire, il vaut mieux
avoir son compte bloqu par la banque que vid par un pirate.
Ne jamais autoriser la mmorisation des mots de passe par le systme
dexploitation : ils sont stocks sur votre disque dans des fichiers en gnral
peu protgs. Un simple code malveillant peut les rcuprer et les envoyer
un pirate qui saura les extraire facilement.
Faire preuve de mfiance et de bon sens : Les courriers dalerte concernant
des comptes ou autre ressources sont souvent des piges. Rappelez-vous quen
cas de problmes, votre conseiller bancaire vous contactera. En cas dalerte
par courrier lectronique, contactez-le par tlphone. Mfiez-vous de tout
formulaire HTML dans un courrier lectronique. Ne succombez pas aux
propositions allchantes et autres attrape-nigauds. Contrairement ce que
lon peut faire croire, on ne gagne rien par e-mail et on ne fait pas non plus
fortune. Enfin, analysez et contrlez un minimum les liens sur lesquels vous
cliquez et rejetez tous ceux pour lesquels vous avez un doute.
Dunod La photocopie non autorise est un dlit
Porter plainte : trop de victimes ne le font pas. Or, sans plainte, il nest pas
possible notamment quand le code PIN na pas t utilis par le phisher
dtre indemnis par la banque. De plus, porter plainte permet aux forces de
police de lancer des enqutes, aux dcideurs davoir des statistiques fiables.
Bref, porter plainte participe du civisme.
En rsum
Les attaques par phishing augmentent jour aprs jour et avec elles le nombre de vic-
times, provoquant outre des prjudices financiers considrables, une crise de con-
fiance croissante dans les technologies de linformation et de la communication.
Faut-il jeter le bb avec leau du bain ? Certainement pas, mais la situation
sexplique en grande partie par la folie consumriste dans le domaine des services,
notamment des services en ligne. Domaine dans lequel le matre mot est fonction-
nalit et non pas scurit. Il ne faut jamais oublier, en dpit dun discours marke-
ting absurde que tous ces services, logiciels et fonctionnalits ne doivent pas
remplacer lhumain dans la chane de communication. Or, cest prcisment parce
que beaucoup lont oubli que le phishing fait des ravages. Alors que la socit a
pour vocation de protger les plus faibles, les services et outils mis notre disposi-
tion la socit de consommation les livrent aux malfrats numriques. Mais
les techniques prsentes dans ce chapitre restent encore assez rudimentaires. Les
phishers semblent tre passs la vitesse suprieure comme vous pourrez le consta-
ter dans le chapitre suivant. La vigilance est plus que jamais de rigueur.
cybercriminalite.book Page 55 Jeudi, 14. septembre 2006 8:25 20
5
Le phishing :
lapproche industrielle
5.1 LE PHARMING
Cette technique, dont le vritable nom est DNS Pharming1, consiste piger les utili-
sateurs non plus en sattaquant leur propre ordinateur, mais en attaquant les infras-
tructures du rseau Internet. Ainsi, des millions de connexions lgitimes et anodines
ont pu tre dtournes vers des sites sous le contrle des attaquants. La technique de
pharming est mise en uvre par le biais dune attaque pourtant ancienne (fin des
annes 90) appele DNS Poisoning (empoisonnement du cache DNS)
Depuis peu, une version scurise du DNS, DNSSEC a t publie. Elle rend ces
attaques thoriquement impossibles du fait de lutilisation de signature lectronique
laide de certificats lectroniques de confiance. Mais en 2006, ce protocole est
encore trs peu dploy et de trs nombreux serveurs sont vulnrables lattaque par
empoisonnement de cache DNS.
2005, une premire vague a vis prs de 1 000 socits qui disposaient de leurs
propres serveurs DNS. Un peu plus tard, en 2005, tous les sites en .com ont t
dtourns1. La plupart du temps, la corruption du cache a t permise par lexistence
dune ou plusieurs failles de scurit dans linstallation par dfaut du serveur DNS de
Windows NT4 et 2000 SP2. Cela illustre le fait quune bonne administration des
serveurs couple une veille technologique permanente est indispensable si lon
veut viter ce type doprations. Le plus surprenant est de constater que des socits
de grande envergure, pour lesquelles la scurit est soit le fonds de commerce
(comme la socit dantivirus TrendMicro), soit une part essentielle de son activit
(americanexpress.com ou msn.com), puissent souffrir de carences dadministration
de leurs serveurs aussi graves que le suivi des correctifs de scurit.
1. Jrme Saiz, Internet : lattaque des serveurs DNS clones . 4/04/2005. http://www.lesnouvel-
les.net/attaques.
cybercriminalite.book Page 58 Jeudi, 14. septembre 2006 8:25 20
La socit Fortinet propose quant elle cinq mthodes pour stopper un site web
utilis pour du pharming :
1- Le site na pas lair normal . Par exemple, certains lments nouveaux sont
apparus sur le site auquel vous tes habitus. Sans doute parce que le site est
une copie imparfaite de la version lgitime. La mfiance est alors de mise.
2- Le site demande plus dinformations que ncessaires. Toute demande dinfor-
mations confidentielles non habituelles (numro de carte de bleue alors que
vous ne faites pas dachat en ligne, mot de passe) est rejeter.
3- Licne du cadenas SSL (protocole de chiffrement des informations) nappa-
rait pas sur le navigateur alors que le site vous demande des informations
sensibles (code de carte bancaire lors dun achat en ligne).
4- Le prfixe HTTPS (S pour scuris) napparait pas dans la barre dadresse
URL. Les sites pharms nont gnralement pas de certificats de scurit
et par consquent le site reste en mode HTTP mme lorsquil vous est
demand des informations confidentielles normales (achat en ligne).
5- Le navigateur met une alerte concernant un problme de certificat. Le site
utilise des faux certificats SSL. Le site est trs probablement frauduleux.
Dans tous les cas, si vous avez un doute, notamment aprs un achat en ligne,
nhsitez pas contacter votre banque.
USA 19,08 %
Chine 14,56 %
Core du Sud 9,61 %
Allemagne 5,99 %
France 5,69 %
Dunod La photocopie non autorise est un dlit
Brsil 5,56 %
Japon 3,70 %
Royaume-Uni 3,13 %
Espagne 2,96 %
Taiwan 2,31 %
1. Jrme Saiz, La guerre aux zombies est dclare, 2005, les Nouvelles.net
2. P. Judge et D. Alperovitch, Mapping the Email Universe, Conference Virus Bulletin, 2005.
cybercriminalite.book Page 60 Jeudi, 14. septembre 2006 8:25 20
Figure 5.2 Une grande partie des spams sert aux attaques par phishing.
cybercriminalite.book Page 61 Jeudi, 14. septembre 2006 8:25 20
Figure 5.3 En mai 2006, le service Google Adsense a t victime dune arnaque aux clics.
Attaques massives par phishing. Des milliers de mails de type phishing sont
gnrs. Mais les machines zombies peuvent aussi hberger des faux sites de
phishing sur lesquels les victimes seront rediriges pour se faire drober leurs don-
nes confidentielles.
De telles attaques peuvent avoir une ampleur sans prcdent. Ainsi, le 2 aout
2006, des socits du Royaume-Uni ont t bombardes de millions de courriers
lectroniques de phishing. Le botnet utilis contrlait plus de 20 000 adresses IP zom-
bies. Pendant 24 heures, plus de 8 millions de courriers de phishing ont t envoys.
Ils semblaient provenir de la banque NatWest ou de la banque dEcosse :
cybercriminalite.book Page 62 Jeudi, 14. septembre 2006 8:25 20
0fficial Information To Client Of NatWest bank Mon, 31 Jul 2006 16:58:33 -0800
Bank of Scotland: Urgent Security Notification For All Clients Mon, 31 Jul
2006 23:49:13 -0100
NatWest bank: Important Fraud AIert
Verify Your Data With NatWest bank
NatWest bank: urgent security notification [Tue, 01 Aug 2006 03:57:17 +0300]
Verify Your DetaiIs With NatWest bank Mon, 31 Jul 2006 16:59:35 -0800
PROTECT YOUR NatWest bank ACCOUNT Mon, 31 Jul 2006 16:56:07 -
0800
NatWest bank: URGENT SECURITY NOTIFICATION FOR CLIENT
Chaque message contenait une image et si les destinataires de ces courriers cli-
quaient dessus, ils taient immdiatement redirigs vers des sites de phishing.
Mais les pirates sadaptent trs vite et savent user de finesses. Ainsi, le ou les ser-
veurs web dattaque du botnet peuvent tre dupliqus sur le botnet lui-mme. Il sera
ainsi ais de dplacer ce serveur trs rapidement et trs souvent, dun point un
autre de la plante. A chaque fois, il suffira de modifier la rsolution du nom de
domaine dans la table du DNS.
Figure 5.4 Une fois collectes, les informations seront envoyes au maitre du botnet.
cybercriminalite.book Page 63 Jeudi, 14. septembre 2006 8:25 20
5.3 LE VISHING
Ce terme qui rsulte de la contraction de VoIP (voix sur IP) et phishing dcrit une
volution rcente des techniques dhameonnage des victimes, Lutilisation des
nouveaux moyens de communication permet aux attaquants dinnover en perma-
nence et de piger des victimes qui ne sont pas encore conscientes du danger.
Gageons que les prochaines volutions technologiques (le monde de la 3G : la
vido en ligne par exemple) seront ainsi exploites par les attaquants La tech-
nique du vishing mrite dtre dtaille. Ces attaques se sont dveloppes depuis le
printemps 2006 et les organismes amricains (Bureau fdral de la consommation
et de la protection des consommateurs) et canadiens (Agence de la consommation
en matire financire du Canada) ont d mettre plusieurs alertes tant le phno-
mne prenait de lampleur. En Europe, des cas dattaques via des tlphones
mobiles envoyant des SMS aux victimes ont t enregistrs au Royaume Uni et en
Islande.
La technique est simple. Lescroc met en place des serveurs de VoIP, lesquels com-
posent de manire alatoire des numros de tlphones fixes commenant par des
indicatifs des rgions quil souhaite cumer. Lorsquune personne finit par dcrocher,
un message enregistr sur une bote vocale, lincite appeler un serveur vocal, dont
le numro est fourni. On lui demandera, pour prtendument lidentifier, de fournir
ses identifiants de carte bancaire ou autres informations confidentielles, par saisie sur
le clavier du tlphone. Une variante consiste non pas utiliser un serveur vocal
mais de simples courriers lectroniques ou des SMS.
Ces attaques sont trs faciles monter. Dune part, les socits de tlphonie sur IP
sont peu nombreuses et les vrifications louverture dun compte, quasi-inexistantes,
linverse dune ouverture de ligne tlphonique traditionnelle. Le tour est jou, il suf-
fit ensuite de matriser un minimum les outils de base de la tlphonie sur IP.
A titre dexemple, voici quelques attaques rcentes :
Dunod La photocopie non autorise est un dlit
En rsum
Le pire est devant nous. Les escrocs ont de limagination et certains maitrisent par-
faitement les dernires techniques. Face au pharming, au vishing et aux techniques
qui immanquablement vont apparatre, il est essentiel de rappeler quil ne faut
jamais communiquer des donnes confidentielles que ce soit par courrier lectroni-
que ou par tout autre moyen. Les attaques de demain prendront peut tre la forme
de communications vido (avec la tlphonie 3G) dans laquelle votre conseiller
financier (ou plutt sa doublure, son sosie ou tout btement son remplaant) vous
demandera de vous authentifier . Couples des techniques de morphing, qui sait
ce que pourront tre ces attaques. Mais la dfense sorganise jour aprs jour, mme
si les grands noms de lindustrie de la scurit informatique affichent un certain
pessimisme1. Trois partenaires de Microsoft Cyota, Internet Identity et Mark-
Monitor se sont allis pour alimenter la base anti-phishing de Microsoft. Cette
base contient les informations de toutes les attaques rpertories2, lesquelles ali-
mentent les outils de filtrage de lditeur (Phishing Filter, SmartScreen Technology).
Ces solutions ne sont pas suffisantes en elles-mmes mais cest un dbut dautant
plus intressant que les techniques dattaques actuelles ne laissent plus beaucoup
despoirs de rsoudre les choses au niveau de lutilisateur seul.
1. Le lecteur pourra couter le message vocal qui avait t mis en place par lattaquant en consul-
tant le lien suivant http://www.websense.com/securitylabs/images/alerts/june_vishing.wav.
2. TrendMicro affiche son pessimisme, 2005, http://www.Silicon.fr.
3. Microsoft : trois listes noires pour lutter contre le phishing, 2005, http://www.Silicon.fr.
cybercriminalite.book Page 65 Jeudi, 14. septembre 2006 8:25 20
6
Le racket numrique
Cette technique, qui consiste selon le droit franais obtenir par violence, menace
de violences ou contrainte soit une signature, un engagement ou une renonciation, soit la
rvlation dun secret, soit la remise de fonds, de valeurs ou dun bien quelconque , existe
depuis des lustres. Les malfrats ont toujours su ladapter aux moyens de lpoque. En
ce XXIe sicle, les racketteurs utilisent linformatique. Exit donc les brigands stop-
pant des diligences et les organisations criminelles enlevant le fils dun grand patron.
La mthode est certes moins violente mais le rsultat semble tout aussi efficace.
Des bandes ou des mafias dEurope de lEst, du Brsil et de Chine en ont fait leur
spcialit. Le racket informatique nest pas nouveau. Des chantages la bombe
logique sont devenus des cas dcole pour les spcialistes en scurit. Il sagit dun
programme malveillant qui ne se dclenche que lorsque certaines conditions sont
ralises (date systme, prsence ou absence dune donne dite dactivation ,
action particulire de lutilisateur). La bombe peut tre introduite de deux mani-
res diffrentes :
Par programmation directe, ce qui impose que l'attaquant dispose d'un accs
logique au systme et de bonnes connaissances en programmation ;
Par l'introduction dans le systme l'aide d'un support matriel (mdia) ou
par le biais des rseaux, de logiciels dj infects, ce qui impose l galement
de disposer d'un accs physique ou logique au systme.
Cette bombe est camoufle dans un virus ou un ver, deux codes qui ont la facult
soit de se reproduire en de nombreux exemplaires (le premier), ou de se dplacer
d'un ordinateur un autre (le second). Aprs une phase d'installation, de repro-
duction ou de dplacement, durant laquelle ils passent gnralement inaperus, et
lorsque les conditions dfinies pour l' explosion de la bombe logique sont rem-
plies, la charge finale du virus ou du ver devient active : l'action de la bombe logique
est gnralement brve et dfinitive. Le but est essentiellement destructif (informa-
tions et parfois matriels) explique-t-on la Direction centrale de la scurit des
cybercriminalite.book Page 66 Jeudi, 14. septembre 2006 8:25 20
Les blogs sont la mode. Il nest donc pas tonnant que les sites qui hbergent ces
journaux personnels soient devenus depuis quelques annes les cibles des pirates.
Lune des dernires grosses attaques a eu lieu en mai 2006. Plus de 10 millions de
sites personnels et blogs hbergs par la socit amricaine Six Apart ont t inac-
cessibles pendant plusieurs heures le 2 mai. Lattaque a t contre en filtrant les
spams envoys.
Les pirates ont en effet ralis une attaque DDoS (voir chapitre 1) qui consiste
bloquer lactivit dun serveur en le submergeant de requtes (des millions en quel-
ques secondes) afin dengendrer un trafic de connexions ingrable. Dans quel but ?
Selon les propos de Loc Le Meur, directeur gnral de Six Apart Europe, recueillis
par le site Silicon.fr, l'attaque visait prioritairement Blue Security, qui cherche
dvelopper des outils contre le spam et dont le site Web est hberg par Six Apart.
L'indisponibilit des blogs n'en a t que la consquence.
Mais une tentative de racket nest pas exclure. Ce ne serait dailleurs pas la
premire fois. Lanne dernire, un hbergeur de sites Paris a t victime de rac-
ket. Son rseau a t satur pendant plusieurs heures. En aot 2003, le site de
Microsoft a t bloqu pendant plus de deux heures. Durant le Superbowl 2003
aux tats-Unis, un racketteur avait menac plusieurs sites de paris en ligne dune
attaque en dni de service sils ne sacquittaient pas dune somme allant de 10 000
50 000 dollars.
cybercriminalite.book Page 67 Jeudi, 14. septembre 2006 8:25 20
Les internautes ne sont pas non plus labri dune tentative de racket. videmment,
il ne sagit pas pour les malfrats de rcuprer autant dargent que sils sattaquaient
une entreprise. Il sagit dans ce cas-l dextorquer de petites sommes dargent des
particuliers. Inutile dans ce cas de dployer la grosse artillerie (attaque DDoS). Le
courrier lectronique suffit. Pour atteindre son but, le pirate va essayer dimmiscer
Dunod La photocopie non autorise est un dlit
Deux mois plus tard, cest au tour de Ransom A de faire parler de lui. Du moins,
il permet surtout Sophos de faire reparler de lui. Ce cheval de Troie menace sa vic-
time de dtruire un fichier toutes les 30 minutes sur son ordinateur jusqu' ce qu'elle
paie une ranon de 10,99 dollars pour obtenir le code de dsactivation.
Les salaris peuvent aussi tre viss. F-Secure, un diteur informatique finlandais
spcialis dans la scurit, a rvl que le personnel dune grande universit scandi-
nave avait t la cible dune tentative d'extorsion de ce genre. Ils avaient reu un e-
mail, apparemment en provenance dEstonie, qui indiquait que lexpditeur avait
dcouvert plusieurs failles de scurit dans le rseau informatique et menaait deffa-
cer un grand nombre de fichiers, sauf si les destinataires payaient 20 euros sur un
compte bancaire en ligne.
Il ne faut bien sr pas accepter ce chantage car ensuite lescroc pourra rcidiver et
demander plus Quelles sont alors les solutions pour sen sortir ? Il faut mettre
beaucoup de scurit en amont car une fois que ce type de code a frapp, il nexiste
aucune solution, du moins accessible un utilisateur ou une PME.
Les programmes malveillants ne sont pas les seules techniques utilises pour extor-
quer une somme dargent plus ou moins consquente un internaute. Le spam est
aussi trs efficace et beaucoup plus rpandu que les chevaux de Troie qui bloquent
quelques dossiers. Le spam est mme devenue une vritable pandmie. Les botes
aux lettres lectroniques (e-mail) des internautes sont parfois envahies par ces
messages publicitaires sauvages envoys des millions de personnes qui nont rien
demand. Achetez du Viagra bas prix , Obtenez les prts les plus bas ,
Rendez les femmes heureuses ce genre de messages racoleurs envahit de plus
en plus les e-mails des internautes
Dunod La photocopie non autorise est un dlit
Aprs avoir touch les tats-Unis depuis le milieu des annes 90, ce phnomne
tend se gnraliser en Europe. Selon une tude ralise en octobre 2004 dernier par
le Pew Internet & American Life (un des organismes amricains but non lucratif
les plus respects en matire danalyse du rseau), la part du spam est value 50 %
du trafic e-mail total. 90 % des internautes franais recevraient du spam selon une
tude AOL-Novatris doctobre 2003.
cybercriminalite.book Page 70 Jeudi, 14. septembre 2006 8:25 20
Comment les spammeurs rcuprent-ils les adresses e-mails ? Ils disposent de dif-
frentes pistes. La principale ? les forums de discussion. Une tude amricaine estime
que 100 % des e-mails des chat room sont dtournes. La proportion atteint
86 % pour les newsgroups et les pages Web dun site. Ils peuvent aussi rcuprer un
listing de-mails quun FAI a revendu un tiers, qui la lui-mme revendue un
autre, etc.
Une fois sa base de donnes alimente, le spammeur se transforme en commer-
ant. Il vend tout et nimporte quoi mais surtout des produits miracles ou des
affaires en or . Et a marche ! Une tude de Pew Internet & American Life Pro-
ject indique que 7 % des internautes ont command un bien ou un service propos
par un e-mail non sollicit (mais ils ntaient pas tous de purs spams) et 33 % dentre
eux ont au minimum cliqu sur le lien propos pour avoir plus dinformations.
Arrestation de spammeurs
En mai 2006, les autorits sud-corennes ont arrt un homme souponn de
grer une arme de 16 000 ordinateurs zombies . Elle lui aurait permis
denvoyer 18 millions de spams par jour. Quelques mois plus tt, en Australie, un
homme a t arrt pour avoir envoy 56 millions de spams. Il sappuyait sur une
base de donnes de 11,8 millions d'adresses. Il risque une amende denviron
660 000 euros
toucher une commission plus leve sur une plus grosse somme. Trs souvent, le-
mail est soi-disant envoy par un haut fonctionnaire, un haut grad de l'arme, un
politicien, un membre d'un fonds ptrolier ou une trs jolie femme. Son problme :
faire sortir du pays une somme de plusieurs millions deuros (dans le cas de la jeune
femme, il sagit dobtenir les quelques euros qui lui manquent pour acheter un billet
davion et rejoindre sa cousine en France par exemple). Il recherche un prte-nom
et vous demande donc d'ouvrir, votre nom, un compte dans une institution finan-
cire de votre pays et de lui en communiquer le numro. Pour vous rcompenser, il
vous offrira une commission qui peut atteindre 25 % du montant transfr. Quel-
ques semaines aprs l'ouverture du compte, une deuxime lettre vous informe que
les fonds sont sur le point d'tre dbloqus mais que vous devez au pralable vous
acquitter de frais juridiques minimes (environ 300 ) qui correspondent de soi-
disant frais de douanes ou davocat. videmment, vous ne verrez jamais la couleur
de largent !
Cette arnaque marche toujours trs bien car elle vise ce que les gens ont de plus
sensible : le sexe, le dsir dargent immdiat, laffection , indique Yves Crespin de la
BEFTI.
Mais la police a du mal reprer les personnes lorigine de ces arnaques car trs
souvent les victimes nosent pas porter plainte. Selon Yves Crespin, les cas de spams
nigrians sont rarement connus car les personnes nosent pas contacter les autorits
avant davoir t escroque de 15 000 euros : en dessous, elles portent rarement
Dunod La photocopie non autorise est un dlit
1. www.itu.int/osg/spu/spam/.
cybercriminalite.book Page 73 Jeudi, 14. septembre 2006 8:25 20
trage et une interface plus accessibles pour le grand public . Ils sont donc
encore perfectibles.
Ces antispams en ligne sont, notre avis, plus efficaces car ils sattaquent au
point faible des logiciels-robots des spammeurs : ils ne savent pas lire et crire !
Avant de transmettre le-mail son client, le site antispams demande lexpditeur
de sauthentifier en tapant un code confidentiel de 6 caractres fourni dans cette
requte. Sil rpond, le-mail est immdiatement transmis et son adresse est ajoute
la liste des expditeurs autoriss. Ses prochains messages seront directement rcu-
prs (sans procdure dauthentification). Comme le logiciel-robot ne va pas rpon-
dre, son courrier sera donc bloqu.
cybercriminalite.book Page 74 Jeudi, 14. septembre 2006 8:25 20
Figure 6.3 schma d fonctionnement du service propos par la socit franaise Mailinblack.
L'innovation est forte dans ce domaine car les spammeurs ont les moyens (finan-
ciers) pour leur propre R&D , reconnat Franois Paget, chercheur chez lditeur
dantivirus McAfee. Pour contourner les diffrents obstacles mis en place notam-
ment par les diteurs et les fournisseurs daccs Internet, les spammeurs sont
lafft de tout nouveau procd.
nautes rpartis dans la population. Avec 100.000 zombies, il faudrait avoir 100
adresses indpendantes par zombie. Mme en supposant la technique trs effi-
cace, le rendement pourrait bien rester trs faible par rapport l'effort dployer
pour implmenter une telle approche.
1. http://pharos.cpsc.ucalgary.ca/Dienst/UI/2.0/Describe/ncstrl.ucalgary_cs/2006-808-01.
Ces travaux ont t prsents la confrence EICAR 2006 Hambourg en mai 2006.
cybercriminalite.book Page 76 Jeudi, 14. septembre 2006 8:25 20
meurs. Autre signe inquitant : 60 % des messages signalant des nouveaux contenus
un annuaire spcialis proviendraient de sources identifies comme spam.
Malgr les filtres mis en place par Technorati, un cinquime des messages
indexs par le site serait du spam , estime Tim Finin, professeur d'informatique
l'universit du Maryland qui a prsent une tude sur la dtection de spam blogs en
mars denier.
En rsum
Le spam est un flau qui encombre les e-mails des particuliers et des entreprises.
Ces courriers indsirables peuvent tre lorigine dune infection virale (intru-
sion dun code malveillant) ou dune escroquerie financire. Face au dveloppe-
ment des diffrentes techniques de racket, les polices manquent de moyens et
dun rel soutien des tats. Quant aux internautes, ils doivent faire avec le peu de
moyens quils peuvent plus ou moins contrler : les logiciels antispams. Autant
dire, une arbalte face une arme de robots
cybercriminalite.book Page 77 Jeudi, 14. septembre 2006 8:25 20
7
La scurit
du commerce en ligne
700 Panier moyer des impays Taux dimpays/ventes Taux de commandes frauduleuss /ventes 3,00 %
600 2,41 %
2,50 %
2,22 %
500
Dunod La photocopie non autorise est un dlit
Figure 7.2 Evolution annuelle de la fraude depuis 2002. Source : Fia-Net, mai 2006.
1. Livre Blanc La scurit des transactions commerciales sur Internet . Fia-Net, mai 2006.
cybercriminalite.book Page 80 Jeudi, 14. septembre 2006 8:25 20
Selon lassureur, cette baisse du panier moyen des impays est clairement le
rsultat des efforts des commerants afin de lutter contre les fraudes la carte
bancaire : devant limpossibilit de dtourner des marchandises de valeur leve, les
fraudeurs concentrent leurs efforts sur des produits de valeur plus faible, sur lesquels
les contrles des commerants ne sont pas forcment aussi pousss et aussi systma-
tiques que pour des articles plus chers .
9 752 fraudeurs actifs ont t reprs en 2005 (nombre didentits distinctes
employes), soit une augmentation de 16 % par rapport lanne prcdente.
Depuis 2001, plus de 25 000 identits diffrentes ont t employes pour commettre
des escroqueries la carte bancaire. Ces fraudeurs ont ralis plus de 31 000 com-
mandes en 2005 pour environ 11 millions deuros, soit 3,23 fraudes et 1 112 euros
par identit employe.
Figure 7.3 Poids respectifs de chaque secteur dans la fraude en 2005 en valeur et en volume.
Source : Fia-Net, mai 2006.
Dans son tude, portant sur 1 109 sites marchands et lanalyse denviron
961 millions deuros de ventes ralises par les commerants Fia-Net en 2005, lassu-
reur note une volution inquitante : Les rseaux organiss identifis (groupe pr-
sentant au moins deux identits et deux adresses de livraison distinctes, utilises
pour commettre des tentatives de fraudes et relies entre elles par au moins un l-
ment personnel commun, comme le numro de tlphone, le-mail ou encore le
numro de carte bancaire employs lors de la commande) ont clairement volu par
rapport 2004. Ils sont nettement plus nombreux en 2005 quen 2004 : 679 contre
378, soit une hausse de prs de 80 %.
cybercriminalite.book Page 81 Jeudi, 14. septembre 2006 8:25 20
Comme les spammeurs qui tentent de ne pas veiller lattention des sondes mises
sur Internet pour reprer les normes envois de-mails (technique du mass mailing,
voir chapitre 6), les escrocs sont devenus moins gourmands. A la diffrence des
annes prcdentes, ces fraudeurs organiss prsentent un panier moyen nettement
infrieur celui du fraudeur type. Ceci peut laisser penser quils ajustent leurs strat-
gies de dtournement de marchandises , peut-on remarquer dans le Livre blanc de
Fia-Net. En clair, les malfrats se sont aperus que les sites marchands surveillaient en
priorit les gros achats, au dtriment de ceux ne dpassant pas une certaine somme.
Autres donnes surveilles : les coordonnes tlphoniques et numriques. Les frau-
deurs organiss se sont mis changer plus souvent de coordonnes : de-mail tous les
4,49 achats (4,24 en moyenne en 2004), dadresse postale tous les 3,59 achats (2,97
en 2004) ou de tlphone tous les 3,87 achats (3,13 en 2004).
Comme les spammeurs, ils essaient de passer au travers des mailles du filet mis en
place ! Rsultat : ils reprsentent toujours plus de la moiti des tentatives de fraudes
en nombre, ils reprsentent en valeur moins de la moiti des fraudes contre lesquel-
les doit lutter un commerant.
La norme EMV
Dvelopp la fin des annes 90, lEuropay Mastercard Visa (EMV) est propose par
les deux rseaux prestataires de services de paiement par carte Eurocard-Mastercard
et Visa. Le groupe a t rejoint depuis par le japonais JCB International. Lessentiel
de la protection rside dans la puce intgre la carte. Cette solution permet :
Une interoprabilit internationale, quel que soit l'metteur de la carte et
quel que soit le terminal de paiement.
Une vrification et un chiffrement de la cl personnelle par la puce. La saisie
du code remplace la signature de la facturette.
La norme 3D-Secure
Prvue pour 2007 au plus tt, cette norme est l'tude depuis 2001 par Visa et Master-
card. Lobjectif est de permettre lauthentification en ligne au moment de l'acte de paie-
ment de faon logicielle. 3D-Secure est un protocole beaucoup moins contraignant
que le SET pour l'acheteur comme pour le marchand. Principale raison : la complexit
du systme de paiement se trouve au niveau des plates-formes Visa et des banques.
Le principe est le suivant : le dtenteur de la carte s'enregistre auprs de sa ban-
que et choisit ensuite un mot de passe, qui assurera son authentification auprs de sa
banque. Pour que l'authentification soit rciproque, le client slectionne une phrase
secrte qui sera affiche par la banque sur l'cran du client. Cette phase ne se droule
qu'une seule fois par session.
1. Le client navigue sur le site web du marchand et slectionne les produits qu'il
souhaite acheter. Une fois la slection termine, il saisit son numro de carte
Dunod La photocopie non autorise est un dlit
Le SPA/UCAF
MasterCard a dvelopp son propre outil qui s'articule autour de deux dispositifs : la
Secure Payment Application et la Universal Cardholder Authentification Field .
Mais en janvier 2000, le groupe bancaire dcide de jeter lponge et de miser sur une
solution cette fois matrielle (lecteur de cartes puce) dnomme Cyber-Comm
(nom dun consortium runissant une dizaine de banques, Visa, Mastercard). Mais
cette solution na pas non plus dur trs longtemps. En 2002, les banques jettent
nouveau lponge ! Il est vrai que le prix du boiter (60 euros environ) ntait pas trs
attractif
Autre exemple dchec : Cybercash. Cre par William Melton, l'un des fonda-
teurs de Verifone (systme de vrification des cartes de crdit) cette socit avait mis
au point un systme permettant aux clients dutiliser un logiciel gratuit pour faire des
achats. Le numro de leur carte bancaire avait t enregistr sur le serveur de Cyber-
cash qui tait lui-mme reli au rseau bancaire. Cette solution sappuyait sur une
connexion crypte. Mais en 2002, la socit a fait faillite.
Avec le dveloppement des sites de tlchargement lgal de musique et de vido
et le succs des sites denchres et de vente entre particuliers, le micro paiement
devrait trouver un second souffle. Ce march a reprsent, aux Etats-Unis,
1,6 milliard de dollars en 2003 et 1,8 milliard de dollars un an plus tard. En Europe,
le chiffre daffaires atteignait544 millions deuros en 2003. Il pourrait atteindre un
volume de 2,37 milliards deuros en 2007.
Voici quelques-unes des solutions les plus dveloppes.
PayPal
Cest la solution la plus connue et la plus utilise. Selon Paypal (qui appartient
eBay), A lt 2005, il y avait environ 71,6 millions de comptes travers 56 pays. Le
volume total des transactions transitant par le systme PayPal, dans le monde, a
atteint 6,2 milliards de dollars au premier trimestre 2005.
Cette solution prsente plusieurs avantages mais aussi quelques limites. Pour la
rception d'un paiement, Paypal offre des tarifs comptitifs : par exemple entre 0 et
2 500 euros, les frais pour le vendeur sont de 3,4 % + 0,25 euro. Le crdit du compte
Paypal peut tre vir sur le compte bancaire (le cot est d'1 pour une somme inf-
rieure ou gale 99,99 euros. Un systme d'assurance garantit l'achat dans une
limite de 500 euros, mais pour un nombre de recours limit.
PayPal envoie une confirmation par e-mail de chaque transaction sur le compte.
Si la personne reoit la confirmation d'une transaction inconnue, elle doit contacter
le service clientle de Paypal. Selon PayPal, sa solution repose sur les technologies
anti fraude le plus sophistiques . La socit crypte automatiquement les donnes
confidentielles qui transitent entre lordinateur de lacheteur et le systme PayPal
grce au protocole SSL (Secure Sockets Layer) et avec une longueur de cl de cryp-
tage de 128 bits (niveau le plus lev actuellement disponible sur le march). Toutes
ces prcautions expliqueraient que le taux d'impays li la fraude soit trs bas. Au
premier trimestre 2005, ce taux s'tablissait 0,3 % 1.
Trs en vogue, les sites denchres attirent de plus en plus de particuliers mais aussi
quelques escrocs. Dbut 2006, deux Roumains rsidant Londres ont arnaqu des
milliers d'acheteurs du monde entier via le site Internet d'enchres eBay. Ils leurs
vendaient des biens qui n'existaient pas ! Un super filon : ils ont amass environ
370 000 en moins de deux ans. Largent tait rcupr par un troisime larcin qui
se chargeait ensuite de blanchir largent en Roumanie.
Cette affaire ne signifie pas pour autant que eBay soit un repaire de malfrats en
tous genre. Dans la majorit des cas, ce site permet de dnicher la perle rare ou de
faire de bonnes affaires sans tre escroqu. Comme dautres sites de commerce lec-
tronique, les eBay et consorts ne sont pas plus risqus. Ils exigent nanmoins un peu
plus de vigilance car ils mettent en relation un acheteur et un vendeur qui nest pas
toujours professionnel . Notons au passage que cet amateurisme a nanmoins ten-
dance sestomper. Selon une tude publie en avril 2006 par eBay, il y a plus de
170 000 personnes en Europe qui lutilisent comme source de revenus unique ou
complmentaire. 70 % d'entre elles affirment que leur prsence sur ce site leur a per-
mis d'augmenter leurs ventes. En France, 15 240 utilisateurs se dclarent comme
vendeurs professionnels. Ce chiffre nintgre pas les internautes qui ne sont pas en
rgle avec la loi, en ne se dclarant pas comme professionnels malgr les montants et
la rgularit de leurs ventes sur le site. Un internaute franais a dailleurs t rcem-
ment condamn pour ce motif.
Cette professionnalisation deBay va de pair avec larrive descrocs dun nou-
veau genre. Ils ne se contentent pas de vous vendre du vent comme le couple de
Roumains. Leur dernire combine consiste mettre en avant de faux sites de paie-
ment. Le principe est simple : au moment de conclure laffaire, le vendeur vous pro-
pose de passer par un autre systme de paiement, dit aussi tiers de confiance
( escrow en anglais), soi-disant plus avantageux que celui propos par le site
(eBay mettant en avant Paypal quil a rachet). Il sagit bien sr dun faux site de
transaction (technique dusurpation de nom de domaine). Signalons aussi que cer-
tains malfrats dirigent les acheteurs vers de faux sites de Paypal en mode scuris
Une mthode plus labore consiste utiliser un programme malveillant.
Lescroc vous envoie un fichier excutable anodin cens vous expliquer la proc-
dure suivre. Linternaute se croyant labri de ce genre de manuvre grce son
antivirus ny verra que du feu car ce programme malveillant nest pas assimil par les
anti-virus comme tant malicieux. Son rle ? Modifier certains lments de votre
systme dexploitation (fichier host) pour dtourner de manire invisible les
requtes initialement diriges vers le site web du tiers de confiance vers le site gr
par le pirate.
Quelle que soit la technique utilise, le rsultat est le mme : les acheteurs ne
reoivent jamais leur colis. Par contre, ils ont bien t dbits
Dunod La photocopie non autorise est un dlit
Figure 7.6 Exemple dun faux site de tiers de confiance. Source : Escrow Fraud.
scurit et luttent contre les faux e-mails ou les sites non vrifis , prcise Peter
Burin, porte-parole d'eBay Belgique1. Quant Western Union, eBay en dconseille
l'usage sur son site et recommande de rgler ses achats par PayPal.
Pour ne pas se faire arnaquer vous pouvez consulter les sites http://escrow-
fraud.com et escrow.com qui signalent les faux sites de paiement. Respectez aussi les
quelques points suivants dlivrs par le CERT :
Conseils utiles
Ne pas excuter des fichiers dont l'origine (e-mail ou site web) n'est pas claire-
ment identifie et approuve.
Ne pas cliquer sur des URL rfrenant des moyens de paiement en ligne et
contenues sur des sites marchands ou dans des e-mails lis aux transactions.
Saisir manuellement les adresses des sites de paiement en ligne dans la barre
d'adresse du navigateur.
Vrifier que ces sites proposent des connexions scurises (SSL) ET un certifi-
cat lgitime.
Actualiser votre anti-virus chaque jour (toutes les heures si possible).
Si malgr ces conseils, vous vous faites avoir vous pouvez porter plainte auprs
des organismes cits la fin de louvrage ou auprs de la DGCCRF (www.finan-
ces.gouv.fr/DGCCRF).
En rsum
En juin 2006, une tude mene par Mdiamtrie//NetRatings, pour le compte la
Fevad (Fdration des Entreprises de Vente Distance), indique que la France est
championne dEurope de la croissance du e-commerce. Prs de 57 % des internau-
tes sont clients d'un site e-commerce, ralisant un chiffre d'affaires de prs de
9 milliards d'euros en 2005. Une bonne nouvelle qui nest pas une norme sur-
prise. Tout a t fait pour le commerce lectronique se dveloppe : un peu de
scurit et beaucoup de facilit. La priorit tant de sduire et de convaincre le
chaland pour quil achte sur le Web. La scurit des paiements ntait donc pas
une priorit comme le reconnaissent diffrents experts que nous avons rencontrs.
Beaucoup de choses restent faire.
1. Le Soir. 6/02/2006
cybercriminalite.book Page 91 Jeudi, 14. septembre 2006 8:25 20
8
Les entreprises
sont mal protges
A l'heure o la scurit de l'information reste sous les feux de l'actualit, tous les
acteurs ont-ils pris conscience des risques, et mis en uvre les mesures qui s'impo-
sent en consquence ? En rponse cette question, nous dressons un constat
mitig . En matire de scurit informatique, les entreprises franaises peuvent
donc mieux faire. Cest lun des principaux constats que tire le Club de la Scurit de
l'Information Franais (CLUSIF) dans sa dernire tude sur Les politiques de scu-
rit des systmes dinformation et sinistralit en France , publie fin juin 2006.
Ralise par le cabinet GMV Conseils, cette enqute est un baromtre intres-
sant. 400 entreprises d'au moins 200 salaris ont t interroges ainsi que des mairies
et des hpitaux.
Les principaux points intressants de cette tude sont les suivants :
Le systme d'information : il est devenu critique et stratgique pour 98 % des
entreprises.
Les niveaux de dpense en matire de scurit : ils varient dune entreprise une
autre mais la tendance est la hausse pour 38 % des entreprises. Le plus inqui-
tant est que 21 % dentre elles ne sont pas capables de mesurer cette dpense.
La politique de scurit de l'information : seulement 56 % des entreprises
interroges en sont dotes. Logiquement, la proportion augmente dans les
grands comptes (+ de 1 000 salaris) avec 72 % mais elle est de 52 % dans les
entreprises de 200 499 salaris.
Les logiciels de scurit : la majorit des entreprises utilise les outils classiques
(antivirus, firewall, antispams). Trs peu ont recours des solutions de chiffre-
ment et d'authentification forte pour protger leurs donnes ou leur parc de
terminaux mobiles (tlphones, assistants numriques, ordinateur portable).
cybercriminalite.book Page 92 Jeudi, 14. septembre 2006 8:25 20
La prvention : cest le point noir. Les mises jour des logiciels (correctifs de
scurit notamment) ne sont malheureusement pas automatiques. 42 % des
sondes reconnaissent ne pas avoir formalis de procdures. A peine la moiti
(58 %) collectent et traitent les incidents de scurit. 24 % procdent une
valuation financire de ces incidents.1
Linformatique est partout dans une entreprise et Internet est devenu en quelques
annes un des rouages essentiels. Ces deux points-cls sont aussi dimportants
vecteurs de contamination.
8.1.1 Le vandalisme
Pour la personne malveillante, linvestissement est quasi nul mais les consquences
peuvent tre dsastreuses pour la sant financire et limage dune entreprise.
Comme de plus en plus de socits ont cr un ou plusieurs sites, les risques quils
soient endommags sont importants. Pour de nombreux experts que nous avons
rencontrs cest mme la premire menace pour les socits. Officiellement, nous
avons au moins une page web de dfigure par mois, rvle le responsable de la scu-
rit dune entreprise internationale qui a plusieurs sites. Ce vandalisme peut donc un
peu perturber le fonctionnement de lentreprise mais cest rparable .
8.1.2 La vengeance
Furieux de son licenciement, un chef informatique de la socit Beghin Say
implante en 1991 une bombe logique dans le programme de gestion. Elle sest
dclenche trois mois aprs son dpart forc et a bloqu lactivit de la sucrire
Dunod La photocopie non autorise est un dlit
1. Libration. 12/12/1997
cybercriminalite.book Page 94 Jeudi, 14. septembre 2006 8:25 20
Ce cas de figure est dangereux car la personne est anime dune intention mal-
veillante. A la fois profondment excite dans son action et gnralement peu comp-
tente, elle laisse gnralement des traces qui peuvent tre exploites temps ,
explique Thierry Durand. La situation est nanmoins beaucoup plus problmatique
lorsque la personne aigrie est encore en poste car elle dispose de codes daccs au
rseau interne de lentreprise. Ils peuvent lui permettre de lancer une attaque virale de
lintrieur. Si la personne place un code malveillant, les systmes de dfense et de pr-
vention de lentreprise peuvent tre pris au dpourvu. Lorsque le virus est repr,
linfection est dj rpandue sur un grand nombre de postes. Cette situation conduit
rarement des pertes de donnes mais des pertes de temps , prcise Thierry Durand.
1. Zdnet.fr. 2/05/2006.
2. Lquipementier compte en effet parmi ses clients le ministre de la Dfense sudois.
3. Danielle Kaminsky. Panorama de la cybercriminalit 2005 du Clusif.
cybercriminalite.book Page 96 Jeudi, 14. septembre 2006 8:25 20
Echelon et Blackberry
Ce terminal mobile est devenu la coqueluche de tous les cadres dirigeants. Cest
aussi devenu la bte noire de tous les responsables de la scurit informatique. Il est
vrai que le Blackberry prsente de srieux atouts : il tient dans la poche dun
costume et il permet denvoyer et de recevoir ses e-mails en temps rel. Bref, tous
les patrons franais le veulent ! Les responsables de la scurit que nous avons
interroges ont le plus grand mal convaincre leurs suprieurs de ne pas lutiliser ou
de lutiliser avec vigilance. Pour les spcialistes, le risque ne se situe pas au niveau
du serveur du Blackberry ou du terminal en lui-mme. Le problme se situe aux
Etats-Unis. Toutes les donnes qui transitent par le Blackberry passeraient par
Echelon. Les grandes oreilles amricaines pourraient ainsi mettre la main sur des e-
mails confidentiels changs entre un grand patron et lun de ses adjoints ou lun de
ses partenaires industriels. Pour viter ce risque, les responsables de la scurit
informatique demandent donc leur dirigeant de nenvoyer que des e-mails
anodins ou chiffrs. Mais ces deux options ne semblent pas convenir ce patron
d'une grande entreprise. Pour deux raisons prsente-t-il en substance : si je ne
peux pas envoyer de courriers confidentiels, mon Blackberry ne me sert rien. Et si
je dois chiffrer mes courriers il faut que mon correspond puisse les dchiffrer ; trop
compliqu . Pour les responsables de la scurit informatique, le chiffrement des
changes est pourtant la seule solution. Ce nest pas la panace. Mais Echelon ne
peut pas traiter en temps rel toute linformation. On peut donc esprer que le
contenu de cet e-mail ne sera plus confidentiel (linformation aura t publie dans
la presse par exemple) lorsque ce programme le dchiffrera..
1. Pcinpact du 16/6/2006.
cybercriminalite.book Page 97 Jeudi, 14. septembre 2006 8:25 20
variantes de son cheval de Troie des agences de dtectives prives. Celles-ci avaient
t mandates par des clients pour trouver des renseignements sur des entreprises sp-
cialises dans la tlphonie, lautomobile, la mode, lagroalimentaire, la finance et la
presse. Il y a eu une quarantaine darrestations et des inculpations. Comme dans
dautres domaines, il est trs difficile den savoir plus. Pour ne pas gratigner leur
image de marque ou dvoiler leurs faiblesses, les victimes sont restes trs discrtes
Ces quelques exemples montrent quel point lespionnage conomique est facilit
avec le dveloppement de linformatique. La gnralisation des cls USB mais aussi
des baladeurs MP3 dots dune grande capacit de stockage nencourage pas lopti-
misme. Sans aucune protection (chiffrement, mot de passe) des donnes confidentiel-
les peuvent tre copies en quelques minutes sur ce genre de priphrique amovible.
Cette menace commence dailleurs tre prise en compte par les entreprises. Si lon en
croit un sondage ralis la demande de Sun Microsystmes Canada par Ipsos Reid
prs dune entreprise sur deux (49 %) soit un peu plus dune centaine sur les 259
interroges) , a adopt un rglement intrieur visant bannir les ordinateurs porta-
bles et les cls USB sur le lieu de travail, et une sur trois (30 %) considre les iPod et
autres lecteurs MP3 indsirables dans lentreprise. Cette prise de dcision ne signifie
pas pour autant que les dirigeants de ces entreprises soient plus informs que les autres.
Selon ce sondage, publi durant lt 2006, 17 % d'entre eux avouent comprendre
trs mal les risques impliqus par l'accs distance ou sans fil.
Ces lecteurs amovibles seront donc peut-tre bannis des entreprises. Mais le sou-
rire dsarmant dune stagiaire qui a perdu son mot de passe et qui vous demande gen-
timent le vtre restera toujours larme absolue
1. Titre dun livre crit par Johnny Long et publi par les ditions Dunod.
cybercriminalite.book Page 98 Jeudi, 14. septembre 2006 8:25 20
Parmi les nombreuses fonctionnalits de Google, l'option "cache" est une arme
redoutable. Cette fonction permet de consulter des pages sauvegardes par le moteur
de recherches mais qui ne sont plus disponibles sur le site d'origine. Les entreprises
doivent donc se soucier des documents quelles mettent en ligne mme pendant
quelques instants , prvient Pascal Lointier.
ressources humaines. Cette volution est encore lente. Trs peu dentreprises ont
rapproch la scurit informatique du service juridique.
Selon une tude ralise en 2006 par Ernst & Young, dautres obstacles emp-
chent la mise en uvre dune scurit efficace. Peu dentreprises, mme parmi les
plus importantes, ont une approche de scurit globale. Seuls 51 % des rpondants
franais (contre 71 % au niveau mondial), ont rpertori les informations sensibles
ou confidentielles.1
Dunod La photocopie non autorise est un dlit
Les restrictions budgtaires sont aussi un frein. Selon ltude CSI/FBI 2005, 27 %
des sonds dpensent plus de 6 % de leur budget informatique en SSI, prs dun
quart de 3 5 %, autant de 1 3 % et un dernier quart moins de 1 % ou ne savent
pas. Pour Christophe Grenier, RSSI chez Global Service Provider, toutes les soci-
ts ont des problmes de budget et le ROI (retour sur investissement) de la scurit
est lun des points les plus difficiles dfendre. La scurit est encore loin de repr-
senter une proccupation de premier plan Elle est surtout perue comme un cot.
Lorsquune entreprise doit se lancer dans la coupe franche dun budget, la colonne
scu est la premire tre vise. Par exemple, loccasion dun audit, un grand
compte connu du monde internet dcouvre une multitude de failles sur ses systmes.
Plus dun an aprs, une partie seulement dentre elles ont t revues. Mme face un
risque identifi, il est parfois difficile de faire entendre raison et cela souvent cause
de contraintes de temps et dinvestissement 1.
La prvention des risques nest pas quelque chose qui peut tre livre avec des logi-
ciels. Elle ne ncessite pas toujours des actions de scurit, rappelle Thierry Durand.
Pour Pascal Lointier linsouciance et la mconnaissance des risques sont les vrais
lments qui permettent le dveloppement de la cybercriminalit. Les entreprises ne
sont pas assez sensibilises . Des propos confirms par une tude ralise en 2006 par
Ernst & Young : seulement 20 % des entreprises franaises assurent leurs salaris
une formation rgulire sur la scurit et la matrise des risques, contre 47 % des
entreprises dans le monde. Il faut que les salaris comprennent que leurs identifiant et
mot de passe ne doivent pas tre donns leurs enfants pour quils se connectent
depuis la maison au site de lentreprise. Cela peut paratre comme une vidence mais
plusieurs exemples de ce genre nous ont t relats Quelles peuvent tre les
consquences ? Si lordinateur personnel du salari nest pas bien protg, il peut tre
une cible parfaite pour un pirate qui souhaite sinfiltrer dans le rseau de la socit.
Figures 8.3 et 8.4 Le jeu Sensirisk est une faon originale pour sensibiliser les salaris.
cybercriminalite.book Page 104 Jeudi, 14. septembre 2006 8:25 20
En rsum
Pour de nombreuses entreprises, la scurit est synonyme de cots. Elle est aussi
synonyme dun responsable informatique qui est le plus souvent seul grer cette
problmatique. Il nest donc pas tonnant quelles soient incapables de rpertorier
tous leurs postes de travail et de faire une analyse correcte et surtout objective
de leurs vulnrabilits. La monte de la cybercriminalit doit inciter fortement
les dirigeants considrer la scurit informatique comme une donne essentielle
de leur performance conomique. Cela implique lutilisation doutils spcialiss
mais surtout une meilleure sensibilisation de tous les salaris.
Dunod La photocopie non autorise est un dlit
cybercriminalite.book Page 106 Jeudi, 14. septembre 2006 8:25 20
9
Antivirus : lintox marketing
Dtection de 100 % des codes malveillants , Elimine les virus sous toutes leurs
formes , Scurise la navigation sur Internet Les multiples messages figurant
sur les botes des logiciels de scurit sont efficaces : ils font vendre ! Le chiffre
daffaires du march des solutions antivirus tait de 2,7 milliards de dollars en 2003,
de 3,3 milliards en 2004 et denviron 3,8 milliards en 2005 (source : IDC 2005).
Voil un secteur qui ne connat pas la crise. Symantec, le numro 1 mondial de la
scurit, a annonc un chiffre daffaires de 5 milliards de dollars (en hausse de 8 %
en un an) pour son exercice fiscal 2006 (arrt mai 2006).
Surfez tranquille, nous faisons le reste : cest en quelque sorte le slogan des
diteurs. Une protection totalement efficace serait donc possible ? Rien nest moins
sr ! Qui na jamais constat quune infection informatique tait parvenue pn-
trer dans son ordinateur ?
Quel que soit le type de menace, le maillon faible est, et restera, toujours le
mme : lutilisateur. Pour deux raisons principales : dabord les erreurs de manipula-
tion accompagnes dune baisse de la vigilance et ensuite les rglages parfois
compliqus de ces programmes de scurit. Cette situation serait moins alarmante si
les antivirus taient plus efficaces ! Rgulirement, la presse informatique prsente
des tests comparatifs. Leurs mthodes danalyse et leur objectivit (les diteurs
dantivirus sont aussi des annonceurs) laissent parfois dsirer. Pour consulter un
avis un peu plus pertinent, on peut lire le rapport du ministre anglais du commerce.
Publi en 2004 1, il indique quenviron 90 % des grandes entreprises et 90 % des
PME. britanniques sont protges par un antivirus. Malgr cela, environ 68 %
dentre elles ont t victimes dattaques virales en 2003. Lune des conclusions du
rapport est sans appel : les antivirus seuls ne sont plus suffisants. Ils sont incapables
dassurer une protection efficace.
Entre les affirmations des diteurs et lexprience de tous les jours, lutilisateur a
le plus grand mal sy retrouver. Cette situation rsulte dune mconnaissance de la
nature mme du problme de la dtection virale et, de faon plus gnrale, des codes
malveillants. Nature que certains vendeurs dantivirus ignorent eux-mmes ou
occultent sciemment !
Pour comprendre en quoi le marketing de certains diteurs frle la publicit men-
songre, il faut se reporter des travaux de rfrence dans le domaine de la virologie
informatique et certaines tudes thoriques ou pratiques.1
Le pre de la virologie informatique est sans conteste Fred Cohen dont la thse2 en
a jet les bases rigoureuses. Aprs avoir formalis dun point de vue mathmatique la
notion de virus informatique, il sest attach rpondre la question suivante :
existe-t-il un programme permettant de dtecter systmatiquement un virus ? Il a
1. T. Espiner, Hackers attacked parliament using WMF exploit, ZDNET UK, 23 janvier 2006.
2. Fred Cohen, Computer Viruses, Universite de Californie du sud, 1985.
cybercriminalite.book Page 109 Jeudi, 14. septembre 2006 8:25 20
prouv quun tel logiciel, dans labsolu, est une impossibilit mathmatique. En clair,
le problme de la dtection virale est gnralement indcidable. Cela signifie quil
nexiste aucun moyen de choisir systmatiquement entre les rponses infect ou
non infect quand un programme est soumis lanalyse. La preuve mathma-
tique tant quelque peu technique, Fred Cohen a imagin, titre dillustration, le
code suivant, appel virus_contradictoire :
Program virus_contradictoire
{
si non D(virus_contradictoire) alors
lancer linfection
finsi }
Pour dterminer si un programme P est infect ou non, considrons une proc-
dure de dcision D quelconque (en dautres termes un antivirus). Le code
virus_contradictoire alors invoque D pour lappliquer sur lui-mme et si D rpond
non-infect alors le virus lance linfection. Il y a contradiction. Cet exemple
peut paratre simpliste. Il nen illustre pas moins lindcidabilit gnrale de la
dtection virale, dmontre rigoureusement par Fred Cohen.
Ce rsultat fondamental montre que les affirmations selon lesquelles un produit
peut dtecter systmatiquement les virus inconnus sont fausses. Mais dautres rsul-
tats thoriques permettent de mieux contrer ces affirmations.
possible, sous certaines conditions toutefois. A la suite de ses travaux, des chercheurs
ont tudi, et continuent dtudier, des classes particulires de codes malveillants
pour lesquelles il sagissait de dterminer la complexit calculatoire de la dtection
dans un ordinateur classique (quand la mmoire et le temps de calcul sont limits
comme dans le cas dun ordinateur rel).
Mais en quoi la complexit calculatoire concerne-t-elle la dtection virale ? Cer-
tains chercheurs (Leonard Adleman en 1989, Diomidis Spinellis en 2003, Zuo et
Zhou en 2004, Bonfante, Kaczmarek et Marion en 2005) ont tabli des rsultats
prouvant que pour beaucoup de classes de virus, rencontres en pratique dans nos
ordinateurs, le problme de leur dtection appartenait la classe NP-complet.
Dautres tudes ont permis de montrer que pour certaines familles de virus, le pro-
blme pos par leur dtection relevait de classe encore plus difficile que celle des
problmes NP-complets. Que faut-il en conclure ? Si un antivirus pouvait dtecter
systmatiquement de telles classes de virus il serait capable de percer les systmes
cybercriminalite.book Page 110 Jeudi, 14. septembre 2006 8:25 20
La complexit calculatoire
Elle peut tre dfinie comme le nombre doprations quun ordinateur doit effec-
tuer pour rsoudre un problme concernant des donnes de taille n. Cette
complexit sexprime par une fonction mathmatique f qui dpend de n soit f(n).
Par exemple, la meilleure mthode possible pour trier n nombres requiert
n.log(n) oprations (au moins n car pour trier il faut dabord lire les nombres).
Les spcialistes de la thorie de la complexit ont alors class les problmes selon
leur facilit de rsolution. Sans entrer dans les dtails techniques, deux grandes
classes ont t identifies.
La classe P des problmes faciles (du moins pour un ordinateur) La fonction
f(n) est en gnral un polynme en n. Pour cette classe de problmes, on connat
toujours un moyen de les rsoudre (au pire en utilisant un ordinateur).
Lautre classe est la classe NP (non polynomiale). Ce sont les problmes que
lon ne sait pas rsoudre sinon en un temps prohibitif ou avec des ressources
mmoire irralistes. La fonction f(n) est alors non polynomiale et mais plutt
exponentielle. A titre dexemple, le problme de la factorisation dun nombre n
(crire tout nombre entier comme produit de nombres entiers premiers, cest--
dire divisibles uniquement par 1 et eux-mmes) requiert environ
e(ln(n).ln(ln(n))) oprations.
En pratique, ds que n est grand, il devient impossible de le factoriser (le record
concerne un nombre de 200 chiffres pour quatre mois de calcul sur des supercal-
culateurs). Rappelons que la cryptologie utilise, dans les systmes dits clef
publique, limpossibilit pratique de la rsolution du problme de la factorisation
pour protger nos donnes. Actuellement, des nombres de plus de 500 chiffres
sont utiliss par exemple dans un logiciel comme PGP1 (Pretty Good Privacy ;
cest le standard de chiffrement grand public ).
Enfin, prcisons que dans la classe NP, il existe une sous-classe de problmes plus
difficiles que les autres appels problmes NP-complets. Cette classe est trs int-
ressante car toute solution qui permettrait de rsoudre en pratique un seul des
problmes de cette classe, permettrait de facto de rsoudre tous les autres probl-
mes NP-complets. Le problme du voyageur de commerce en est un : celui-ci
doit partir de chez lui, visiter n villes et revenir son domicile sans repasser par
une agglomration dj visite. Ds que le nombre de villes est grand (suprieur
400 ou 500), on ne sait plus rsoudre en pratique ce casse-tte.
1. http://www.pgp.com
2. Le systme RSA (acronyme form du nom de ses trois inventeurs D. Rivest, A. Shamir et L.
Adleman) est un systme cryptologique dont la scurit repose sur la difficult du problme de
la factorisation. Le systme Pretty Good Privacy (PGP) utilise en partie RSA.
cybercriminalite.book Page 111 Jeudi, 14. septembre 2006 8:25 20
Ils sappuient sur des rgles de dcision que lon peut modliser par des tests statisti-
ques. Ces rgles poursuivent un objectif : dterminer si un code malicieux est
prsent dans un fichier ou dans la mmoire. Elles sappuient sur une base de signa-
tures1 dans le cas de lanalyse de forme ou sur une base de comportements
malveillants2 dans le cas de lanalyse comportementale. Ces banques de donnes
fonctionnent comme un fichier dempreintes digitales ou anthropomtriques de la
police. Il ny a identification possible que si llment incrimin est connu au moins
dans lune des bases utilises. Par consquent, un code ne sera dtect que lorsque la
base de signatures ou de comportements aura t mise jour ou si le code analys
utilise des techniques (comportements) dj rfrences.
Dunod La photocopie non autorise est un dlit
Figure 9.1 Les sites des diteurs prsentent chaque jour les dernires menaces.
Mais entre la certitude affiche sur la bote dun logiciel et les techniques relle-
ment mises en uvre, la pratique peut rvler de mauvaises surprises. La
raison relve du marketing. Le logiciel doit tre dune part fluide (pour simplifier, il
ne doit pas ralentir le PC du consommateur et analyser rapidement tout le disque
1. Une signature est une chane de caractres, non ncessairement contigus, qui permet didenti-
fier un programme donn. Cest en quelque sorte lquivalent des empreintes digitales, la dif-
frence notable quune signature virale donne peut tre retrouve dans plusieurs fichiers
diffrents, certains non viraux mais dtects comme tels. Ce sont les fameux faux positifs .
2. Pour reprendre lanalogie de la note 6, de mme quun criminel peut tre identifi par son mode
opratoire, un virus peut tre dcouvert grce aux actions quil tente de raliser. Cest lanalyse
comportementale. Cette technique est entache des mmes dfauts et limitations que son
homologue utilisant les signatures.
cybercriminalite.book Page 112 Jeudi, 14. septembre 2006 8:25 20
dur) et dautre part afficher de bonnes performances (en clair reprer les intrus et les
effacer). Sans ces deux critres, lutilisateur sera tent de le dsactiver ou, pire,
dopter pour le logiciel dun concurrent ! Do la tentation de faire quelques com-
promis techniques. Rsultat : le programme est certes plus rapide pour scanner un
disque dur et plus facile configurer mais son niveau de protection antivirale est
amoindri. Ainsi, sur les quelque 100 000 codes malveillants rpertoris, beaucoup
dantivirus nen grent effectivement que quelques milliers. Un test simple suffit le
vrifier : il consiste soumettre lanalyse un code dj ancien. Ainsi, le ver
MyDoom, qui a frapp en 2003, nest plus dtect en 2006 par certains produits. De
quoi faciliter le travail des apprentis pirates
Le meilleur exemple est sans doute celui de la recherche de signatures quasi-sys-
tmatiquement utilis soit, directement sous diffrentes formes, soit comme phase
finale de processus plus complexes mais galement plus incertains. Dtecter un code
malveillant et lidentifier suppose de disposer dune base de rfrences qui associe un
nom chaque code reconnu.
Une tude pousse de la plupart des produits du commerce (Filiol 2006) a
montr que non seulement ces signatures sont gnralement implmentes de
manire faible, voire trs faible, mais surtout de telle sorte quil est trs facile pour un
pirate de les identifier et de les contourner. Le contournement des produits savre
donc assez facile, comme le prouvent les diffrentes expriences en laboratoire. Il
suffit un pirate de modifier quelques octets dun virus connu pour le rendre nou-
veau indtectable. La mme tude a galement montr que les techniques compor-
tementales, dont le marketing des diteurs vante tout le mrite et le caractre
innovant, peuvent tre contournes de manire similaire.
Les tudes thoriques menes par Fred Cohen permettent de dmontrer que
lensemble de tous les virus est aussi grand que celui des nombres entiers, autrement
dit en thorie, infini. Il est alors ais de comprendre quun antivirus, quelle que soit
la technique de dtection employe, ne peut pas grer une infinit de codes, lespace
dun disque dur tant par essence limite. Cela signifie quun antivirus nest capable
de grer quune fraction infime, non seulement de tous les virus possibles mais gale-
ment des virus connus, le nombre de ces derniers tant estim environ 100 0001.
Ce constat permet alors de comprendre pourquoi les programmeurs de virus par-
viennent rgulirement contourner ces logiciels de protection. Deux solutions
soffrent eux :
1- Modifier une souche ou une variante dtecte ou crer une souche en sinspi-
rant de techniques virales connues. Lopration est gnralement assez simple
ds lors que lon dispose de lantivirus contourner. Mais ce nest pas toujours
obligatoire puisque la plupart de ces logiciels sont quivalents. Autrement dit,
contourner un produit donn, revient contourner beaucoup dautres
marques. Les expriences menes en laboratoire lont malheureusement
dmontr. Le plus navrant tient au fait que cela ne rclame pas de compten-
ces trs dveloppes. Un simple programmeur y parvient aisment.
2- Crer une nouvelle souche mettant en uvre une nouvelle approche algo-
rithmique. L aussi, lexprience montre que les antivirus sont incapables de
la dtecter. Les recherches menes au Laboratoire de virologie et de cryptolo-
gie de lEcole Suprieure et dApplication des Transmissions ont permis
didentifier, de formaliser et dvaluer techniquement de nouveaux algorith-
mes viraux, encore inconnus. Les rsultats de tests sont sans appel. Les antivi-
rus restent dsesprment muets. Et lanalyse mathmatique des modles
correspondants dmontre quils le resteront jamais.
Dunod La photocopie non autorise est un dlit
Le plus ironique tient au fait que ces logiciels doivent la fois grer
limagination des pirates mais aussi sadapter aux volutions techniques de
lindustrie logicielle. Dans le but de dvelopper des protections contre la dcompila-
tion/dsassemblage et plus gnralement lanalyse des programmes, les program-
meurs ont dvelopp des solutions visant compliquer cette analyse. Il sagit des
techniques dobfuscation2. La finalit est dassurer les droits de licence et de limiter
le plus possible le piratage des logiciels. Mais ces techniques sont connues et des logi-
1. Ce chiffre est le plus communment accept en janvier 2006. Il existe des chiffres plus impor-
tants mais plus fantaisistes portant ce nombre 200 000. Aucune information srieuse na
permis dtayer cette donne.
2. Lobfuscation consiste rendre le code tellement inextricable et incomprhensible que son ana-
lyse require ra des comptences et des ressources en temps telles quelle ne sera que difficile-
ment inaccessible pour un humain et trs difficilement possible voire impossible par des moyens
automatiques. Ces techniques incluent des techniques de compression et de chiffrement.
cybercriminalite.book Page 114 Jeudi, 14. septembre 2006 8:25 20
ciels existent (le plus clbre est Armadillo). Ces derniers permettent de protger
facilement un code contre lanalyse. Lorsque ces produits ou ces techniques, pour les
plus efficaces, sont utilises par les auteurs de virus, les antivirus chouent quasi-sys-
tmatiquement dans lanalyse automatique des codes malveillants ainsi protgs.
Figure 9.3 Il faut tre informaticien ou maitriser son jargon pour prendre la bonne dcision !
cybercriminalite.book Page 115 Jeudi, 14. septembre 2006 8:25 20
Les anti-spam Ces logiciels (voir chapitre 6) ont pour fonction de filtrer le
courrier lectronique non dsir qui inonde nos botes aux lettres lectroniques. Outre
leffet dengorgement, ces courriers sont souvent le vecteur dattaques informatiques.
La plupart des diteurs dantivirus proposent des suites logicielles dans lesquelles
sont intgrs tous ces produits. Quelle scurit supplmentaire offrent-elles
rellement ? En fait, si elles concourent clairement augmenter le niveau de protec-
tion dun ordinateur, elles prsentent les mmes limites quun antivirus et ne seront
jamais un rempart absolu. La problmatique de scurit est identique celle concer-
nant les antivirus : il nest pas srieux de prtendre arrter ou empcher une attaque
a priori, si cette dernire est innovante ou inconnue. De plus, ces produits sont plus
dlicats configurer, en particulier pour un utilisateur ne maitrisant pas les rouages
de linformatique et ses messages abscons. Combien dinternautes ont reu un petit
message de leur pare-feu leur demandant daccepter ou non la demande de con-
nexion dune application sans comprendre le moindre mot utilis ? Certainement la
majorit du grand public abonn aux offres dinternet haut dbit ! Encore une fois,
les diteurs de ces logiciels laissent la responsabilit aux utilisateurs
En rsum
La lutte antivirale est condamne, par dfinition, une situation de raction. Un
antivirus ne sert-il rien ? Absolument pas ! Mais il ne faut pas lui prter plus de
vertus quil nen a. Dans une politique antivirale, ce logiciel ne reprsente que le
bout de la chane et du processus de rflexion du responsable de scurit. En
dautres termes, limiter une politique antivirale au dploiement et lutilisation
dun antivirus, aussi bon soit-il, est le meilleur moyen, pour avoir terme des pro-
blmes.
cybercriminalite.book Page 116 Jeudi, 14. septembre 2006 8:25 20
10
Les systmes de dfense
des rseaux dentreprise
Les entreprises reprsentent de nos jours des cibles privilgies pour les attaques infor-
matiques. Elles constituent en effet une part essentielle du patrimoine industriel,
intellectuel et conomique dun pays. Mais la conscience de leur importance strat-
gique, du moins en France et dans les pays latins, est encore souvent marginale et il
est sidrant de constater quil est encore trop souvent facile dattaquer une entreprise
via ses ressources informatiques : vol de donnes de recherche et dveloppement, vol
de fichiers clients ou de tarifs, atteintes aux personnes dirigeantes et dstabilisation
de lentreprise, atteinte la disponibilit des ressources de lentreprise Plus grave
encore, si les entreprises commencent intgrer la notion de scurit des systmes
dinformation, elles ont encore du mal penser en termes de scurit de linforma-
tion. Autrement dit, une vritable culture dans ce domaine doit tre dveloppe pour
que les entreprises pensent instinctivement en termes de scurit globale.
Cette pense doit se concrtiser par une politique de scurit, en relation avec
une politique fonctionnelle : je dcide de ce que je dois faire et avec quels moyens,
puis je dtermine le besoin et le niveau de scurit souhait et jadapte la mission et
les outils cette scurit, et non linverse . Il est donc important de faire de la scu-
rit une priorit. Si la politique fonctionnelle est tablie en premier (cest le cur de
mtier), elle doit ltre en adquation avec la scurit finale voulue.
Pour ce faire, deux personnes ont un rle fondamental dans lentreprise, deux
personnes qui devraient collaborer en permanence, et lexprience prouve que les
problmes de scurit proviennent souvent dun manque de communication et de
comprhension entre ces deux acteurs.
Le dirigeant dentreprise : ce dernier ignore malheureusement souvent quil
peut tre pnalement et civilement responsable dun dfaut de scurit, des
responsabilits qui peuvent le conduire en prison ou grever les ressources
cybercriminalite.book Page 118 Jeudi, 14. septembre 2006 8:25 20
Entre ces deux acteurs, le dialogue doit tre permanent et aucune interfrence ne
doit perturber cette collaboration. On voit trop souvent des dirigeants ngligeant les
conseils aviss de leur RSSI pour suivre les conseils intresss et par toujours per-
tinents de consultants et autres commerciaux. Le dirigeant dune entreprise ne doit
jamais oublier que la scurit est avant tout un processus de pense et non laccumu-
lation plus ou moins heureuse de produits de scurit. Lexprience et le bon sens de
son RSSI sont les meilleurs atouts sur lesquels il doit pouvoir compter.
Elles sont beaucoup nombreuses et omniprsentes, mais nous nen avons pas
toujours conscience :
La plupart des dirigeants dune entreprise : lors dune expertise judiciaire
auprs dune socit parisienne2 spcialise dans le conseil et traitant de
dossiers sensibles, le dirigeant de cette socit a dcouvert quil avait fait
lobjet dune attaque informatique cible dune grande ampleur visant lui
drober des donnes concernant plusieurs de ses dossiers sensibles ; cest ce qui
avait motiv lenqute, initie par la plainte dun des clients de cette socit.
Alors que cette dernire possdait lquipement de base (antivirus, pare-
feu et une architecture peu prs correcte) en matire de scurit, ses
employs et ses cadres navaient aucune culture de scurit et nimaginaient
pas quune telle attaque fut possible. Ils nimaginaient mme pas quils puis-
sent intresser des attaquants. Erreur fatale mais hlas rpandue ! De trs
nombreuses entreprises nont mme pas conscience quelles peuvent tre
lobjet dune attaque cible et qu ce titre la vie mme de leur entreprise est
en jeu. Elles squipent dun antivirus et de quelques logiciels de scurit et les
choses sarrtent l. Nous constatons que chez les PME, 80 % du budget
scurit est dvolu lachat de solutions de filtrage rseau ou la scurit du
poste de travail. Le test dintrusion est pour elles une prestation de luxe ! Il
intervient le plus souvent larrive dun nouveau DSI, ou la cration dun
poste de RSSI ou aprs un incident , observe Herv Schauer, du cabinet
Herv Schauer Consultants. Une dcision qui nest donc pas vraiment prise
titre prventif, ce qui constitue un mauvais point de dpart toute politique
srieuse de scurit1.
Les grands comptes : ils sont familiers avec ce type de prestation. Leurs qui-
pes charges de la scurit savent tirer rapidement profit du rapport dintru-
sion. Les PME, par contre, auraient plutt besoin dun accompagnement
presque pdagogique, didactique. Justement, les consultants ont su adapter
leurs offres au budget et aux attentes des petites entreprises. Ce que nous
vendons aux PME est en ralit une prestation hybride entre un test de vuln-
rabilit, un test dintrusion et une prestation de conseil en scurit , explique
Cyrille Barthelemy, consultant scurit chez Intrinsec. Un service effectu le
plus rapidement possible (trois jours le plus souvent) et pour un cot rduit
(gnralement autour de 3 000 euros HT).
Si cet tat de fait concerne essentiellement les PME/PMI, les grandes socits ne
sont pas non plus labri. Lexprience montre, l aussi, que si lapproche technique
de la scurit des SI est peu prs bien prise en compte, le risque est insuffisamment
pris en compte, voire nettement sous-estim, notamment en ce qui concerne les
attaques cibles. La raison en est que contrairement aux pays anglo-saxons et asiati-
ques qui dans le domaine ont dvelopp une vritable culture de la scurit les
pays latins ont encore une perception nave des attaques. Alors que la scurit
gnrale, et en particulier celle des SI devrait sinscrire dans une dmarche globale
Dunod La photocopie non autorise est un dlit
de renseignement, elle nest le plus souvent perue que comme une activit
tactique de plus au mme titre que lactivit de RH, de gestion financire ou
autre, alors quelle devrait tre vue au plan stratgique.
Quels sont les diffrents risques ? Dans un monde de concurrence commerciale
acharn et sans piti, tous les moyens sont bons et la dpendance vis--vis des SI est
telle, que ces derniers constituent le vecteur rv : universel, omniprsent, discret, il
permet datteindre les personnes et les ressources. Voici une prsentation non
exhaustive des risques :
Vol de donnes2 (donnes de recherche, clients, contrats) : si laffaire Valo
en 2005 a fait la une des journaux en France, laffaire des logiciels israliens
professionnels contenant des chevaux de Troie a autrement frapp les esprits
1. Scurit: les tests d'intrusion se mettent la porte des PME , Zdnet, 2/01/2006.
cybercriminalite.book Page 120 Jeudi, 14. septembre 2006 8:25 20
dans le monde. Ces logiciels taient vendus des socits et les codes daccs
des chevaux de Troie vendus, eux, aux concurrents de ces socits. Plusieurs
pays semblent avoir t victimes et laffaire est toujours en instruction. Cela
illustre le fait quen termes de logiciel de scurit, notamment destination des
administrations et des entreprises, des logiciels nationaux sont prfrables.
Vol de ressources. En 2005, une vingtaine de pirates ont pntr les serveurs
dune entreprise et les ont utiliss, de manire discrte, pour distribuer des
contenus illicites (vidogrammes, phonogrammes, logiciels pirats) sur Inter-
net. Outre le fait, dans la phase initiale de lenqute, dtre souponne
davoir elle-mme organise cette diffusion, les ressources propres de cette
entreprise taient vampirises par les pirates.
Atteinte la disponibilit. Les cas sont trs frquents o, par un simple dni
de service commandit par un concurrent, une socit se retrouve prive,
souvent un moment crucial pour la vie de lentreprise, de ses donnes ou de
ses serveurs. Imaginons limpact dune socit de vente en ligne prive de son
serveur web pendant quelques jours. Il existe de nombreuses autres techniques
permettant de raliser des indisponibilits plus ou moins longues. Selon le
rapport 2005 du CLUSIF, prs de 75 % des entreprises audites ont une
dpendance forte (une indisponibilit de moins de 24 heures a de graves
consquences sur lactivit) alors que seulement 2 % avouent une dpendance
plutt faible.
Extorsion de fonds. Ce cas-l est survenu en 2005 aux Etats-Unis, dans
plusieurs grandes socits avec des codes malveillants comme le ver
Trojan.PGPCoder. Les donnes des disques durs ont t chiffres et la clef
tait demande contre une ranon. Ainsi, en avril 2006, des codes malicieux
comme Crypzip ou Ransom.A ont t utiliss pour pratiquer ce genre dextor-
sion numrique.
Atteinte lintgrit. Les donnes sont dtruites ou altres de manire ala-
toire. Imaginons une modification alatoire de 5 % des rsultats de recherche
dun laboratoire pharmaceutique sur un nouveau mdicament.
Atteinte limage de lentreprise. Le simple dfaage dun site web peut
avoir des consquences dramatiques et nuire gravement une socit. En
2005 et en France, cela a constitu 3 % des sinistres informatiques.
Atteinte aux personnes. Cest probablement la moins connue des attaques
potentielles. Elle nen est pas moins redoutable. Elle autorise toutes les mani-
pulations possibles. Imaginons un dirigeant dentreprise devant ngocier un
gros contrat. Son concurrent peut tout simplement lui nuire personnellement
pour le discrditer auprs de ses clients. Couple une publicit adquate,
lopration peut tre extraordinairement efficace.
2. Un excellent cas, tir dune autre affaire relle qui a fait grand est celui prsent par D. Bni-
chou et S. Lefranc Lopration Carbone 14 Actes de la confrence SSTIC 2003. Disponible
sur http://www.sstic.org/ . Cette attaque cible, contre un SI pourtant trs protg, permet de
voir quune architecture scurise nest pas suffisante.
cybercriminalite.book Page 121 Jeudi, 14. septembre 2006 8:25 20
Face ces menaces multiples, la rgle dor est dorganiser des primtres de scurit.
Il faut cloisonner et bunkriser tout ce qui doit ltre. Mais il nexiste pas de
rgle toute faite : cest la politique de scurit locale qui doit dicter les choix et non
pas linverse, encore une fois.
Une politique de scurit efficace, en matire darchitecture rseau, intervient
diffrents niveaux :
Entre du rseau,
Serveurs,
Ordinateurs des utilisateurs.
Dunod La photocopie non autorise est un dlit
1. Cet exemple est inspir dun cas rel survenu en juin 2006 et qui a frapp le service de presse
officiel du ministre de la dfense de Taiwan. Une trs grande socit franaise, partenaire dans
le projet Galileo, a galement t victime dune msaventure en 2003. La sanction a t
radicale : le cours de son action t divis par 10.
2. Cet organisme du ministre de la Dfense a pour mission de veiller la scurit du personnel,
des informations, des matriels et des installations sensibles relevant de la dfense nationale.
cybercriminalite.book Page 122 Jeudi, 14. septembre 2006 8:25 20
bastion est constitu par le routeur daccs au rseau et par le pare-feu. Cela inclut
galement les serveurs pour tous principaux services utiliss : web, FTP, courrier
lectronique, DNS Mais les machines bastions doivent galement tre prot-
ges. Le principe est alors dutiliser une zone particulire appele DMZ (zone dmi-
litarise). Cette zone est le concept fondamental de scurit autour duquel tout
rseau doit tre architectur. Elle va jouer le rle de zone tampon entre le rseau
interne considr comme de confiance et abritant les ressources internes de
lentreprise et un rseau non matris et donc potentiellement dangereux (typi-
quement le rseau Internet mais cela peut inclure une partie plus large dun rseau
dentreprise ouverte sur lextrieur). La DMZ a pour rle disoler les machines publi-
ques grant un certain nombre de services (DNS, courrier lectronique. FTP,
http) du rseau critique interne (voir figure 10.1)
Il est essentiel de noter que si la DMZ est une tape initiale essentielle dans la
scurisation dun rseau, elle ne se suffit pas elle-mme. Dautres aspects doivent
tre pris en compte.
Le premier est le serveur proxy, que lon peut considrer comme un pare-feu
applicatif. Il va par exemple assurer les fonctions de cache de pages web, le filtrage
des URL (protocole HTTP), grer les authentifications des utilisateurs En gros, ce
proxy va jouer le rle de relais entre lutilisateur (le client) et le serveur sollicit. Il
va en particulier effectuer certains contrles, le plus courant tant celui des requtes
web. Le navigateur, pour se connecter une page donne, va tout dabord se connec-
ter au serveur proxy. Ce dernier ensuite se connecte lui-mme au serveur hbergeant
rellement la page demande. Cela permet dune part de ne pas directement mettre
en contact les utilisateurs internes dune entreprise avec le rseau extrieur (Inter-
net) mais dautre part, il est ainsi possible de contrler laccs certains sites, inter-
dits par la politique de lentreprise (sites pornographiques, sites de logiciels
pirats). Bien videmment, le serveur proxy est plac dans la DMZ pour augmen-
ter la scurit.
Tous ces lments (DMZ, serveurs proxy et reverse proxy) doivent tre articuls
de sorte que si un lment est victime dune attaque, les autres doivent pouvoir pren-
dre le relais. Autrement dit, aucune relation de dpendance ne doit exister, en ter-
mes de scurit, entre ces divers composants. Seuls des audits constants, des tests de
cybercriminalite.book Page 124 Jeudi, 14. septembre 2006 8:25 20
10.3 LE TEMPS
Aussi surprenant que cela puisse paratre, cest la premire des ressources critiques.
Bien avant largent ! Il est souvent possible dconomiser des crdits en donnant suffi-
samment de temps aux divers acteurs impliqus dans la scurit des SI. Ce temps
concerne essentiellement la veille technologique et la sensibilisation des utilisateurs.
Linformatique volue presque tous les jours (nouvelles attaques, nouveaux pro-
duits, nouveaux concepts). Sans une veille technologique permanente et cons-
quente, la scurit dune entreprise dans ce domaine deviendra trs vite dpasse et
obsolte. La simple hygine logicielle (recherche et applications des correctifs)
requiert un temps non ngligeable. Et cela ne reprsente quune partie de la veille
technologique ncessaire ! Six tapes doivent tre considres1 :
Dfinition des besoins et rcupration dinformations internes lentreprise.
Dfinition des sources (quantification et qualification).
Collecte des informations.
Analyse et synthse des informations.
Diffusion du renseignement.
Scurisation su S.I.
Le meilleur exemple dune telle lacune est celle de lattaque par le ver Sapphire/
Slammer en janvier 2003. Elle utilisait une vulnrabilit connue et corrige depuis
plus de six mois. Pourtant, 200 000 serveurs ont t gravement victimes de ces atta-
ques. Lexprience montre dailleurs que ce genre de lacunes concerne galement les
grandes entreprises.
1. Le lecteur pourra consulter lexcellent article de Marc Brassier, Mise en place dune cellule de
veille technologique , MISC Le journal de la scurit informatique, numro 5, janvier 2003.
Ce dernier est trs complet et dcrit dans le dtail la politique tenir dans le domaine de la
veille technologique, en fonction de la taille de lentreprise.
cybercriminalite.book Page 125 Jeudi, 14. septembre 2006 8:25 20
Selon la taille de lentreprise, cette veille sera faite par le RSSI en liaison avec
ladministrateur rseau ou systme par exemple, ou bien par une cellule spcialise
(cot annuel approximatif de 50 000 euros par an).
Le second volet qui rclame du temps est la sensibilisation des personnels. Elle
est indispensable. Pourtant, les diffrents audits montrent quelle est systmatique-
ment nglige. En 2005, seules 30 % des entreprises de moins de 500 salaris dispo-
sent de programmes de sensibilisation (source : CLUSIF). Les utilisateurs doivent
tre rgulirement tre informs des risques, des volutions et des points essentiels
de la politique de scurit (en particulier les interdictions mais galement les con-
duites tenir en cas dincidents). Lexprience montre que des utilisateurs informs,
sensibiliss et responsabiliss participent activement et efficacement une meilleure
scurit informatique globale.
De grandes entreprises comme Boeing lont compris. En avril 2006, Janette Jar-
vis, responsable du pole scurit chez Boeing, a expliqu lors de la confrence
EICAR 2006 Hambourg, que les sensibilisations en matire de scurit informati-
que taient obligatoires, raison de deux par an. Elles concernent tous les person-
nels (du simple employ aux dirigeants), lesquels faisaient lobjet dune valuation.
En cas de non participation, des sanctions gradues sont prvues (blmes, retenues
financires, renvoi).
Enfin, du temps doit tre consacr aux contrles et lvaluation de la mise en
place de la politique de scurit.
10.4 LARGENT
La seconde ressource essentielle est largent. Il nest jamais facile pour un dirigeant
de financer une politique prventive en matire de scurit des SI. Le meilleur
exemple de la difficult de perception dans ce domaine concerne le fameux bug de
lan 2000 . Alors que plusieurs milliards deuros avaient t consacrs la gestion
Dunod La photocopie non autorise est un dlit
anticipe du risque, de nombreuses voix se sont leves, aprs coup pour contester la
ncessit dun tel investissement alors que finalement aucun problme srieux na
t enregistr. Cest l un cas typique de mauvaise perception. La bonne attitude
aurait t de reconnatre que linvestissement ralis a prcisment permis dviter
de gros problmes. Trop souvent encore, les entreprises ne ralisent quaprs un
sinistre informatique la ncessit dune politique fonde sur lanticipation et la
prvention. Or, comment convaincre un dirigeant quand tout va bien ?
Selon lenqute IDC Scurit 20051, les dpenses informatiques globales sur le
march professionnel en France devraient atteindre en 2005, 41 009 M, en crois-
sance de 3,5 %. Les dpenses de scurit informatique, des entreprises et des admi-
1. 103 entretiens raliss auprs dun panel de grandes entreprises et administrations en France,
composes 45% de plus de 2000 salaris et 55% de 1000 1999 salaris. Novembre 2005.
cybercriminalite.book Page 126 Jeudi, 14. septembre 2006 8:25 20
10.5 LE PERSONNEL
Certes, signer cette charte ne signifie pas que les rgles seront respectes. Com-
ment en effet contrler linterdiction de connexion de PDA au SI interne ? Mais en
cas de manquements, le dirigeant disposera dune plus grande marge de manuvre
en termes de sanctions. Il est essentiel de faire de toute charte un outil de sensibili-
sation et de prvention. Sa rdaction doit tre prcise et rigoureuse en mme temps
que pdagogique. La sanction ne doit intervenir quen cas extrme.
Enfin, la gestion du personnel doit passer par une implication de tous les instants
dans la (sur)vie de lentreprise. Les salaris doivent tre sensibiliss au fait que si le
SI reprsente un facteur de risque, llment humain en est le point faible et le plus
difficile grer. Le problme de lingnierie sociale voque dans le chapitre 2 nest
pas le seul aspect. La discrtion professionnelle en est un autre. Les attaquants, via
les salaris, peuvent collecter en milieu ouvert (salons, restaurants, transports,
cercle familial) bien des informations relativement anodines qui compiles et
croises vont permettre dattaquer le SI. Il importe donc de sensibiliser tout salari
la notion fondamentale de discrtion professionnelle.
1. En France, le rglement de discipline des armes sanctionne tout non respect de rgles en
matire de scurit informatique comme une faute professionnelle trs grave (motif 502). Une
sanction disciplinaire de 20 40 jours darrt est applicable, indpendamment des ventuelles
sanctions pnales et/ou civiles.
cybercriminalite.book Page 129 Jeudi, 14. septembre 2006 8:25 20
Il est navrant de constater que cette rgle pourtant simple non seulement est
rarement respecte mais surtout que son non respect est lorigine de nombre datta-
ques finales contre le SI de lentreprise.1
En rsum
La dfense des rseaux dune entreprise, et plus gnralement de son systme
dinformation, doit considrer plusieurs aspects. Ils ne sont pas uniquement techni-
ques. Si disposer dune architecture rseau scurise est indispensable, ce nest pas
suffisant. La dfense doit galement intgrer une gestion cohrente des utilisateurs
(recrutement, formation, sensibilisation) et des ressources. Le plus difficile est sans
aucun doute de concilier le besoin de scurit de lentreprise avec le droit du
salari . La simple consultation du courrier lectronique ou des rpertoires dun
salari dans le SI de lentreprise nest pas aussi vidente et aise quil peut sembler.
Linterprtation dun arrt de la Cour de cassation (chambre sociale, du 2 octobre
2001 arrt Nikon) montre que les situations peuvent tre dlicates grer. En
cas de mauvaise interprtation, elles peuvent conduire le dirigeant devant la
justice1. Le RSSI doit donc possder sinon une forte culture en droit li aux nou-
velles technologies de linformation, du moins une bonne connaissance, actuali-
se, des textes rglementaires en la matire. Le dirigeant a tout intrt lui laisser
du temps pour cet aspect capital de la scurit du SI dentreprise.
Dunod La photocopie non autorise est un dlit
1. Lire ce propos lexcellent article de Marie Barel, (In)scurit du systme dinformation : quel-
les responsabilits ? Actes de la confrence SSTIC 2006, http://www.sstic.org
cybercriminalite.book Page 130 Jeudi, 14. septembre 2006 8:25 20
11
La protection des donnes
La dfinition officielle dun systme dinformation1 celle retenue par les services
de lEtat est la suivante : Tout moyen dont le fonctionnement fait appel
llectricit et destin laborer, traiter, stocker, acheminer, prsenter ou dtruire
de linformation .
Dans cette dfinition, il apparat quun systme dinformation est constitu de deux
parties : la partie matrielle (le hardware) et la partie information, laquelle comprend
les informations traitantes (le systme dapplication et les logiciels rassembls sous le
vocable de software) et linformation traite. Si la protection du matriel est relative-
ment aise un simple contrle daccs physique suffit dans la plupart des cas, celle
des donnes, quelles soient traitantes ou traites, est beaucoup plus dlicate. Cela
tient en partie au fait que linformation interagit avec dautres informations, quelle est
gre par du matriel et, enfin que, mobile par nature, elle est communique des tiers
lgitimes ou non (on est alors dans le cas dune interception).
Comme il a t vu dans le chapitre 2, la scurit de linformation repose sur trois
piliers fondamentaux :
la confidentialit : les informations ne doivent tre accessibles quaux seules
personnes autorises ou habilites.
lintgrit : les informations (un fichier systme par exemple) ne doivent tre
modifies que par une action lgitime et volontaire.
la disponibilit : le systme doit rpondre aux sollicitations des utilisateurs
autoriss (accs aux informations, action particulire,) dans le dlai imparti
par le cahier des charges, propre chaque application et/ou systme.
dcodage suivant : pour chaque groupe de trois bits conscutifs, il dcide que
celui qui est le plus frquent est celui qui a t envoy (on appelle cela un dcodage
par maximum de vraisemblance). Bob dcode de la manire suivante : 1011.
Le message est sans erreur.
Si on considre un canal plus bruit, ce code ne fonctionne plus. Il restera des
erreurs aprs le dcodage. Il suffit alors de considrer un code 5 ou 7 rptitions ou
dautres types de codes. Il est donc toujours possible de corriger le bruit lors dune
transmission ou de toute manipulation de linformation. Les codes correcteurs nous
entourent : tlphones mobiles (pas moins de trois codes), nos CD, nos mmoires
dordinateurs, nos logiciels (compression de donnes par exemple), formats dima-
ges Bref sans les codes correcteurs, nous ne pourrions plus vivre.
cybercriminalite.book Page 134 Jeudi, 14. septembre 2006 8:25 20
AUSTERLI Z
NOUSATTAQ
UONSDEMAI
ALAUBE
le texte est alors relev par colonne dans lordre alphabtique des lettres du
mot clef (ou tout autre ordre choisi pralablement). Cela donne le texte chiffr
suivant :
NUA ADB AA TM TEE UNA SSU OOL QI
Le dchiffrement consiste faire lopration inverse et nest possible que si lon
connat le mot clef. Le principal inconvnient des systmes par transposition est
quils conservent les statistiques de la langue et fournissent par consquent une
information sur le message. Ils ne sont plus employs de nos jours.
les procds dits par substitution. Chaque lettre ou groupe de lettres est
remplace en fonction dune clef secrte et dun procd par une autre lettre
ou groupe de lettres. Considrons le mot clef REPLUBLIQUE . Et fabri-
quons lalphabet suivant partir de ce mot clef
REPUBLIQACDFGHJKMNOSTVWXYZ
Toute lettre prsente plusieurs fois dans le mot-clef est supprime puis les let-
tres non prsentes dans le mot-clef sont ensuite rajouts et ce dans lordre alphab-
tique (ou tout ordre choisi). Il suffit ensuite dcrire lalphabet normal en dessous
de cet alphabet dsordonn pour avoir la correspondance lettre claire et lettre
chiffre :
REPU BLI Q ACDF GH JKMNOS T VWXYZ
ABCDEFGH I J KLMNOP QR ST UVWXYZ
Le mot attaque est ainsi chiffr en RSSRHDB . Bien sr ce systme
basique noffre aucune scurit. En revanche le procd de substitution est celui
Dunod La photocopie non autorise est un dlit
Cest pour vacuer ces contraintes, quen 1977, deux chercheurs Diffie et Hell-
man ont invent un autre type de cryptographie1 : la cryptographie clef publique.
Avec ces nouveaux systmes, chaque utilisateur cre un couple de clef, lune
publique, qui comme son nom lindique est destine tre publie, lautre prive qui
doit imprativement rester secrte. Donc, un systme clef publique est bien un pro-
cd cryptologique puisquil existe une quantit sur le secret de laquelle repose toute
la scurit du systme. Bien sr, la clef publique est fabrique partir de la clef prive
mais il est calculatoire ment impossible de retrouver cette dernire partir de la clef
publique2. Si le chiffrement avec des systmes symtriques se conoit aisment,
comment cela fonctionne t-il avec un systme clef publique.
Alice veut envoyer un message chiffr Bob. Pour cela, elle va rechercher dans
un annuaire (ou Bob lui aura envoy via un canal quelconque) la clef publique de
Bob. On peut comparer le fait de chiffrer avec un systme clef publique lenvoi
dune lettre. Pour que ce dernier soit possible, il faut connatre ladresse de Bob,
quivalente la clef publique3. On la trouve dans un annuaire. Le facteur dpose la
lettre envoye par Alice dans la boite lettre de Bob. Comme sa boite aux lettres
ferme clef, par consquent seul Bob peut accder au message chiffr envoy par
Alice. La clef de cette boite est comparable la clef prive de Bob. Et lon voit bien
que la connaissance de ladresse de Bob, ne donne pas pour autant les moyens de for-
cer sa boite aux lettres (du moins en mathmatique).
Si la cryptologie clef publique prsente dindniables avantages, elle comporte
galement des inconvnients qui limitent son emploi :
elle met en uvre des calculs lourds et complexes. De fait, il nest pas possible
de chiffrer, sinon en un temps assez long, de gros volumes de donnes ;
elle repose sur des principes qui ne sont pas mathmatiquement dmontrs.
Pour le moment, lincapacit calculatoire retrouver la clef prive partir de
la clef prive est seulement une conjecture, taye par lexprience seule. Mais
personne ne peut srieusement affirmer quil nest pas calculatoirement4 facile
de le faire, ni que quelquun ne soit pas parvenu le faire et ait choisi de nen
rien dire. Cest la raison pour laquelle, le chiffrement clef publique est limit
1. Il est intressant de noter quil a rcemment t rvl que les services anglais avait dcouvert
ce type de cryptographie mais navaient pas rendu publics leurs rsultats. Comme souvent en
cryptologie
2. Cette impossibilit calculatoire na jamais t dmontre ce qui fait peser une incertitude sur la
solidit relle de ces systmes. Mais cette incertitude, en ltat actuel des recherches publies
est conciliable avec les besoins de scurit.
3. Dans un systme symtrique, en comparaison, Alice et Bob habiteraient des adresses secrtes,
devraient changer pralablement leurs adresses respectives et dmnager aprs chaque com-
munication.
4. Le terme calculatoirement signifie quil nexiste aucune mthode permettant en pratique de trou-
ver un tel fichier F, mme si lon dispose dune puissance de calcul importante. Une solution
possible serait de tester tous les fichiers possibles F. Cest infaisable en pratique. Ce terme indi-
que donc que les solutions qui permettent de rsoudre le problme thoriquement sont inattei-
gnables en pratique
cybercriminalite.book Page 137 Jeudi, 14. septembre 2006 8:25 20
Les solutions commerciales actuelles dont la plus connue est sans conteste le
logiciel PGP2 consiste mlanger cryptologie clef secrte et systmes clef
publique : ce sont les systmes cryptologiques hybrides. Le principe est le suivant :
Alice gnre une clef alatoire de session K de 128 bits. Cette clef de session lui
sert chiffrer les donnes M laide dun algorithme symtrique (de nos jours,
lAES). Ces systmes sont trs rapides pour les oprations de chiffrement. Elle pro-
duit donc C = AESK(M), le texte chiffr.
Bob ne possde par la clef K mais Alice ne peut pas lui envoyer en clair via un
canal de transmission qui nest pas sr (sinon elle ne chiffrerait pas ses donnes).
Alice chiffre donc la clef avec un systme clef publique S. Pour cela, elle utilise la
clef publique de Bob, PUBBOB et produit S(K, PUBBOB).3
Alice envoie Bob les quantits C (le cryptogramme) et S(K, PUBBOB), la clef
de session chiffre. Lorsque Bob reoit ces deux donnes, il dchiffre S(K, PUBBOB)
avec sa clef prive et rcupre K. Il peut ensuite dchiffrer C laide de K.Bien vi-
Dunod La photocopie non autorise est un dlit
1. En tout cas, il devrait tre dun usage limit mais la recherche de toujours plus dergonomie et
de facilit dexploitation fait que ces systmes sont utiliss l o ils ne devraient pas ltre !
2. Pretty Good Privacy, http://www.pgp.com
3. Source : Bourgeois Morgan, Initiation PGP : GnuPG, http://mbourgeois.developpez.com
cybercriminalite.book Page 138 Jeudi, 14. septembre 2006 8:25 20
1. Un systme secret parfait est un systme pour lequel il est impossible de dterminer quelle clef
et donc quel message, ont t utiliss, mme si lon dispose dune puissance de calcul infinie et
de lternit pour les rechercher. Ces systmes imposent de telles contraintes organisationnelles
quils sont rservs aux communications les plus sensibles. Pour tous les autres systmes, il suffit
dessayer toutes les clefs possibles pour trouver la bonne ce qui nanmoins requerrait plu-
sieurs milliards de sicles pour une simple clef de 128 bits.
cybercriminalite.book Page 139 Jeudi, 14. septembre 2006 8:25 20
Lintgrit, si elle est moins connue du grand public, est tout aussi importante que la
confidentialit. Imaginons une transaction bancaire dont un pirate pourrait modifier
de manire indtectable, les donnes. Par exemple, remplacer le numro de compte
bnficiaire par celui de lattaquant, ou modifier les sommes engages dans la tran-
saction. Un autre exemple tout aussi pertinent est celui des programmes que lon
tlcharge sur Internet. Imaginons quun pirate tente de sintroduire dans des
milliers dordinateurs. Il lui suffirait dinsrer les fonctionnalits adquates dans un
ou plusieurs logiciels trs utiliss (un navigateur Internet par exemple) et de loffrir
au tlchargement comme la version dorigine. Toute personne installant cette
version corrompue sera victime du pirate. Or, nous tlchargeons rgulirement des
logiciels que nous installons sans aucune vrification spciale et volontaire de notre
part. Qui, en effet, vrifie lempreinte MD5 accompagnant beaucoup de logiciels que
nous utilisons ?
Ces quelques exemples montrent que lintgrit des informations que nous mani-
pulons est essentielle. Il est indispensable, dans de trs nombreux cas, de vrifier quil
ny a pas eu de modifications dans des donnes critiques. Heureusement, la plupart
des logiciels du commerce intgrent des fonctionnalits dauto-calcul dintgrit qui
vrifient chaque installation quil sagit de la version officielle et que cette dernire
na pas t corrompue. Cette vrification est systmatiquement faite. Elle lest gale-
ment lorsque votre logiciel antivirus met jour ses bases de signatures. Imaginez que
lors du tlchargement le pirate parvienne manipuler ces bases et y introduire des
informations destines modifier comportement du logiciel antivirus. Pire, que se
passerait-il sil parvenait drouter les requtes de mise jour vers un site pirate ne
contenant que des bases de signatures corrompues ?
Comment fonctionnent les outils dintgrit ? Lintgrit est assure par ce que
lon appelle des fonctions de hachage. Les plus connues sont MD5, SHA-1 et RIM-
PEMD-160. Le principe est simple. Un fichier F, de longueur quelconque (un simple
e-mail, un disque dur entier, un document) est hach par lintermdiaire dune
Dunod La photocopie non autorise est un dlit
1. En 2004, des chercheurs chinois sont parvenus produire des collisions pour la fonction MD5
dont la scurit doit dornavant tre mise en doute.
2. http://www.tripwire.com
3. Kevin Poulsen, Linux kernel backdoor blocked. 7/11/2003, http://www.theregister.co.uk/
2003/11/07/linux_kernel_backdoor_blocked/
cybercriminalite.book Page 141 Jeudi, 14. septembre 2006 8:25 20
donnes. Le cas le plus frquent est celui de la panne dun disque dur, lequel conte-
nait des donnes plus ou moins bien sauvegardes voire non sauvegardes.
Actuellement, assurer la disponibilit des donnes ne se fait efficacement que
dans un contexte de sret uniquement. Des techniques de type RAID (Redundant
Array of Inexpensive Disks) sont trs efficaces mais dune part elles sont assez onreu-
ses et dautre part, elles requirent quelques comptences, notamment dans le
domaine de gros systmes dentreprises.
Un systme de type RAID rpartit et organise les donnes sur plusieurs disques
durs et utilise des techniques de correction derreurs. Nous sommes donc bien dans
un contexte de sret. Le systme dexploitation voit la matrice du raid (ensemble
de plusieurs disques) comme un disque unique. Il existe six types de RAID, du RAID
1 au RAID 6. Cette classification est fonde sur la faon de diviser et de rpartir les
donnes et sur les codes correcteurs derreurs utilises. Les principaux avantages du
systme RAID sont :
daugmenter la capacit de stockage en mettant bout bout des disques durs
pour accrotre la taille du volume.
dapporter la tolrance de panne et donc dassurer la disponibilit des
informations : certaines configurations RAID permettent de prvenir les
dfaillances dun disque.
damliorer les performances : les donnes sont crites sur plusieurs disques
la fois. Ainsi, chacun des disques na quune partie des donnes inscrire.
Les diffrents types de RAID1 sont dfinis par la nature des codes correcteurs uti-
liss et la manire dont ils sont mis en uvre.
Les systmes RAID, aussi efficaces soient-ils dans un contexte de sret, sont
totalement inoprants dans un contexte de scurit, autrement dit en cas dattaque
contre les donnes, moins dadjoindre des mesures de scurit informatique classi-
que (technique et organisationnelle). Une attaque par un code malveillant comme
le TrojanPGPCoder ne sera pas gne par la prsence dun systme RAID. Ce code
Dunod La photocopie non autorise est un dlit
qui a frapp en mai 2005, chiffre tous les fichiers ayant une extension du type ASC,
DB, DB1, DB2, DOC, HTM, HTML, JPG, PGP, RAR, RTF, TXT, ZIP et XLS.
Ainsi mme les fichiers chiffrs avec PGP devenaient indisponibles. Le ver laisse
ensuite des instructions dans un fichier pour permettre la rcupration de la clef
(moyennant finances ; il sagit donc dextorsion de fonds). Le fichier, dnomm
ATTENTION !!!.TXT est le suivant (traduction de langlais) :
1. Des auteurs connus comme Boccace, Corneille ou Arthur Rimbaud ont cach dans leur uvre
littraire des messages cachs.
cybercriminalite.book Page 143 Jeudi, 14. septembre 2006 8:25 20
Le logiciel le plus clbre est probablement le logiciel Outguess qui est capable de
dissimuler des informations dans des images JPEG. Ce qui est plus intressant tient
au fait que le stgano-medium peut tre dune taille infrieure aprs la
dissimulation de linformation, ceci grce des caractristiques lies au format
JPEG.
Le principe gnral de ces techniques est assez simple. La dissimulation dun mes-
sage secret dans un stgano-medium se fait toujours en deux tapes :
Identification de donnes redondantes dans le stgano-medium. Quel que soit
ce dernier, il y a toujours des donnes concernant une information excden-
taire. Pour une encre invisible, ce sont les zones du papier qui ne sont pas
utilises. Dans une image, les couleurs sont stockes sur 24 ou 32 bits, soit
potentiellement 16 millions ou 4 milliards de couleurs diffrentes. Mais qui
est capable de discerner autant de couleurs ? Personne. Les formats graphiques
codent donc beaucoup plus dinformation que notre il est capable den iden-
tifier. Pour un fichier MP3, cest la mme chose. Notre oreille discerne des
sons dans une gamme de frquences plus limite que celle possible pour la
plupart des formats sonores.
La seconde tape consiste alors choisir au hasard un sous-ensemble de ces
donnes redondantes et y insrer le message. Comme les donnes ventuel-
lement1 modifies sont redondantes cest--dire non essentielles la
perception , le support une fois le message secret dissimul semblera identi-
que la perception. Bien sr, au niveau de la statistique des informations
redondantes, certains changements et modifications sont intervenus mais un
bon systme sera capable de les rendre quasi-indtectables.
1. Eventuellement, car si je souhaite cacher la valeur 1 dans un bit redondant dans limage qui est
dj 1, je dissimule cette valeur 1 sans modifier ce bit.
cybercriminalite.book Page 145 Jeudi, 14. septembre 2006 8:25 20
Bien que les technologies existent et pour un cot minime, il existe beaucoup de
donnes confidentielles non protges. En juin 2006, plus de 75 millions de sites
sont recenss sur la plante Internet (source : www.netcraft.com) avec une progres-
sion soutenue de 15 millions de nouveaux sites par an2. Ainsi, les valuations esti-
ment plusieurs mga-octets (ou peut tre giga-octets) les donnes ayant un
caractre confidentiel qui sont prsentes sur ces sites Internet.
Selon une analyste du cabinet Gartner, cite par ITNews, un vol massif de don-
nes revient 90 dollars par employ touch. Un cot qui peut vite devenir un gouf-
fre pour des entreprises comptant des milliers d'employs. Or. Une protection des
donnes revient moins cher. Le simple fait de protger des donnes dudit client par
chiffrement - et donc carter pratiquement tout risque de divulgation aprs intrusion
Dunod La photocopie non autorise est un dlit
rcemment fait tat de la compromission de ce fichier, aprs une intrusion sur leurs
rseaux. Avant intrusion, on appelle de la gestion de risque . Aprs intrusion,
une dplorable ventualit statistiquement improbable . D'un point de vue froide-
ment actuariel, en donnes brutes, la perte thorique de 90 dollars par compte
multiplie par les 26,5 millions de victimes potentielles fait monter les prjudices
2,4 milliards de dollars. Ce chiffre est tellement astronomique, que tout gestionnaire
prfrera mettre en doute la mthode d'estimation et d'analyse Donc, en atten-
dant, on ne chiffre pas. Pas plus aux Etats-Unis qu'en France, d'ailleurs.
Et pourtant, les solutions commerciales efficaces pour des donnes sensibles
uniquement et bon march existent. Les moyens de chiffrement sont dsormais
libres depuis la rcente loi sur lconomie numrique de juin 2004. Mais il convient
dtre prudent. Les logiciels de chiffrement sont trs nombreux, mais il convient de
se mfier. Beaucoup utilisent des algorithmes lmentaires. Dautres mettent en
uvre des algorithmes rputs comme solides, mais les implmentent dune manire
si catastrophique quils dgradent la scurit finale des algorithmes. Dautres ne
publient pas les algorithmes quils utilisent, ce qui ne permet pas de savoir sils ne
contiennent pas une porte drobe par laquelle il serait facile dentrer ou des fai-
blesses permettant un dcryptement plus facile (lire galement le chapitre 15). Pour
une protection rellement efficace, sagissant de donnes sensibles uniquement,
mieux vaut se tourner vers des solutions utilisant les algorithmes de chiffrement
comme GOST, IDEA, RC5, Blowfish ou lAES, et qui sont rputs de qualit.
Au lieu de chiffrer fichier par fichier ce qui nest gure pratique mais nan-
moins possible pour un chiffrement limit beaucoup de produits crent des dis-
ques logiques dans lesquels les donnes sont transfres comme sur une partition
standard. Le chiffrement/dchiffrement seffectue la vole de manire transpa-
rente et sans dlai notable. En dbut de session, un mot de passe est requis pour
ouvrir le disque. Certains dentre eux proposent galement des fonctionnalits de
stganographie, permettant ainsi de dissimuler lexistence mme de partitions.
Citons les principaux :
Le plus clbre reste le logiciel PGP (Pretty Good Privacy). Produit phare des
annes 90 de la communaut, il a acquis la maturit commerciale et propose
outre une interface graphique simple mais ergonomique, la plupart des fonc-
tionnalits attendues : chiffrement du courrier lectronique la vole, chiffre-
ment de fichiers, intgrit, effacement scuris
DriveCrypt de SecurStar. Si son interface est plus austre que celle de PGP, il
offre en revanche beaucoup plus de possibilits. Le choix des algorithmes de
chiffrement est plus large : du simple DES 56 bits aux trs puissants triple AES
768 bits ou triple BlowFish 1344 bits. Une autre fonction trs intressante de
ce logiciel permet par exemple tous les membres dune quipe davoir leurs
disques chiffrs avec leurs propres mots de passe, tout en gardant la possibilit
pour le responsable davoir un mot de passe matre capable douvrir tous les
disques. Ainsi, si un utilisateur est absent, ou a quitt la socit, il sera
toujours possible de rcuprer les donnes de son disque (aspect important de
disponibilit des donnes). Enfin, DriveCrypt propose des fonctionnalits de
cybercriminalite.book Page 147 Jeudi, 14. septembre 2006 8:25 20
Rappelons enfin que ces produits et dispositifs matriels sont strictement inter-
dits dusage, en France, pour le chiffrement de donnes relevant du secret de dfense.
Un industriel qui utiliserait des logiciels dans ce cas risquerait des peines de prison et
de lourdes amendes. Il doit pour cela utiliser des logiciels nationaux valids par le
SGDN (Secrtariat Gnral de la Dfense Nationale) et la DCSSI (Direction Cen-
trale de Scurit des Systmes dInformation). Notons que les autres pays ont adopt
le mme principe. Ainsi, aux Etats-Unis, le systme AES est interdit dusage sagis-
sant de donnes sensibles ou critiques (voir document fdral FIPS 196).
cybercriminalite.book Page 148 Jeudi, 14. septembre 2006 8:25 20
En rsum
La protection des donnes est un aspect essentiel dans la scurit des systmes
dinformation. Trop souvent, les politiques de scurit se polarisent sur la protec-
tion des systmes et ventuellement des donnes traitantes. Des affaires de com-
promission de donnes lors de vols ou de pertes de portables rappellent chaque
fois que la ressource ultime devant tre protge est linformation elle-mme.
Mais il faut galement se rappeler que chiffrement, intgrit et disponibilit doi-
vent se placer dans un contexte de scurit informatique. A quoi sert le chiffre-
ment si le mot de passe protgeant la clef secrte est trop faible, facilement
rcuprable ou si un virus ou un ver parvient le drober ! Encore une fois, la
scurit informatique est un tout qui doit tre monolithique. Toute faiblesse dans
le dispositif gnral fragilisera terme lensemble. La difficult du mtier rside
prcisment dans la vision globale de la scurit.
cybercriminalite.book Page 149 Jeudi, 14. septembre 2006 8:25 20
12
La pdophilie sur Internet
Aujourdhui, linformatique est entre dans les murs. La moiti des foyers dispo-
sent dun ordinateur et les abonns lInternet haut dbit taient plus de dix
millions au printemps 2006. Si les sniors sintressent de plus en plus cet univers
ce sont nos enfants les plus accros. Ils appartiennent la gnration ne avec une
souris et un clavier dans les mains ! Une enqute ralise, il y a deux ans, par
lObservatoire dIpsos (entretiens auprs de 2203 enfants et de leurs mres) indiquait
que 30 % des 6-8 ans utilisent dj le Web. Vers 13-14 ans, ils sont 80 % surfer sur
la toile. Une autre tude, mene par le CREDOC (Centre de Recherche pour
lEtude et lObservation des Conditions de vie) en dcembre 2004, indique que
57 % des jeunes de moins de 17 ans utilisent les chats et ils sont 62 % penser
quInternet est un bon outil pour se faire des amis.
Une navet toute naturelle mais qui peut avoir des consquences dramatiques.
Sur Internet on peut ctoyer le meilleur et le pire. Des prdateurs rdent. Les pdo-
philes1 ou des escrocs tentent de rencontrer des mineurs ou dobtenir des numros de
cartes bancaires. Le cyberespace attire des rseaux crapuleux et charrie des milliers de
contenus illicites. Daprs une tude mene par lassociation Le Bouclier, 261 653
"sites pdophiles" avaient t rpertoris en 2002, contre 4 300 seulement en 1996.
Grace la coopration internationale, de nombreux rseaux tombent dans les
filets des policiers. En juin 2006, neuf Turcs et un Amricain ont t arrts en Tur-
quie2. Les suspects, dont un professeur de lyce, avaient contact une trentaine de
mineurs sur des forums de discussions et les avaient abuss sexuellement. Les photos
prises lors de ces abus, ainsi que des enregistrements vido, avaient ensuite t ven-
dus via le net.
1. Les professionnels de la justice critiquent, pour beaucoup, le terme mme de pdophile, ce der-
nier introduisant tymologiquement une confusion. Beaucoup de magistrats prfrent parler de
pdocriminel. Nous conserverons cependant le premier terme, plus connu du grand public.
2. Dpche AFP du 13/06/02006.
cybercriminalite.book Page 150 Jeudi, 14. septembre 2006 8:25 20
Ces trois exemples montrent que la pdophilie sur lInternet est un flau qui touche
de nombreux pays. Face ces menaces, les pouvoirs publics ont cr des entits
spcialises. Une veille des contenus illicites vhiculs sur Internet a t mise en
uvre au Service technique de recherche judiciaire et de documentation de la
gendarmerie (STRJD) ou au sein de la police nationale. La premire grande opra-
tion, intitule Forum 51 , a t lance par la Gendarmerie nationale en juin
2001. Elle faisait suite plus dun an denqute sur certains canaux IRC (Internet
Relay Chat), et a donn lieu 75 interpellations.
Depuis, la pression des pouvoirs publics sest accentue grce des moyens ren-
forcs. La Brigade de protection des mineurs (une des six brigades centrales de la
direction de la Police judiciaire de Paris) traque ces rseaux depuis la fin des annes
90. Mais depuis 2003, elle sappuie sur les comptences dun groupe denqute sp-
cialis. Le Groupe Internet mne de bout en bout des investigations portant sur des
faits de pdophilie ayant comme support ou moyen le rseau internet.
Son activit sarticule autour de deux axes principaux :
La lutte contre les trafics dimages pdophiles : le nombre dimages et de
vidos pdopornographiques disponibles sur Internet augmente de manire
exponentielle chaque anne. Selon les estimations, Internet en hbergerait
entre 800 000 et un million3. Plus de 260 000 sites contenant de la pdopor-
nographie ont t recenss en mars 2005.
De son cot, la Gendarmerie nationale surveille ses rseaux depuis 1998. Elle dis-
pose, entre autres, de plus de 120 personnels NTECH (nouvelles technologies)
spcifiquement forms aux techniques denqute propres aux infractions lies cette
problmatique. Depuis 1992, le dpartement informatique-lectronique (INL) de
lInstitut de recherche criminelle de la gendarmerie nationale (IRCGN) apporte un
soutien technique (expertises, surveillance, interceptions) aux diffrents services de
gendarmerie.
Dunod La photocopie non autorise est un dlit
3. La diffusion d'images pdopornographiques sur l'internet reste toutefois sans commune mesure
avec celle de pornographie adulte.
cybercriminalite.book Page 152 Jeudi, 14. septembre 2006 8:25 20
Les autorits interviennent en aval. Mais pour rduire les risques il est indispensable
que les parents soient sensibiliss et mettent en place des solutions en amont. Face
cette situation dltre, beaucoup semblent dmunis. Il est vrai que les informations
pratiques sur ce sujet font encore cruellement dfaut. Ce nest plus le cas depuis
octobre 2006 avec la premire version du site officiel Confiance (www.internetsans-
crainte.fr), un plan franais daction de sensibilisation aux enjeux et aux risques
dInternet pour les enfants, jusquen 2007. Les premiers outils de sensibilisation
(posters, guide et CD/DVD) sont diffuss.
En attendant que ce programme ne monte en puissance, les parents doivent ins-
taller sur leur ordinateur un logiciel de contrle parental. Trs peu le font. En juin
2005, seulement 15 % des foyers disposaient dun tel programme !
Son rle consiste filtrer les contenus et bloquer certaines activits pralable-
ment interdites (envois de pices jointes par e-mail, utilisation dun logiciel de mes-
sagerie instantane). Plus facile dire qu faire ! Ces programmes doivent
rsoudre un srieux casse-tte. Sils effectuent un contrle trs strict, ils risquent de
bloquer des sites au contenu inoffensif (un site sur la sant contient ncessairement
les mots sexe, sein, testicule). linverse, si leur filtrage est trop limit ils vont
laisser passer des horreurs ! Pour rsoudre ce dilemme, ces logiciels nutilisent pas
tous sur les mmes procds. Certains se contentent du filtrage des sites X, dautres
assurent aussi le blocage et le filtrage dautres services comme les forums de discus-
sion, les messageries instantanes et les transferts de fichiers.
Pour le filtrage du contenu, les logiciels sappuient sur une liste noire dadresses
URL. Pour quelle soit efficace, il faut que lditeur lenrichisse continuellement et
que le consommateur fasse rgulirement des mises jour. Les sites pdophiles ou
pornographiques changent en effet assez souvent dintituls ou dadresses. Lanalyse
du contenu se fonde aussi sur une liste de mots exclure. Ds que lun dentre eux est
repr par le logiciel, ce dernier peut immdiatement bloquer laccs au forum ou
empcher laffichage du message ou du terme en question. Mais l aussi, cette liste
cybercriminalite.book Page 153 Jeudi, 14. septembre 2006 8:25 20
doit tre rgulirement mise jour. Les parents peuvent galement y ajouter des
nouveaux mots-cls.
Pour affiner les filtres, la plupart des logiciels disposent dun journal de bord dans
lequel sont consignes toutes les alertes. Cest un bon moyen de reprer des sites ou
des mots qui nauraient pas t exclus ou au contraire de constater des fausses alertes
engendres par un filtrage trop pointu.
Ces logiciels ne prsentent pas pour autant la solution idale. Dans son numro
dat de mai 2004, 60 Millions de consommateurs en a test quinze, en collaboration
avec la Dlgation interministrielle la famille (DIF), la Direction du dveloppe-
ment des mdias (DDM) et la Dlgation aux usages de linternet (DUI). Les plus
efficaces sont le logiciel de contrle parental inclus dans les packs de scurit (anti-
virus, antispams, pare-feu) McAfee Internet Security Suite (75 ) et Norton
Internet Security (90 ). La scurit de nos enfants nest donc pas donne Tous
les autres logiciels manquent defficacit ou sont compliqus configurer.
Si vous ne voulez pas investir dans un tel logiciel vous pouvez opter pour un
gratuit : LogProtect (www.logprotect.net). Ce logiciel en franais (pour PC mais pas
pour Mac) ne rpond qu un seul type de problme mais il le fait trs bien : il emp-
Dunod La photocopie non autorise est un dlit
che vos enfants de transmettre sur Internet des informations sensibles (nom de
famille, adresse, tlphone, nom et adresse de lcole, etc.). Il suffit de complter un
formulaire regroupant ces lments ne pas transmettre pour quil les bloque ds
quils sont taps avec le clavier. En plus des informations personnelles, il est gale-
ment possible dtablir une liste de mots. Lorsque ces donnes sont bloques un mes-
sage davertissement, qui peut tre personnalis, est affich lcran. Il indique
lenfant que ce quil est en train de faire peut tre dangereux pour sa scurit. Au
bout du troisime avertissement il est possible de couper la connexion.
Comme dautres logiciels de contrle parental, celui-ci est protg par un mot de
passe (qui doit tre chang rgulirement) qui est demand chaque modification
de la configuration du logiciel ou pour arrter le systme de protection.
cybercriminalite.book Page 154 Jeudi, 14. septembre 2006 8:25 20
1. Cette association a pour ambition daider les enfants tirer le meilleur parti des nouvelles tech-
nologies, en collaboration avec la Dlgation aux usages de lInternet et le ministre en charge
de la Famille.
2. www.e-enfance.org
cybercriminalite.book Page 155 Jeudi, 14. septembre 2006 8:25 20
doivent fortement samliorer. La qualit des sites proposs (liste blanche) est insuf-
fisante pour la plupart des FAI (Alice, Club, Free, Numricble).
Parmi tous ces logiciels tests, seul celui propos par AOL tire son pingle du jeu.
Il bloque plus de 90 % des sites contenant du sexe, de la violence et ceux vantant les
drogues ou proposant des jeux interdits aux moins de 18 ans. Celui dOrange (ex-
Wanadoo) sen sort aussi convenablement. Les autres logiciels souffrent en revanche
de plus grosses lacunes. Les listes blanches fonctionnent mal et le filtrage est gnra-
lement insuffisant, notamment pour ce qui est des sites prnant la haine ou la vio-
lence, contre lesquels une analyse smantique est ncessaire. Dautres sont de vraies
passoires. Celui de Club-Internet ne bloque que 37 % des jeux interdits aux moins
de 18 ans et 17 % des sites contenant des propos haineux ou violents (comme celui
dAlice, dailleurs). Mais le bonnet dne revient Free (qui nest pas membre de
lAFA). Son logiciel est jug par E-enfance comme compliqu pour les parents et
dsastreux pour les enfants . Non seulement il filtre mal les sites indsirables,
mais il est en outre le plus difficile utiliser. A signaler que Neuf-Cegetel et Tl 2
ne proposaient toujours aucune solution gratuite leurs abonns au moment de ce
comparatif (leurs logiciels taient payants mais leur performance ntait pas
meilleure daprs lassociation !).
Base sur lintelligence artificielle, une nouvelle gamme de logiciels pourrait per-
mettre damliorer sensiblement les performances du filtrage des fournisseurs. Dve-
lopps par la start-up franaise Adamentium, les logiciels LiveMark atteignent un
taux de russite de filtrage de 98 % selon ses concepteurs. ! Issu des ples dincuba-
tion de lEcole des mines dAls et de la rgion Languedoc-Roussillon, Adamentium
espre intresser lEducation nationale, les fournisseurs daccs internet (FAI) ou
les oprateurs de tlphonie mobile. Dvelopp en collaboration avec le centre de
recherche de lEcole des mines dAls (LGI2P), LiveMark ne fonctionne pas avec
des listes noires ou blanches comme les logiciels de filtrage des FAI, mais partir
dune analyse smantique du texte, des images et mme du contexte. Cette nouvelle
gnration de logiciels permet de refuser laccs toutes les pages indsirables dispo-
nibles sur lensemble du Web. De plus, elle na pas tendance bloquer les contenus
pdagogiques, comme par exemple ceux dducation sexuelle.
Dunod La photocopie non autorise est un dlit
En rsum
Malgr de beaux discours et une offre de plus en plus importante de logiciels de
scurit (et notamment de filtrage), la situation na pas beaucoup volu. Les
parents, et leurs enfants, sont peut-tre un peu mieux sensibiliss. Mais ils restent
nanmoins dmunis face ce terrible danger que reprsente la pdophilie sur
lInternet. Heureusement, la police et la Gendarmerie nationale disposent de sp-
cialistes aux comptences reconnues. Ils sont cependant en nombre trop faible.
cybercriminalite.book Page 157 Jeudi, 14. septembre 2006 8:25 20
13
Banques en ligne :
une scurit limite
Attendre patiemment son tour au guichet de sa banque nest plus quun (mauvais)
souvenir pour un internaute europen sur deux. Publie en mai 2006, une tude de
Forrester Research montre que prs de la moiti des internautes utilisent les services
en ligne de leur banque. Cette proportion varie selon les pays. Les Sudois (72 %)
sont ceux qui utilisent le plus ce service, suivis des Allemands (56 %), des Franais
(55 %) et des Britanniques (52 %). Les Italiens ne sont que 31 % grer leurs
comptes depuis leur ordinateur.
Les diffrentes affaires de hold-up numrique ou descroquerie financire ne
vont peut-tre pas inciter nos voisins transalpins franchir le pas. Dbut 2006, la
police franaise a dmantel un rseau franco-russe de malfaiteurs qui auraient russi
pntrer les comptes bancaires en ligne dune soixantaine de leurs compatriotes et
y retirer 200 000 euros. Selon lAgence France Presse, qui cite une source judi-
ciaire, les pirates avaient cr une socit fictive aux Etats-Unis, qui proposait des
intermdiaires franais baptiss mulets par les enquteurs de recevoir sur
leur compte personnel largent dtourn grce un virus tapis dans la mmoire de
lordinateur des victimes. Les mulets percevaient une commission de 1 % 5 %.
Des intermdiaires, rsidant en Allemagne ou en Espagne renvoyaient ensuite le
butin vers la tte du rseau, des membres de la mafia russe.
Ce nest pas la premire fois que ce genre descroquerie est mise en place dans
lHexagone. En 2005, lOCLCTIC (Office Central de Lutte contre la Criminalit
lie aux Technologies de lInformation et de la Communication) a arrt six per-
sonnes souponnes davoir effectu des virements frauduleux aprs avoir accd
aux comptes de clients dAxa Banque. Des mules dtournaient largent sur
leur compte avant de le transfrer via Western Union sur un compte en
cybercriminalite.book Page 158 Jeudi, 14. septembre 2006 8:25 20
Certaines banques font preuve dune certaine lgret en matire de scurit infor-
matique. Cest le constat de la CNIL qui a tudi dix sites de banques franaises.
Trop souvent, seul lidentifiant et un mot de passe, infrieur 7 caractres, sont
demands pour accder aux comptes. Une fois sur deux, les coordonnes sont mmo-
rises par lordinateur. Plus grave, quatre sites de banque en ligne ne sont pas en
transaction scurise HTTPS lorsque le client tape ses codes , constate le mensuel
60 millions de consommateurs dans son dition de janvier 2006.
Pire, sur le site de la Banque postale on peut mme consulter un certain type de
comptes (pour des raisons de scurit nous tairons son intitul) sans avoir besoin de
taper un mot de passe. Il suffit dentrer son numro de compte et de choisir, dans la
courte liste fournie, son centre financier. Deux informations faciles obtenir, par
exemple sur les relevs didentit bancaire ou sur les chques.
Ces failles expliquent, en partie, laugmentation du nombre dattaques visant ces
sites. En juin 2006, lAssociation Europenne de Management & Marketing Finan-
ciers (EFMA) annonce que 78 % des tablissements ont subi des intrusions dans
leur systme dans les 12 derniers mois, daprs une enqute2 ralise auprs des 150
premires institutions financires mondiales . On apprend aussi quun
tablissement sur deux a subi au moins une attaque venant de lintrieur .
Le phishing et le pharming sont les deux principales techniques utilises, suivies
des logiciels espions. Face cette dlinquance, 58 % des banques agissent pour
empcher les vols didentit bancaire, et presque toutes investissent dans des pare-
feux. Mais la formation adquate du personnel ne suit pas, dans deux tablissements
sur trois. Selon ltude, le cot des dfaillances dans la scurit bancaire avoisine
le million de dollars .
Il est difficile dobtenir des informations plus dtaills, surtout en France o les
milieux financiers, entre autres, ont le culte du secret. Les statistiques sont moins
opaques outre-manche. Le montant des fraudes sur les sites de banque en ligne bri-
sabilit sur le vendeur qui na pas trop de recours : une assurance, des prts long
terme afin de couvrir son risque
Ce sont pourtant les banques qui doivent se protger, estime Herv Schauer,
expert en scurit informatique. On peut difficilement demander lutilisateur de se
rendre compte quil se fait berner. Les banques, comme tous les dveloppeurs de ser-
vices en ligne, doivent partir du postulat que le PC de leurs clients est infect par
quantit de logiciels malveillants comme les spywares .
De son cot, Jean-Luc Jacob, responsable de la direction des nouveaux mdias du
Crdit Mutuel Nord Europe prcise que nous faisons raliser par une socit
externe un audit des applications et des services destins au client et faisons proc-
der une vrification de lintgrit de lensemble de nos systmes de scurit. Par
ailleurs, des tests dintrusion sont mens par une quipe interne dexperts, paule
par des correspondants scurit prsents au niveau rgional .
cybercriminalite.book Page 160 Jeudi, 14. septembre 2006 8:25 20
Pour de nombreux experts indpendants, il existe des solutions assez simples permet-
tant de limiter les risques. Dautres parades plus compliques napporteraient pas
ncessairement beaucoup plus de protection pour le grand public ou des PME ; elles
permettraient surtout aux vendeurs de solutions informatiques daugmenter leur
chiffre daffaires !
Il faut dabord que les banques surveillent les connexions de leurs clients,
dclare Herv Schauer. Si un client se connecte son compte depuis Paris et quune
demi-heure plus tard, il se connecte depuis une autre ville, la banque devrait mettre
en attente cette connexion. Un charg de clientle doit lappeler afin de vrifier et
valider cette opration. Il peut sagir en effet du conjoint qui effectue une transaction
car il a aussi le mot de passe et une procuration. Il ny a que American Express qui le
fait : si dans la mme minute vous achetez deux fois la mme chose sur Internet, la
socit vous appelle. Selon elle, la probabilit des cas o la personne a fait une erreur
est plus importante que le piratage et ca leur cote moins cher de mettre en attente.
Si elle narrive pas vous joindre, elle met en attente toutes les oprations faites sur
Internet mais ne bloque pas le paiement dun restaurant par exemple.
Mais ces parades se heurtent un terrible dilemme : faut-il mettre en place une
protection plus forte au dtriment dun service plus convivial ? Pour linstant, les sys-
tmes dauthentification forte ont du mal convaincre. Malgr les injonctions de la
Federal Deposit Insurance Corporation, lances ds 2004, les banques amricaines
ne se prcipitent pas pour renforcer leur scurit. Elles font pourtant partie des cibles
favorites des phishers ! En mars 2006, des chevaux de Troie dun genre particulier
ont t reprs. Ils taient conus pour intercepter les codes (TAN) exploits dans le
Dunod La photocopie non autorise est un dlit
cadre des mcanismes dauthentification forte mis la disposition des clients de deux
tablissements allemands, la Postbank et la Deutsche Bank.
Les banques se tournent aujourdhui vers la signature lectronique. Appele aussi
certificat numrique, cette solution est connue de tous les Franais qui font leur
dclaration de revenus sur le site du ministre de lEconomie et des Finances. Il sagit
en fait dun petit programme qui permet de scuriser des transactions de toutes sor-
tes. Cest lquivalent dune pice didentit lectronique qui permet dtre authen-
tifi chaque connexion.
Aprs les impts, ce sont donc les changes de donnes entre les clients et leur
banque qui ont recours la signature numrique. Depuis avril 2006, la Deutsche Post-
bank mise sur cette solution. Produite par TC Trust (premier fournisseur allemand de
certificats lectroniques cr par des banques), elle fonctionne uniquement avec le
logiciel de messagerie Outlook de Microsoft. Lorsque le client veut envoyer un e-mail
cybercriminalite.book Page 162 Jeudi, 14. septembre 2006 8:25 20
En rsum
Les attaques de phishing ont pargn la France par rapport dautres pays comme
les Etats-Unis, lAustralie et le Brsil. En limitant les possibilits de virements, les
tablissements financiers franais ont limit la casse. Pour linstant ! Car les
escrocs ont de limagination et savent contourner les obstacles. Le recours des
rseaux de mules dmontre que le systme bancaire nest pas infaillible. Cette
nouvelle adaptation du clbre Cheval de Troie devrait inciter les groupes ban-
caires redoubler defforts et sensibiliser de faon plus pragmatique leurs clients.
cybercriminalite.book Page 163 Jeudi, 14. septembre 2006 8:25 20
14
Les vigies dInternet
En 1989, un homme de 22 ans est arrt aprs avoir visit les systmes informatiques
de la Direction des Tlcoms Rseau National, filiale de France Tlcom, ainsi que
quelques autres gros systmes informatiques franais (EDF, Arospatial, CEA, etc.).
Cest la premire arrestation importante pour la police franaise. La mme anne, la
Direction de la Surveillance du Territoire (DST) arrte une cinquantaine de
hackers franais. Les autorits recherchent un individu un peu trop curieux puisquil
visitait les systmes informatiques dimportantes entreprises franaises comme
Thomson. Des informations rcupres lors dinfiltrations auraient t rcupres
par les services secrets allemands
Depuis, les arrestations font moins souvent la Une des journaux. Une vaste
escroquerie a nanmoins t rvle dbut juillet 2006. Cette affaire concernait le
site eBay. Fin juin, la police judiciaire parisienne a arrt six suspects. La brigade des
fraudes aux moyens de paiement (BFMP) a estim que le prjudice est, en ltat des
investigations, de 175 000 euros mais il pourrait dpasser les 300 000 terme . Ce
rseau aurait fait 375 victimes dont les numros de cartes bancaires ont t dbits
indment. Certains suspects travaillant la SNCF et la RATP auraient donc rcu-
pr toutes les donnes bancaires lorsque la personne passait leur guichet Une
fois en possession de ces informations, les prsums escrocs se connectaient sur le
site denchres et achetaient trs rapidement, dans un dlai de moins de 36 heures,
des appareils lectroniques. Et ensuite, ils les revendaient sur le mme site !
De nombreuses autres affaires sont en cours mais elles sont traites de faon plus
discrte (de l imaginer que certains pirates pris sur le fait collaborent avec certai-
nes entits officielles). Autres raisons de cette absence de publicit : plusieurs
accords lamiable sont obtenus et enfin les sites Internet sensibles (ceux des admi-
nistrations et des grandes entreprises) sont mieux protgs. Il y a aussi le fait que les
pouvoirs publics franais ont mis en place diffrentes structures spcialises.
cybercriminalite.book Page 164 Jeudi, 14. septembre 2006 8:25 20
Depuis le dbut des annes 2000, la France sest en effet dote de plusieurs entits
comptentes. Elles ont chacune des terrains daction privilgis. Cette multipli-
cit des services permet de traiter tous les types dactions criminelles lies au rseau
informatique. Mais cette diversit prsente aussi deux inconvnients. Pour le dput
Pierre Lasbordes La multiplication des acteurs publics dont les missions se chevau-
chent et dont les textes fondateurs sont peu prcis, donnent une impression gnrale
de confusion et dparpillement des moyens et des hommes. Dans cette nbuleuse,
lacteur public ddi, le SGDN et plus prcisment la DCSSI, souffre dun manque
dautorit et parfois de crdibilit auprs des publics concerns. Ces deux facteurs,
lparpillement des moyens et le manque dautorit du SGDN, nuisent lefficacit
de lEtat dans la dfinition et la mise en oeuvre de la politique globale de SSI.
Cette diversit de services est aussi un inconvnient pour les PME ou les particu-
liers car ils ne savent pas toujours qui sadresser Cette situation pourrait nan-
moins voluer. Comme les autorits britanniques, les pouvoirs publics franais
envisageraient de mettre en place un site Internet sur lequel tout le monde pourrait
signaler un incident informatique.
Figure 14-1 La scurit informatique est traite par de nombreux organismes en France.
cybercriminalite.book Page 165 Jeudi, 14. septembre 2006 8:25 20
14.1.1 La DCSSI
Place sous lautorit du Secrtaire gnral de la Dfense nationale, et donc du
Premier ministre, la Direction centrale de la scurit des systmes dinformation
(DCSSI) peut tre dfinie comme le rouage essentiel de la scurit informatique de
notre pays. Hritire du Service central de la scurit des systmes dinformation,
elle a t institue par dcret le 31 juillet 2001.
Dirige par Patrick Pailloux, un polytechnicien de 40 ans, la DCSSI a pour mis-
sion de :
Contribuer la dfinition interministrielle et lexpression de la politique
gouvernementale en matire de scurit des systmes dinformation.
Assurer la fonction dautorit nationale de rgulation pour la SSI (scurit des
systmes dinformation) en dlivrant les agrments, cautions ou certificats
pour les systmes dinformation de ltat, les procds et les produits cryptolo-
giques employs par ladministration et les services publics, et en contrlant
les Centres dvaluation de la scurit des technologies de linformation
(CESTI).
valuer les menaces pesant sur les systmes dinformation, donner lalerte,
dvelopper les capacits les contrer et les prvenir (COSSI)
Assister les services publics en matire de SSI
Dvelopper lexpertise scientifique et technique dans le domaine de la SSI, au
bnfice de ladministration et des services publics
Former et sensibiliser la SSI (Centre de formation la scurit des systmes
dinformation CFSSI). Outre de nombreux stages, dune dure allant de
quelques jours trois semaines, elle assure la scolarit du Brevet dEtudes
Suprieures de la Scurit des Systmes dInformation (BESSSI), dune dure
de deux ans. Cette formation de trs haut niveau, dispense des personnels
habilits de la fonction publique (essentiellement de la Dfense), est la seule
Dunod La photocopie non autorise est un dlit
Cest le seul centre oprationnel de veille 24h/24, sept jours sur sept, en
Europe, rappelle avec fiert Philippe Brandt, chef du COSSI. Dautres pays vont sui-
vre cet exemple. Singapour devait lancer le sien durant lt 2006 et les Allemands
et les Corens du Sud songent aussi crer une entit quivalente .
Compos de vingt-quatre personnes, quasiment toutes ingnieurs en informati-
que, le COSSI veille sur les rseaux et les systmes dinformation de lEtat et des ser-
vices publics. Par exemple, plus de 500 sites Internet officiels sont surveills toutes
les heures. Objectif : vrifier quils nont pas t dfigurs (defacement)1 ou
tests en vue dune attaque programme.
Les nuits et week-end, une personne assure la veille et trois autres sont places
en astreinte, prcise Philippe Brandt. Mais nous ne les avons encore jamais rappeles
en pleine nuit pour linstant car il ny a encore jamais eu dalerte pendant ces cr-
neaux de veille .
Mais sa mission ne se limite pas la veille. Officiellement, il est charg dassurer
la coordination interministrielle des actions de prvention et de protection face
aux attaques sur les systmes dinformation de lEtat. Il est compos dune unit de
Conduite & Synthse (CEVECS) et dune unit technique, le CERTA (centre
dexpertise gouvernemental de rponse et de traitement des attaques informatiques).
Chacune de ces units regroupe une dizaine de personnes.
Le COSSI intervient aussi sur deux points : la conduite dune crise (cest--dire
suite un incident informatique) et la conduite prventive.
Concernant le premier point, il se focalise sur deux aspects : comment lattaque
a-t-elle t techniquement ralise et quels sont les rseaux susceptibles dtre une
cible (et a fortiori comment assurer une protection efficace). Le COSSI ne traite
donc pas la source lorigine dune attaque, cet aspect tant rserv dautres servi-
ces gouvernementaux. La charge de travail est plus importante aujourdhui car
nous avons de plus en plus dincidents et des attaques de plus en plus sophistiques.
Il y a toutefois encore trs peu dattaques majeures , constate le responsable du
COSSI. Lorsquun incident informatique est signal par un ministre ou une admi-
nistration, le COSSI lance une expertise technique et rpond trois questions
principales :
sagit-il dune attaque majeure ciblant un ministre ?
sagit-il dun incident qui peut toucher dautres sites gouvernementaux ?
sagit-il simplement dune panne ou dune mauvaise manipulation ?
Limportant est de hirarchiser les impacts. Par exemple, le blocage dune appli-
cation majeure comme par exemple celle des cartes grises doit tre rapidement
gr , prcise Philippe Brandt.
Lorsque lorigine de lincident est dtermine, le COSSI travaille avec les autori-
ts comptentes. Les responsables scurit du ministre concern effectueront les
manipulations ncessaires.
Concernant le second point, cest--dire la prvention, le COSSI aide les minis-
tres mettre en place des protections et organise des exercices thoriques et rels
Dunod La photocopie non autorise est un dlit
Le CERTA
Le Centre dExpertise gouvernemental de Rponse et de Traitement des Atta-
ques informatiques a t cr en 1999 au moment du prsuppos bug de lan
2000 . Il a une mission prventive : reprer les vulnrabilits et les traiter.
Chaque jour, ce site (www.certa.ssi.gouv.fr) publie une moyenne de cinq avis
de vulnrabilit dtects sur des logiciels et accompagns des moyens de sen
protger. Plus de 1500 documents (avis, alertes, notes dinformation, recomman-
dations) sont disponibles. Une note dinformation du Certa liste ainsi les bons
rflexes en cas dintrusion sur un systme dinformation . Une recommandation
datant de juin 2005 numre les moyens de se protger contre une attaque
cible par cheval de Troie . Autant dinformations qui constituent une rf-
rence pour les systmes et les rseaux publics ou privs.
Le CERTA collabore avec le FIRST1, le TF- CSIRT2, les trois CERT3 franais et
la dizaine de CERT gouvernementaux dautres pays.
14.1.2.1LOCLCTIC
Cr en mai 2000, lOffice Central de Lutte contre la Criminalit lie aux Techno-
logies de lInformation et de la Communication est une structure vocation inter-
ministrielle (il regroupe donc des policiers et quelques gendarmes) place au sein de
Direction Centrale de la Police Judiciaire (DCPJ). Il lutte contre les auteurs
dinfractions lies aux TIC, enqute la demande de lautorit judicaire, centralise
et diffuse linformation sur les infractions lensemble des services rpressifs (DCPJ,
Douanes, Gendarmerie). A noter que la Prfecture de Police de la capitale dispose
dun service similaire, la Brigade denqutes sur les fraudes aux technologies de
linformation. Dirige par le commissaire principal Yves Crespin, la BEFTI (une
trentaine de personnes) a un rayon daction limit lIle de France alors que celui de
lOCLCTIC (35 personnes) est national.
Nous disposons aussi dune cellule de veille spcialise sur la fraude et la veille
technologique pour toutes les arnaques sur Internet 1, ajoute le Capitaine Eric
Freyssinet qui dirige le laboratoire de la Gendarmerie Nationale (recherche de la
preuve numrique dans les enqutes de police).
Il existe deux types denquteurs au sein de la Gendarmerie. Il y a tout dabord
quelque 160 enquteurs qui ont suivi une formation de six semaines. Il y a ensuite
des enquteurs IRCGN. Avec des experts en analyse scientifique des preuves, ils
recherchent des traces, rcuprent des donnes, analysent le fonctionnement de key-
loggers bancaires et les dispositifs de rcupration de caractristiques de carte ban-
caire en vue dune copie.
Adresses utiles
La Gendarmerie : il faut contacter le Service Technique de Recherches Judiciai-
res et de Documentation (STRJD) : judiciaire@gendarmerie.defense.gouv.fr
BEFTI : Son territoire est Paris et la petite couronne. 122, rue du Chteau des
Rentiers. 75013 Paris. Tel : 01 55 75 26 19.
OCLCTIC : cet organisme relve du Ministre de lIntrieur. 101 rue des Trois
Fontanots. 92000 Nanterre. Tel : 01 49 27 49 27.
cryptologie et une agence de renseignements. Elle emploierait quelque 100 000 per-
sonnes (voir chapitre 15) pour toute la chane de transmission (interception,
coute, dcryptement, analyse, traduction). Son budget nest pas connu.
Lautre service est le FBI. Les Fdraux ont dcroch quelques beaux tro-
phes. Pour dmanteler des rseaux illicites, le FBI nhsite pas se faire passer pour
des pirates. Ce fut le cas en octobre 2005. Lorganisme fdral a mis fin aux agisse-
ments dun important groupe de contrefacteurs de musique connus sous le pseudo-
nyme de 4CHOON. Pour schanger leurs chansons, cette bande avait ^ris le
contrle des serveurs sur lesquels il fallait montrer patte blanche pour y accder. Le
FBI a donc d se faire passer pour des pirates pour infiltrer ce rseau et mettre la main
dessus Les Fdraux exploitent aussi les comptences de pirates quils arrtent.
Cest le cas par exemple de Justin Petersen. Arrt en 1989 pour stre introduit sur
le rseau de TRW, il a t relch pour aider le FBI pister et arrter des pirates.
14.2.2 Le Royaume-Uni
La scurit informatique revt un aspect particulier outre-Manche1. Depuis 2003, le
Royaume-Uni sest dot dune stratgie nationale qui met laccent sur le partenariat
avec le secteur priv. Le pays a aussi mis laccent sur linformation des entreprises et
des usagers.
Cr en 1999, le National Infrastructure Security Co-ordination Centre sappuie
sur lUNIRAS (CSIRT gouvernemental) pour fournir aux oprateurs des infrastruc-
tures critiques des avis techniques, des informations sur les menaces, les vulnrabili-
ts et les niveaux dalerte.
Comme les autres Etats, le pays a aussi cr diffrents organismes spcialiss. Il y
a par exemple le Central Sponsor Information Assurance (CSIA) et le Communica-
tions and Electronic Security Group (CESG). Ce dernier est lquivalent de la
DCSSI en France.
14.2.3 LAllemagne
En 2005, le pays a adopt un plan national pour la protection des infrastructures
dinformation. Il comporte trois objectifs principaux :
la prvention afin de protger convenablement les infrastructures ;
la prparation afin de rpondre efficacement en cas dincidents de scurit
informatique ;
le maintien et le renforcement des comptences allemandes dans le
domaine SSI.
1. Source : La scurit des systmes dinformation : Un enjeu majeur pour la France . Rapport
du Dput Pierre Lasbordes. Novembre 2005.
cybercriminalite.book Page 173 Jeudi, 14. septembre 2006 8:25 20
En rsum
En dcembre 1907, Georges Clemenceau dote la France des Brigades rgionales
de police mobile , plus connues sous lexpression des Brigades du tigre . Pour
la premire fois, la police dispose de voitures et de moyens (coordination des
informations entre la police et la Gendarmerie, dossiers sur les criminels, anthro-
pomtrie) lui permettant de rivaliser avec les bandits. Un sicle plus tard, la
Dunod La photocopie non autorise est un dlit
15
Les tats qui copient
les pirates
1. Cyberabordage, Comment combattre les hackers, Armes daujourdhui, numro 302, juillet-aout
2005.
cybercriminalite.book Page 176 Jeudi, 14. septembre 2006 8:25 20
sur le sujet Tunis en 2006. Or, depuis quelques annes et en particulier depuis le
11 septembre 2001 les conceptions ont chang. Une loi comme le Patriot Act, offi-
ciellement institue pour lutter contre le terrorisme, a connu des dbordements qui
proccupent actuellement non seulement la justice amricaine et la socit amri-
caine dans son ensemble mais galement le monde entier, puisque les rcentes affaires
dcoutes plus ou lgales concernaient des ressortissants trangers, sur leur propre sol
national Mais dun autre ct, des groupes terroristes comme le Hezbollah ou Al Qaida
disposent de capacits et de personnels rompus aux techniques de cyber-guerre ou
de cyber-terrorisme .
Alors nouvel art de la guerre, nouvelle forme de renseignement ou nouvelle
thique ? Les pays sont-ils tents dutiliser les armes et les moyens des pirates et
autres hackers, pour la raison dtat ? Techniquement, cela ne reprsente aucune diffi-
cult. Entre recruter parmi llite universitaire ou embaucher quelques pirates repentis,
les Etats ne sont pas en mal de constituer des quipes importantes et extrmement
comptentes. Le problme se situe avant tout au niveau politique. Cest une question
de volont et de choix qui relve avant tout dune vision de socit. Nous sommes loin
de la phrase de Edgar J. Hoover1 qui affirmait quun gentlemen nespionne pas la cor-
respondance des autres . Depuis, le maccarthisme, le Watergate et les dbordements
sous couvert du Patriot Act ont montr que certains Etats ne reculaient devant aucun
moyen, fussent-ils ceux des pirates, pour exercer certaines fonctions rgaliennes pour
ne pas dire rganiennes2 . commencer par les Etats-Unis, modle dans bien des
domaines. Mais la transparence amricaine, presque nave est peut-tre larbre qui
cache la fort. Elle permet au moins davoir quelques informations, et de l de se faire
une ide. Malheureusement, dautres pays nont pas la mme attitude et cachent soi-
gneusement toute activit de ce type. Espionnage de ses propres citoyens, guerre co-
nomique, espionnage industriel, atteintes mdiatique aux personnes, guerre
informatique militaire tout lattirail des pirates est disponible.
Il nexiste que trs peu dinformations sur lutilisation de la guerre informatique offen-
sive par les Etats. Discrtion oblige. Encore moins quand les comportements de hackers
sont le fait de personnels gouvernementaux. Il y a fort parier que, pour les pays dmo-
cratiques du moins, le recours des mercenaires des pirates plus ou moins manipuls,
des socits de service spcialises, leur permet de garder les mains propres. Ltat
des lieux que nous prsentons a privilgi lexactitude des faits sur lexhaustivit3.
1. Le Monde, 24/6/2006.
cybercriminalite.book Page 178 Jeudi, 14. septembre 2006 8:25 20
taine pour les Etats-Unis. La Core du Sud, qui est lun des pays les plus informatiss
du monde (plus de 70 % des mnages ont un accs Internet haut dbit), craint
aussi pour sa scurit. En janvier, une infection virale a paralys le rseau Internet
national pendant plusieurs heures.
Mais les autres pays dAsie ne sont pas en reste, ne serait-ce que pour contreba-
lancer lexemple chinois. La Jemaah Islamiah recrute en ligne les auteurs de ses
futures cyber-attaques. Rohan Gunaratna, prsident de lInstitute of Defense and
Strategic Studies de Singapour et auteur de plusieurs ouvrages sur Al Qaeda et la
Jemaah Islamiah met en garde les nations du Sud-est asiatique contre la menace
grandissante des cyber-attaques terroristes. LInde dveloppe galement des capaci-
ts dans ce domaine. En 1999, elle se dotait dun Institut des Technologies de
lInformation et les premiers cours taient donns sur le campus temporaire de
Hyderabad dans le but de former les tudiants aux rudiments de la cyber guerre. En
2002, est ne luniversit de Dfense nationale (National Defense University) dont
lobjet est la guerre de linformation et la rvolution numrique. Paralllement,
lInde a mis au point une stratgie de cyber-guerre incluant lassistance du secteur
priv du logiciel. Le dveloppement de moyens par le gouvernement indien sexpli-
querait notamment par les activits offensives du Pakistan dans le domaine num-
rique. Selon Ankit Fadia, un consultant en scurit informatique indien, les
services de renseignements pakistanais paient des pirates occidentaux entre 500$ et
10.000$ pour dfacer des sites indiens. Les groupes hacktivistes dfacent
selon lui jusqu soixante sites par mois. LInde sest donn les moyens dune relle
politique de dveloppement informatique et a fait en sorte dintgrer la cyber-
guerre dans sa doctrine militaire.
2004. Parmi les sites viss figuraient celui de la plus grande banque isralienne, Bank
Hapoalim, ainsi que celui dun hpital de Hafa, de BMW Isral, Subaru Isral et
Citron Isral (source AFP du 30 juin 2006).
De faon plus gnrale, Pierre de Bousquet, patron de la DST, affirme que le ris-
que de cyber-terrorisme est bien rel1 et quil est devenu une proccupation de ltat
franais. Dans ce contexte, affirme-t-il, les entreprises mais galement lEtat sem-
blent vulnrables avec des possibilits de plus en plus rduites de mettre en uvre
des solutions de protection efficaces . Il estime quen 2000 prs de 100 % des grou-
pes terroristes islamiques utilisent le web.
Enfin, en ce qui concerne un pays comme Isral, il est difficile de savoir avec pr-
cision quel est le niveau dengagement en matire de cyber-guerre. Ds le dbut des
annes 90, des souches virales comme celles de SURIV ont t attribues aux servi-
ces du Mossad. Lutilisation de techniques assimilables du hacking ou du piratage a
souvent t cite (en fvrier 1998, lespionnage de militants islamiques Berne, par
exemple, ou llimination de Y. Ayyash aprs avoir pirat distance son tlphone
portable en 1996). Un ouvrage comme celui de Nima Zamar2, ancien membre du
Mossad, est rvlateur. Cette agent a utilis le pigeage dordinateurs palestiniens et
son tmoignage indique que ces techniques sont dun usage courant.
Le niveau scientifique des Israliens ainsi quune diaspora soude et puissante,
assurant complicits et soutien logistique, rend ce type dattaques assez aises.
capacits : extension au systme Windows (alors quil tait limit initialement aux
systmes Solaris), gestion de la corruption de donnes, identification de cibles prci-
ses, analyse des protocoles DHCP et Radius, adaptation aux variations brutales des
flux du rseau, traitements automatiss des packets intercepts, interception FTP et
du courrier lectronique. Bref, le produit est devenu une vritable centrale despion-
nage en temps rel des diffrents trafics sur Internet.
1. Les informations prsentes ici sont tires de documents dclassifis amricains et du rapport
officiel du Electronic Privacy Information Center, rdig la demande du Dpartement de la Jus-
tice des Etats-Unis. Ltude technique a t ralise par un institut de recherche indpendant :
S. P. Smith et al. Independant Review of The Carnivore System Final Report, IITRI CR-030-
216, December 2000, IIT Research Institute.
2. http://www.epic.org/privacy/carnivore/ ; voir galement http://www.akdart.com/carniv.html
cybercriminalite.book Page 184 Jeudi, 14. septembre 2006 8:25 20
Carnivore provoque toujours des controverses (le systme est toujours utilis
sous le nom de DCS 1000) mais il est trs difficile, malgr labondance de docu-
ments officiels, de dterminer comment et dans quel but ce systme a t utilis.
Critiqu par le Congrs amricain, inquit par la justice, ce projet trs
activement soutenu par ladministration Clinton a soulev des vagues de pro-
testations dans lopinion publique amricaine, qui craint un usage incontrl de
cette technologie. Au-del de ces considrations, le plus dsolant est que si leffi-
cacit de ce projet a pu tre tablie par la justice amricaine, travers des cas rv-
ls, le projet Carnivore a semble-t-il galement connu de graves dfaillances,
allant jusqu interfrer avec les enqutes sur Ben Laden. En effet, linterception
incontrle, en mars 2000, suite une dfaillance du logiciel, de cibles non auto-
rises, a t lamentablement gre. Pris de panique, les oprateurs ont dtruit
lensemble des enregistrements, lesquels contenaient des preuves dactivits terro-
ristes du rseau Al-Qada1.
Le projet Carnivore prsentant des dfauts et des limitations (notamment en
terme dusage car les interceptions sont statiques), un second projet plus ambitieux
mais galement plus contestable a t lanc et rvl par le FBI en novembre
20012. Magic Lantern. Il semble tre une partie seulement dun projet plus vaste,
dnomm CyberKnight (chevalier du Cyberespace), lui-mme constituant une
extension amliore du projet Carnivore (version 3.0).
Magic Lantern est en fait un ver espion ralisant de linterception de clavier. Une
fois la machine cible infecte, il est capable dintercepter tout ce qui est entr au
clavier : mot de passe, clef de chiffrement, donnes Ces donnes sont ensuite ren-
voyes de manire scurise vers les analystes du FBI (ou de la NSA ventuelle-
ment)1. Lintrt de cette technologie est dtre mobile et donc de pouvoir grer
dynamiquement les cibles, en plus grand nombre que ne le faisaient les versions initia-
les du projet Carnivore. Comment est utilis ce ver prsent ? Nul ne le sait vrai-
ment. Mais le plus inquitant est la raction de certains vendeurs de logiciels antivirus
face au projet Magic Lantern. Certains dentre eux auraient modifi leurs produits afin
que Magic Lantern ne soit pas dtect. Selon Ted Bridis, du Washington Post, au moins
une socit Network Associates, diteur du logiciel McAfee a contact le FBI
pour lui assurer que Magic Lantern ne serait pas dtect par son antivirus
Dans cette atmosphre scuritaire et de peur citoyenne de dvoiements, les rv-
lations de la NSA, le 29 dcembre 2005, nont certainement pas arrang la situa-
tion. Elles ont contribu jeter un peu plus de trouble sur la nouvelle politique
amricaine en matire de scurit. La NSA utilise depuis quelques mois des cookies
et web bugs comme mouchards lectroniques. Si les cookies soccupent des pages
visits, les web bugs permettent galement la surveillance des courriers lectroni-
ques. Les cookies sont de petits fichiers textes stocks par votre navigateur Web sur
le disque dur, quand vous visitez un site Web. Ils servent (entre autres choses)
enregistrer des informations sur le visiteur ou encore sur son parcours dans le site. Le
webmaster peut ainsi reconnatre les habitudes dun visiteur.
Les web bug sont gnralement des images GIF transparentes2, de la taille dun pixel,
places dans une page Web ou un courrier lectronique au format HTML. Ils sactivent
lors du tlchargement de la page et lancent une requte un serveur distant qui collec-
tera des informations sur linternaute son insu. Parmi les informations pouvant tre
ainsi rcupres, figurent ladresse IP, le nom et la version du systme dexploitation et
du navigateur utiliss, ou mme encore la rsolution de lcran de linternaute. Ces fonc-
tionnalits sont galement prsentes dans certains documents bureautiques3. Ces dispo-
sitifs ont t insrs notamment sur le site web de la Maison Blanche Washington4.
Pourtant, lusage de ces technologies est interdit aux Etats-Unis (loi de 1994).
Si ces trois cas sont dsormais connus, force est de constater que bien des zones
dombre subsistent, non seulement sur les capacits techniques de ces outils mais
surtout sur leur utilisation relle, et notamment dans ce qui ressemble des uvres
Dunod La photocopie non autorise est un dlit
1. Une description technique de la technologie Magic Lantern, ou du moins de son principe, est
dcrite dans le chapitre 13 du livre Les Virus Informatiques : thorie pratique et applications ,
Springer Verlag France, 2004.
2. Lutilisation dimages transparentes permet galement lactivation de certains types de virus de
manire indtectable. Voir dans Eric Filiol, Les virus informatiques : thorie pratique et
application , Springer Verlag France 2004 (pages 106 et suivantes).
3. Lire La fuite dinformations dans les documents propritaires , Journal de la scurit informati-
que MISC, numro 7, mai 2003, pp. 3541.
4. Anick Jesdanu, White House to InsvestigateContractors Web Tracking,Technologies may violate
Policy, Associated Press du 30 dcembre 2005.
cybercriminalite.book Page 186 Jeudi, 14. septembre 2006 8:25 20
Cette affaire1 clata en 1995. Elle constitua un vritable cataclysme dans le monde
feutr du renseignement, de lespionnage et des relations internationales. Elle fut en
fait juste lpilogue et en mme temps le rvlateur au public dune histoire
trs particulire. Depuis prs de 50 ans les services de renseignements amricains
lisaient livre ouvert les communications secrtes chiffres (diplomatiques, mili-
taires, politiques, conomiques et commerciales) de prs de 120 pays. Ils y taient
parvenus en sassurant que le plus important manufacturier de machines chiffrer
la socit Crypto-AG en Suisse insrait dans les machines vendues ces pays des
dispositifs permettant de briser les codes plus facilement soit lalgorithme tait
affaibli soit la clef tait dissimule dans le texte chiffr linsu du chiffreur.
Cet espionnage a dur de 1947 1992, cest--dire jusquau moment o les Ira-
niens clients de Crypto AG pour leurs propres besoins en machines chiffrer
ont commenc avoir des doutes quant la scurit de leurs communications. Des
dclarations faites par des politiques dans la presse, mettant en cause lIran et ses
actions terroristes (enlvement du journaliste Charles Glass en 1987, attentat con-
tre le vol 103 de la PanAm Lockerbie, assassinat de Shahpour Bakhtiar en 1991,
attentat dans un discothque Berlin) ont trs vite incit les Iraniens penser
que leurs communications chiffres les plus secrtes taient dcryptes par les Occi-
dentaux. De l souponner leur unique fournisseur, Crypto AG, il ni eu quun pas.
loccasion de son 25e voyage commercial en Iran, Hans Buehler, le super ven-
deur de la socit suisse, est arrt sous les charges despionnage pour le compte des
services allemands et amricains . Il a t retenu en captivit pendant 9 mois. Les
Iraniens ont tent (en le torturant psychologiquement) de savoir si les machines qui
leurs taient vendues taient affaiblies ou non. Crypto AG ngocia avec lIran et
paya une ranon de un million de dollars (somme paye en collaboration avec la
socit Siemens dont le nom a galement t voqu dans les collusions avec les ser-
vices amricains) pour la libration de son employ. Cette affaire aurait pu
sarrter l et il ny aurait jamais eu de scandale. Mais la socit licencia ds son
retour Hans Buehler et exigea quil rembourse la ranon paye aux Iraniens, sous
prtexte davoir livr des secrets de la socit. Cette attitude provoqua la suspicion
et les enqutes journalistiques. Elle a galement effray plusieurs salaris. Ces der-
niers ont alors commenc parler et raconter ce quils savaient.
Que rvla cette affaire ? Simplement que les services amricains (la NSA) et
allemands (le BND) avaient ngoci avec la socit Crypto-AG pour que toutes les
machines chiffrer vendues ltranger soient affaiblies afin den permettre le
1. Plusieurs sources officielles ont t utilises ici. Nous en indiquons que les principales. Le lec-
teur pourra consulter larticle de Wayne Madse, Crypto-AG : The NSAs Trojan Whore ?
(Crypto-AG, la prostitue de la NSA ? ), Covert Action Quarterly, Numro 63, 1998. Louvrage
tmoignage de Hans Buehler lui mme, Verschlsselt - Der Fall Hans Bhler , crit par
un journaliste Res Strehle, aux ditions Werd Verlag, 1998, ISBN 3-85932-141-2. Enfin,
larticle de J. Orlin Grabbe, NSA, Crypto AG, and the Iraq-Iran Conflict , novembre 1997.
cybercriminalite.book Page 187 Jeudi, 14. septembre 2006 8:25 20
En rsum
Ces quelques exemples montrent tout lintrt des techniques de piratage pour les
Etats qui les emploient ou du moins sy intressent . Une certaine transparence
amricaine a permis travers ces quelques cas dimaginer ce que peut tre le
ct obscur . Mais dautres pays ne communiquent pas sur le sujet alors quil est
maintenant avr quils disposent dentits de LIO (Lutte Informatique
Offensive) ou assimiles (ce qui est de toute logique). Outre les pays cits dans ce
chapitre, dautres sont trs probablement dots de telles structures et ne le disent
pas.
Tous ces pays ont compris limmense potentiel que constitue le champ numri-
que. Et les entreprises prives galement. Elles se lancent dans la production et la
fourniture de logiciels adapts . Ainsi, le meilleur outil de dsassemblage au
monde, IDA Pro, nest disponible que pour les agences gouvernementales et le
logiciel DIRT, vendu aux seuls militaires et policiers, par la socit Codex Data
Systems, permet de disposer de vritables outils dignes des meilleurs pirates. Ces
socits sont en quelques sortes les marchands darmes de demain. Les champs de
bataille sont dsormais les rseaux et chacun dentre nous, que ce soit au niveau
professionnel ou personnel, est une cible potentielle. Dans ce domaine, il ny a
pas vraiment de temps de paix.
Le plus proccupant est la facilit avec laquelle une socit dmocratique pourrait
basculer dans la pire des dictatures et sans que personne ne sen rende compte. De
la lutte contre les criminels et les terroristes la surveillance du citoyen, laquelle
peut prter tous les dbordements, la frontire est mince. Les outils sont en
place et nous entourent.
Orwell tait peut-tre un visionnaire.
Dunod La photocopie non autorise est un dlit
cybercriminalite.book Page 190 Jeudi, 14. septembre 2006 8:25 20
16
La lgislation
face la cybercriminalit
Pour diffrents juristes que nous avons rencontrs, la France est un modle en
matire de rglementation. Les articles 323 1, 2 et 3 de notre Code pnal sont
courts mais ils sont efficaces et ils font jurisprudence depuis 1988 , indique matre
Eric Barbry, directeur du dpartement nouvelles technologies au cabinet Alain
Bensoussan.
Ainsi larticle 25 de la Loi informatique et liberts permet par exemple de con-
damner quelquun qui rcupre des donnes au moyen dun logiciel espion (spyware)
ou dun robot. De son ct, la loi Godfrain permet de condamner une personne uti-
lisant un keylogger (enregistrant par exemple les mots de passe taps sur un ordina-
teur) ou une application malveillante charge dcouter et de rcuprer les
flux de donnes dun rseau. Cette loi sanctionne aussi lassociation de malfaiteurs
en matire informatique.
cybercriminalite.book Page 193 Jeudi, 14. septembre 2006 8:25 20
Bien que peu de pays laient encore ratifie, Eric Barbry se montre optimiste :
Ce texte est remarquable par la vitesse laquelle il a t adopt. Gnralement, il
faut 10 20 ans pour quune convention internationale soit signe et ratifie. Cest
le signe quon a pris, au niveau international, conscience trs vite de la
cybercriminalit . Mais pour ce spcialiste, cest aussi le signe que lUnion euro-
penne na pas ncessairement pris contrairement au conseil de lEurope la
mesure de la cybercriminalit en privilgiant avant tout le dveloppement du com-
merce lectronique . Son maitre-mot est : on va ouvrir le march de llectronique .
Le Conseil de lEurope na pas la mme vue puisquil veut lutter contre le
cybercrime !
Dunod La photocopie non autorise est un dlit
denvois par les utilisateurs pour identifier tout changement dhabitude suspect,
dconnexion des ordinateurs contamins (en avertissant leurs propritaires !), limi-
tation de la bande passante qui leur est alloue, assistance aux abonns pour dsin-
fecter leur PC, etc.
Lgislation dj adopte
Autres lois
Lgislation en cours
Aucune lgislation
Figure 16-1 Plusieurs pays ont dj adopt une lgislation contre le spam
comme lAustralie, les Etas-Unis, lUE, et le Japon
Pionniers dans ce domaine, les Etats-Unis sappuient sur la loi CAN Spam (Con-
trolling the Assault of Non Solicited Pornography and Marketing), vote en 2003, qui
prvoit jusqu cinq ans de prison et de lourdes amendes (jusqu six millions de dol-
lars) pour le non-respect de ses principes fondamentaux.
Ce dispositif rpressif a permis de condamner lourdement quelques spammeurs
(mais les Etats-Unis restent malgr tout le premier pays metteur de spams en avril
2006 juste devant la Chine). En 2003, le FBI a arrt lun des plus importants spam-
Dunod La photocopie non autorise est un dlit
meurs au monde en sappuyant sur cette loi. Pour promouvoir son activit de phar-
macie illgale en ligne, cet Amricain de 30 ans aurait mis un milliard de courriers
indsirables depuis son bureau install en Rpublique dominicaine !
En juin 2006, une cour fdrale du Texas a condamn un trio de spammeurs une
amende et des frais de justice de 10 millions de dollars. Ce groupe de spammeurs est
souponn davoir t lun des membres du Top 5 des plus gros metteurs de spams
dans le monde. Lun des spammeurs utilisant plus de 200 identits pour envoyer ses
millions de-mails. Avec ses deux autres complices, il aurait envoy 25 millions de
spams chaque jour en 2004.
Concernant le Vieux continent, le Parlement europen a adopt en juillet 2002
une directive qui pose le consentement pralable du destinataire comme condition
lenvoi de messages. Cest le principe de opt-in (littralement opter pour
entrer ). En clair, linternaute ne doit pas recevoir de courrier commercial sans son
cybercriminalite.book Page 196 Jeudi, 14. septembre 2006 8:25 20
feu vert. Propos par la Commission europenne en mars 2004, le programme Safer
Internet Plus (2005-2008) est dot dun budget de 45 millions deuros. Il vise lutter
contre les contenus Internet illicites et prjudiciables. Il couvre galement dautres
mdias comme les supports vido et est explicitement conu pour combattre le
racisme et les communications lectroniques commerciales non sollicites (spam).
En France, la collecte dloyale de donnes est sanctionne par larticle 226-18 du
Code pnal et dans toute lUnion europenne, depuis la directive 95/46 sur la pro-
tection des donnes. Larticle 226-16 du Code pnal prcise : Le fait, y compris par
ngligence, de procder ou de faire procder des traitements automatiss dinfor-
mations nominatives sans quaient t respectes les formalits pralables leur mise
en uvre prvues par la loi est puni de trois ans demprisonnement et de
45 000 euros damende.
La premire condamnation remonte mai 2004. Un commerant du Midi a t
condamn verser 22 000 euros de dommages intrts et de frais de justice pour
non-respect des conditions gnrales dutilisation dAOL et Hotmail. Au printemps
20061, la Cour de cassation a confirm lamende inflige la socit Alliance
Bureautique Service qui a exploit durant quelques mois en 2002 les logiciels
aspirateurs (Robot Mail et Freeprospec). Lobjectif tait en effet de collecter sur
Internet des adresses de courriers lectroniques de personnes physiques afin de leur
adresser des messages caractre publicitaire.
En se rfrant notamment larticle 226-18 du Code pnal, lequel interdit et
sanctionne toute collecte dloyale ou illicite de donnes nominatives de personnes
physiques, la Cour a donc rejet le pourvoi dABS qui contestait larrt de la Cour
dappel de mai 2005. Cette juridiction lavait condamn une amende de
3000 euros pour dlit de collecte de donnes nominatives aux fins de constituer
des fichiers ou des traitements informatiques par un moyen frauduleux, dloyal ou
illicite . Rappelons quen dcembre 2004, le tribunal correctionnel de Paris avait
relax ABS. La Cnil (Commission nationale de linformatique et des liberts) avait
demand au parquet de faire appel de cette dcision.
Les principales condamnations ont lieu aux Etats-Unis, pays qui hberge le plus
de sites de phishing (voir chapitre 4). En juin 20061, un phisher de 23 ans a t con-
damn 21 mois de prison ferme assorti dune amende de 45 565 euros. Entre jan-
vier 2003 et juin 2004, il a envoy des spams afin de diriger les clients MSN vers son
site sur lequel les internautes taient invits mettre jour leurs informations ban-
caires et leurs numros de carte de crdit en change dune remise de 50 % sur un
mois dabonnement au service MSN. Repr par Microsoft ( qui appartient ce ser-
vice de messagerie), lescroc a t arrt par le FBI.
1. www.vnunet.fr. 23.06.2006
2. Magazine CSO. 15/09/2005
cybercriminalite.book Page 198 Jeudi, 14. septembre 2006 8:25 20
Knowledge). Elle vise notamment les entreprises de marketing en ligne qui ne doi-
vent plus rediriger la page daccueil par dfaut du navigateur Web vers un site
vocation marchande. Est galement dans la ligne de mire de la proposition de loi, le
fait dempcher la fermeture dune fentre publicitaire intrusive (pop up), qui ne
peut tre effective quaprs arrt du navigateur Web lui-mme. Paralllement cette
loi, lEtat de lUtah a adopt une lgislation spcifique dnomme Spyware Con-
trol Act . Cette loi ne contient pas seulement linterdiction dinstaller des logiciels
espions linsu de lutilisateur, mais pnalise aussi la production de tels logiciels.
Tout contrevenant pourra tre sanctionn dune amende pouvant aller jusqu
30 000 euros, voire davantage si les dommages sont plus levs.
Pour Eric Barbry, nous allons passer dun droit la scurit une obligation de
scurit. Prenons lexemple de la jurisprudence Tati1. Celle-ci dit en substance :
vous ne pouvez pas bnficier de la protection au titre de la loi Godfrain car vous navez
pas scuris votre rseau . Cest comme un particulier qui laisse sa maison ouverte et
qui ne se fait pas rembourser par son assureur aprs un cambriolage . Concernant le
rseau informatique, cette volution ne vas pas sans poser de problmes selon
lavocat du cabinet Bensoussan : Il y a une diffrence entre le numrique et la
voiture : on sait quune voiture qui nest pas la vtre ne vous appartient pas ! Or, on
ne peut pas toujours faire la diffrence entre les pages web dun site Internet et celles
1. www.secuser.com/dossiers/affaire_tati_kitetoa_analyse.htm
cybercriminalite.book Page 199 Jeudi, 14. septembre 2006 8:25 20
dun rseau interne (Intranet) dune entreprise. On peut par contre condamner la
personne qui simmisce dans un Intranet o il y a des tags ou des annonces qui
rappellent quon ne peut pas recopier et publier ces documents qui sont protgs par
un copyright. Par contre, si les donnes ne sont pas cryptes ou protges la
personne ne peut pas savoir si ce sont des donnes prives !
Cette volution permettra aussi de mieux lutter contre lintelligence conomique.
En rsum
Aprs un temps de retard, les pouvoirs publics ont mis en place tout un arsenal
juridique efficace. Les escrocs en tout genre (spam, phishing, intrusion) peuvent
tre condamns lourdement. La coopration internationale et lharmonisation
des procdures devraient accentuer la pression sur les cyberdlinquants. Les auto-
rits sont donc sensibilises. Il reste maintenant lessentiel : informer correcte-
ment les entreprises et les particuliers sur les dangers lis linformatique afin
quils dposent plainte plus facilement et soient surtout plus vigilants.
Dunod La photocopie non autorise est un dlit
cybercriminalite.book Page 200 Jeudi, 14. septembre 2006 8:25 20
17
Lavenir de la cyberdlin-
quance : les prochaines cibles
17.1 LA MOBILIT
exemple) envahissent notre espace sans que nous en soyons bien conscients.
Combien dutilisateurs dun mobile de dernire ou avant-dernire gnration savent
ou devinent que leur appareil est en ralit un vritable petit ordinateur ?
Les pirates, eux, le savent ! Ils ne sy sont pas tromps et les attaques fleurissent.
Tout ce que lon connat en matire dattaques informatiques pour les ordinateurs
traditionnels a t transpos au monde du mobile dans son acceptation la plus large :
virus, vers, dnis de service, phishing (voir les chapitres 4 et 5)1 Tout y est. Et le
pire, avec le dveloppement de cette informatique, est venir. Pour le moment, le
nombre de cibles potentielles est relativement limit car les abonns ne changent
pas de mobiles aussi souvent que le souhaiteraient les constructeurs et oprateurs.
Mais lapparition de nouvelles normes de connexion (tlphonie 3,5 et 4G) et ses
nouveau services multimdias et interactifs pour forcer la consommation
devraient accentuer le risque.
La plante narrte pas de tlphoner ! Au rythme actuel de croissance du march
(22,5 % au deuxime trimestre 2006, 26 % au premier), il devrait se vendre un mil-
liard de tlphones mobiles sur lanne 2006. Le seuil des 2 milliards dutilisateurs
dans le monde a t franchi en dcembre 2005 et celui des trois pourrait tre atteint
vers 2010. En France, les derniers chiffres de lArcep indiquaient un taux de pntra-
tion suprieur 80 % la fin de juillet 2006 avec plus de 48 millions dusagers.
Ces quelques chiffres ont de quoi faire saliver bien des escrocs en tout genre. Ima-
ginons que seulement 1 % de ces utilisateurs soient victimes dune attaque informa-
tique, cela reprsente quelque 20 millions de victimes ! Mais il est assez difficile
dobtenir des statistiques dans ce domaine. Les constructeurs de tlphones et sur-
tout les oprateurs ne pratiquement pas la transparence : il ne faut pas effrayer le
client potentiel. En fvrier 2006, 267 codes malveillants pour smartphones ont t
rpertoris. Officiellement, seule une trentaine sont efficaces et seulement cinq
seraient rellement actifs. Mais cela correspond-t-il la ralit ? Des discussions off
avec des spcialistes du domaine notamment appartenant aux socits de fourni-
ture daccs semblent indiquer le contraire, sans quil faille cder la panique. Un
virus comme CommWarrior a fait des dgts qui ne sont pas forcment connus du
grand public, avec pour consquence de la surfacturation de MMS.
Les messages MMS sont des messages contenu multimdia grs par les smart-
phones utilisant le systme dexploitation Symbian ou les tlphones compatibles.
Ces messages peuvent contenir toutes sortes de donnes (images, sons, vido, fichier
dinstallation). CommWarrior attaque les portables de la srie Symbian 60 et se
rpand via les messages de type MMS ou via le protocole Bluetooth. Dans ce dernier
cas, il recherche tous les appareils proches quil peut atteindre par ce protocole.
Enfin, le ver envoie des MMS aux contacts prsents dans le carnet dadresses,
avec le ver en pice jointe provoquant ainsi de la surfacturation (quelques dizaines
de MMS par minute).
1. Philippe Richard, Les smartphones, nouvelles cibles des pirates , Les Echos, 30 mars 2006, p.31.
cybercriminalite.book Page 203 Jeudi, 14. septembre 2006 8:25 20
Figure 17-1 Le fichier SIS infect est alors envoy ( gauche) et propos linstallation.
Le nom du fichier est alatoire ( droite).
Dunod La photocopie non autorise est un dlit
Les messages incitant la personne activer le fichier SIS sont nombreux et utili-
sent tous lingnierie sociale. En voici quelques-uns :
3DGame from me. It is FREE ! Security update #12 Significant security update. See
www.symbian.com
1. Certaines sont tires de M. Morvan, Quelles menaces pour les tlphones mobiles ? Actes de la
confrence SSTIC 2005. Disponible sur http://www.sstic.org/ .
cybercriminalite.book Page 205 Jeudi, 14. septembre 2006 8:25 20
ments mobiles reprsentent des accs pouvant tre utiliss pour pntrer les
systmes classiques, pourtant protgs par un firewall. Mais l, ces priphri-
ques se connectent derrire ces barrires.
Les problmes datteinte la vie prive : mobiles, par dfinition, ces environ-
nements vous suivent partout et renvoient de nombreuses informations sur
vous et votre position.
Ce qui vient dtre voqu ne concerne pas seulement les tlphones mobiles,
mais tous les environnements informatiques. Les premiers virus destins la console
portable de Sony (la PSP) et celle de Nintendo (la DS) ont t identifis en 2005 :
Trojan.PSP.Brick.a pour la premire et Trojan.NDS.Taihen.a pour la seconde. On a
beaucoup parl, cette mme anne, de virus ayant infect des ordinateurs de bord de
voitures (via une connexion Bluetooth, lors doprations de maintenance). Mme
sil faut tre prudent sur la ralit de ces cas le manque de transparence des
acteurs industriels naide pas vraiment , les donnes techniques disponibles ne
manquent pas ; elles prouvent que techniquement linfection est ralisable.
En plus dtre mobile, linformatique devient de nos jours invisible et de fait omni-
prsente. La domotique est souvent voque. Microsoft et dautres constructeurs y
travaillent depuis plusieurs annes pour exploiter ce qui est prsent comme lun des
Eldorado des nouvelles technologies. Pour schmatiser, la domotique permet de
rgler le chauffage de son appartement et de fermer les volets distance (via son
tlphone par exemple) ou de commencer faire rtir un poulet dans le four (
condition quil y soit). Quelles possibilits seront alors offertes au pirate qui
pourra se connecter votre rfrigrateur en ligne et vous faire livrer quelques
dizaines de yaourts. Science-fiction ? Rien nest moins sr. Les premiers rfrigra-
teurs connectables au rseau existent dj et de grandes enseignes les proposent
leur catalogue. Imaginons quun malfrat puisse rcuprer des donnes personnelles
Dunod La photocopie non autorise est un dlit
1. Elle permettait la Royal Air Force de distinguer les avions allis des avions ennemis, une sorte
danctre de lIFF.
cybercriminalite.book Page 206 Jeudi, 14. septembre 2006 8:25 20
1. Gildas Avoine, RFID et scurit font-elles bon mnage ? Actes de la confrence SSTIC
2006, p. 400-409. Disponible sur http://www.sstic.org.
cybercriminalite.book Page 207 Jeudi, 14. septembre 2006 8:25 20
Figure 17-3 Ces nouvelles tiquettes sont utilises dans les bibliothques
pour grer les fonds bibliothcaires et lutter contre le vol.
1. La socit Carrefour a sign en fvrier 2006 un contrat avec le fabricant Checkpoint Systems
pour quiper ses 179 magasins.
2. Les passeports des citoyens amricains intgrent une telle tiquette. Mais la peur de la voir uti-
liser par des terroristes et ainsi identifier facilement leurs cibles a oblig modifier le systme.
Les tags nmettent pas lorsque le passeport est ferm
cybercriminalite.book Page 208 Jeudi, 14. septembre 2006 8:25 20
pour la technologie RFID sest empress de nier ou au moins damoindrir ces rsul-
tats. Si ces rsultats utilisent des faiblesses supposes dans le systme et sont donc
discutables quant une efficacit relle, ils nen demeurent pas moins importants
car ils illustrent le fait que la moindre faille dans le systme sera techniquement et
immdiatement exploitable. Mais qui pourra contrler un systme devenu invisible
et omniprsent ?
Ceux lis lutilisation de cette technologie. On ne peut sempcher davoir une
vision orwellienne de ce que sera la socit gouverne par la technologie RFID. Qui
pourra empcher un dirigeant dentreprise, un gouvernant extrmiste, une dicta-
ture den faire un usage que lon ose imaginer. Avec le RFID, le pirate peut trs
bien tre lEtat lui-mme. Imaginons ce que la technologie RFID a d permettre de
faire depuis que le Patriot Act a t vot outre-Atlantique. La traque multicritres des
citoyens sera alors possible. Certes, en France, la CNIL veille mais avec une techno-
logie invisible en aura-t-elle la possibilit ?
Figure 17-4 Le pire rside certainement dans tags RFID implants sous la peau.
Ce qui tait jusqu prsent rserv aux bovins et autres animaux sappliquera
alors aux hommes. Des botes de nuit Rotterdam et Barcelone proposent leurs
clients VIP qui trouvent cela tendance de se faire implanter sous la peau
un moyen de paiement RFID. Au Mexique, en Australie les personnels de tribunaux
ou de banques se font implanter de tels tags des fins didentification.
Dunod La photocopie non autorise est un dlit
En rsum
Au fur et mesure que linformatique et les technologies numriques simmiscent,
souvent linsu des utilisateurs, les risques dattaques et dinfection en tout genre
se multiplient. Les tlphones portables, et de faon plus gnrale tous les appa-
reils mobiles, et les tiquettes communicantes (RFID) constituent de nouveaux
terrains dinvestigation pour les pirates. Plus que jamais la vigilance simpose.
Seuls les paranos survivront-ils ce dveloppement de la cybercriminalit ?
cybercriminalite.book Page 211 Jeudi, 14. septembre 2006 8:25 20
Bibliographie
Sites utiles
Sites gouvernementaux
CERTA (Centre dExpertise Gouvernemental de Rponse et de Traitement des
Attaques informatiques). www.ssi.gouv.fr.
OCLCTIC (Office Central de Lutte contre la Criminalit lie aux Technologies de
lInformation et de la Communication). www.interieur.gouv.fr
Legifrance (service public de la diffusion du droit). www.legifrance.gouv.fr.
Autres sites
CLUSIF (Club de la Scurit Informatique des systmes dinformation Franais).
www.clusif.asso.fr.
CNIL (Commission Nationale Informatique et Liberts). www.cnil.fr.
Mag Secur : magazine ddi la scurit informatique. www.mag-securs.com/.
Vulnrabilit : site spcialis dans la scurit informatique. www.vulnerabilite.com/.
Internet sans crainte. http://www.internetsanscrainte.fr/.
Journal du Net. www.journaldunet.com.
01Net, Silicon et Zdnet. Trois sites ddis aux nouvelles technologies et linfor-
matique. www.01net.com, www.silicon.fr et www.zdnet.fr.
CNRS : site ddi la scurit et la protection du patrimoine scientifique.
www.sg.cnrs.fr.
F-Secure et Kaspersky : sites de deux diteurs de logiciels de scurit. De nombreu-
ses informations sur les derniers codes malveillants. www.f-secure.fr et www.kas-
persky.com/fr.
Les Echos. Quotidien conomique avec chaque mercredi le cahier Echos
Innovation . www.lesechos.fr.
Action innocence. Constitue en novembre 1999, cette organisation non gouver-
nementale (ONG) but non lucratif lutte contre les abus sexuels impliquant
des enfants sur Internet.www.actioninnocence.org
Internet Mineurs. Site fond par les ministres de la Justice, de lIntrieur, de la
Dfense et de lEmploi.www.internet-mineurs.gouv.fr
cybercriminalite.book Page 214 Jeudi, 14. septembre 2006 8:25 20
Filtra Info. Cr par Action Innocence, ce site a pour objectif d'valuer, tous les 6
mois au minimum, les solutions de contrle parental disponibles sur le march.
www.filtra.info.
Assiste et Zebulon. Deux trs bons sites informatiques avec notamment des forums
thmatiques (dont un ddi la scurit) trs ractifs et aux rponses pertinen-
tes. Assiste publie aussi une liste noire , non exhaustive, des logiciels inutiles,
voire dangereux car inefficaces. www.zebulon.fr et http://assiste.free.fr.
cybercriminalite.book Page 215 Jeudi, 14. septembre 2006 8:25 20
Index
Numriques D
3D-Secure 83 DCSSI 165
DDoS 5, 66, 67
A dfaage 120
defacement 9
antivirus 107
DMZ (zone dmilitarise) 121
Arpanet 175
DST 168
B
E
BEFTI 168
eBay 88
blogs 66, 75
eCarte Bleue 87
Bluetooth 27
eGold 87
bombe logique 65
EMV 83
botnet 5, 58
Brigade de Protection des Mineurs 150
F
bug de lan 2000 125
filtres ICRA et Safesurf 153
C Fournisseurs daccs Internet 70
Carnivore 183
G
carte bancaire 77
Carte Vitale 35 Google 67
cartes de paiement, 34
CERTA 167 H
cheval de Troie 68
hacker 9
chevaux de Troie 4
hackers 177, 179
ChoicePoint 30
Hoax 15
Convention sur la cybercriminalit 193
COSSI 166
I
Crypto AG 186
cyber-guerre 176 ICAN 175
cyber-terrorisme 176 ingnierie sociale 14
cybercriminalite.book Page 216 Jeudi, 14. septembre 2006 8:25 20
K R
keylogger 45 racket 65
ROKSO 70
L rootkit 198
RSSI 127
Lofficier de scurit (ou RSSI) 118
Licorne 31 S
logiciel de contrle parental 152
logiciels antispam 73 screenloggers 53
Loi Godfrain 191 serveur proxy 122
serveur reverse proxy 123
M sites denchres 88
spam 43, 69, 194
Magic Lantern 183 spam nigrian 70
mass mailing 74 Spamhaus 70
Mastercard 33 spams 66
messagerie instantane 46 spywares 197
micro paiement 86 SSL 82
Mots de passe 17
T
N
Ticket Surf 87
NSA 177 tokens 88
O V
OCLCTIC 169 ver espion 184
ordinateurs portables 32 vishing 55
VoIP 63
P voix sur IP 46
PayPal 86 Vol de donnes 119
vulnrabilits 23
PC zombies 5
pdophiles 149
W
phishing 15, 39, 196
proof-of-concept 2 web bug 185