Spécial sécurité : et si le phishing n’était qu’une illusion ?

Régulièrement, nous ouvrons nos colonnes à nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, une étude étonnante de deux chercheurs de Microsoft qui dégonflent la baudruche du phishing. Et une perspective historique sur les faux-monnayeurs, version Audiard : un véritable morceau de bravoure.

cnis logoSommaire

- 1 - Et si le Phishing n’était qu’une illusion ? 

- 2 - TGI de Bonneville : le DNS est parti tout seul 

- 3 - Fuites mémoire : Windows « seven » compatible bug à bug 

- 4 -  Métiers d’autrefois : le faux-monnayeur

1) Et si le Phishing n’était qu’une illusion ? 

Deux ingénieurs Microsoft, Cormac Herley et Dinei Florêncio, viennent de publier une étude aussi rafraîchissante que subversive, A Profitless Endeavor: Phishing as Tragedy of the Commons. 12 pages truffées de mathématiques, d’enquêtes, d’analyses de métriques qui ne posent en fait qu’une question : et si le phishing ne rapportait pas autant que veulent bien le prétendre les « experts en phishing » et les hameçonneurs eux-mêmes. Et de répondre dans la foulée : «  c’est là une probabilité relativement élevée. Le phishing pourrait bien ne rien rapporter du tout, ou du moins nettement moins qu’autrefois. ».

Se basant sur une évaluation mathématique dérivée des systèmes de production, ces deux chercheurs avancent les arguments suivants:

En premier lieu, les principales métriques du phishing que l’on peut lire dans la presse informent sur le volume, et non pas sur l’efficacité. L’on dénombre beaucoup d’emails d’hameçonnage, mais peut-on évaluer combien rapportent-ils réellement ? Peut-on être certain que les investissements déployés par les hameçonneurs soient financièrement rentables ? Et d’expliquer que cette activité est semblable à celle d’une mine d’or ou de charbon. Son rendement est rapide et franc en début d’exploitation puis, au fur et à mesure que le filon se tarit, les efforts des mineurs redoublent, mais la production baisse. «  Nous en sommes probablement à ce stade » estiment les deux chercheurs. Les campagnes de courriels redoublent, leur volume atteint des sommets vertigineux… n’est-ce pas là le signe que les émetteurs n’arrivent plus à gagner correctement leur vie en ne prodiguant que peu d’efforts ?

Par ailleurs, en admettant même que la proportion de victimes ait pu demeurer constante, les mécanismes de sécurité des banques, par exemple, se sont perfectionnés, bloquant de plus en plus souvent les opérations frauduleuses. Ensuite, la possession d’un numéro de compte ne signifie pas obligatoirement un accès opérationnel à ce compte. Bien des crédences n’offrent qu’un accès consultatif, sans la moindre possibilité d’effectuer un virement. Et c’est sans parler des opérations de sensibilisation qui font qu’un usager, même après avoir commis l’erreur de fournir son mot de passe, reste tout de même capable de réagir après coup et de changer le sésame indûment communiqué.

Ensuite, font remarquer Herley et Florêncio, les récentes études conduites en ce domaine sont trompeuses. Les échantillonnages statistiques sont trop faibles pour se dégager du bruit. La dernière étude Javelin ? Elle ne concerne que 3 répondants… Et la « Gartner » ? Le phishing ne représente que 0,5 % de son panel… un peu faible pour en tirer une « perte moyenne de 800 dollars par personne ». La FTC ? Elle mélange tous les types d’escroqueries. De toute manière, la part des escroqueries, tous types confondus, concernant un accès à un compte en banque reste en dessous du pourcent. Un simple changement de méthode de calcul donne d’ailleurs des crises d’asthme au montant des « pertes officielles ».

Mais alors, la « modélisation » de Jakobsson et Ratkiewicz , ceux qui ont lancé une réelle attaque de phishing, un mensonge ? Une fausse analyse tout au plus, rétorquent les deux Microsoftiens. Ces chercheurs n’ont pas conduit le processus jusqu’au bout, et se sont contentés de considérer l’attaque comme ayant réussi dès lors que les personnes inscrivaient leurs crédences sur le site « piège ». Ce n’est pourtant que la première phase de l’opération… on est encore loin de l’accès réel au compte en banque.

Mais si le phishing ne « marche » pas, pourquoi alors les phisheurs sachant phisher phishent ? Par habitude, pour certains. Par espoir, pour d’autres, une version moderne de la fièvre de l’or des pionniers du Klondike ou de Guyane. Les chercheurs d’or ne deviennent jamais riches, ce sont les vendeurs de pelles et les négociants de métaux précieux qui tirent leur épingle du jeu. C’est d’ailleurs pour cette raison que les marchés de la « revente d’identités et d’adresses » et celui de l’exploitation de ces mêmes identités et adresses sont si séparés. Les phishers qui profitent du phishing sont ceux qui, ayant déjà évalué la faiblesse du R.O.I, se convertissent dans la prestation de services vendue aux nouveaux venus… lequels ne sont pas encore au courant. Les escrocs escroquent en premier lieu d’autres escrocs.

Et si Herley et Florêncio avaient raison ? Et si ce formidable rideau de « preuves » dont nous abreuvent les associations anti-phishing et autres confréries de gourous n’était qu’un rideau de fumée profitant aux vendeurs de solutions de protection et autres DLP ? Et si ce terrible Snark n’était jamais qu’un Bojum ? L’idée est assez plaisante et les remarques assez pertinentes pour qu’une partie de la vérité se trouve quelque part dans cette douzaine de pages.

2) TGI de Bonneville : le DNS est parti tout seul 

Officiellement,le « piratage » apparent du TGI de Bonneville (voir article précédent) aurait été provoqué non pas par une personne mal intentionnée, mais par une bévue technique. Plus précisément, une réattribution un peu trop hussarde d’un numéro IP libéré depuis longtemps. En d’autres termes, il y a bien eu DNS hijacking, mais provoqué légalement par un nettoyage des tables. Les choses sont rentrées dans l’ordre, le site web originel retrouve ses pimpantes couleurs et ses informations de dernière minute datant de 2007, tandis que le jeune webmestre de Calin-gratuit attend avec courage et abnégation les foudres des autorités judiciaires.

Alors, beaucoup de bruit pour rien ? 

Beaucoup de bruit, sans aucun doute, puisque la phrase magique « TGI de Bonneville » affiche désormais fièrement 22 700 références chez Google. Le nombre de hits ayant abouti sur l’adresse IP concernée aurait très probablement rapporté un peu plus qu’un billet de loterie si son malheureux webmestre avait pu y placer quelques publicités.

Pour rien… voilà qui n’est pas certain. Car le simple fait que cette redirection n’ait pas été provoquée par un acte de piratage prouve à quel point la responsabilité technique d’un internaute ou d’un possesseur de site est limitée… Voire totalement illusoire. La « pierre dans le jardin de la riposte graduée » en est d’autant plus saillante. Cette fois, tout s’est bien passé pour la victime. Le poids considérable de l’Administration Judiciaire a œuvré en faveur d’une résolution rapide du problème et d’une divulgation toute aussi rapide des informations importantes de la part des hébergeurs concernés. Mais aurait-on pu espérer une telle transparence si la victime avait été un obscur blogueur ou un petit boutiquier du Net ? Peut-on assurer aujourd’hui que la justice accordée à la Justice sera la même demain pour n’importe quel citoyen ? Rien n’est moins sûr. Lorsqu’une erreur d’annuaire sème la pagaille dans le trafic réseau, l’amabilité du fournisseur d’accès est inversement proportionnelle à sa culpabilité ou son désir de ne pas communiquer.

Pour rien… voilà qui est encore moins certain pour ce qui concerne les poursuites en piratage que risque de subir le jeune webmestre de Calin-gratuit. La meute hurlante des marchands de musique et de supports vidéo – réservons le mot « œuvre » aux véritables contenus artistiques - se portera-t-elle partie civile ? Le Tribunal de Bonneville, pouvant estimer que son image de marque a fortement été affectée, partira-t-il en croisade contre les responsables techniques de cette étonnante réaction en chaîne ? Le silence, après une telle affaire, c’est encore cette affaire.

3) Fuites mémoire : Windows « seven » compatible bug à bug

La grande saga des hack «  dump de la mémoire vive » continue. Après la congélation des barrettes de RAM à l’azote, après les intrusions vicieuses via les ports Firewire, après les travaux de Matthieu Suiche sur la récupération des données stockées dans les fichiers hiberfile.sys… voici que ce même chercheur annonce une nouvelle version de son outil Win32dd compatible avec… les actuelles pré-versions de Windows 7, noyau devant succéder à l’actuel Vista. Mais qu’attend Microsoft pour engager un tel talent ? Le hack de Midori ?

4) Métiers d’autrefois : le faux-monnayeur 

Moi j’vais t’dire, Julot : le métier s’perd, la boulange fout l’camp. Avec l’informatique, les imprimantes « jet d’encre » et les pigments métalliques, même un cave se fait du 100 euros plus vrai que nature. Notre maître à tous, Saint Philippe le Bel, doit s’en retourner dans sa tombe. Attend… j’t’esplique :

Quand j’étais encore qu’un demi-sel, un affranchi de pacotille jouant les saute-ruisseaux du côté de Saint Amand, on peut dire que j’ai appris le métier sur le tas et à la dure. La taille douce, la gouge habile sur la feuille de cuivre, la réduction à la chambre, la fabrication du papier par macération de serpillières, le casse-tête du filigrane… Tu peux pas imaginer. Mon film préféré, c’était «  Le cave se rebiffe »… 15 fois que j’lai vu. Parole, j’finissais par me prendre pour Biraud. Et quand j’ai sorti mon premier Pascal de la plaque, après 5 années de labeur, j’en ai chialé de bonheur. Et c’est grâce à ces 40 planches numérotées que j’ai pu m’offrir 10 ans de vacances à Cayenne et 14 dans le quatorzième, pour me refaire une Santé. J’ai eu du bol, j’ai échappé à perpète. Faut dire que mon bavard, je ne l’avais pas arrosé avec de faux talbins... ça aurait pu être mal interprété.

Mais tout ça c’est fini. Tiens, je « seurfais » sur le site des bourres helvètes. C’était pourtant une sacrée valeur refuge, le Franc suisse. Mais depuis 2006, leurs pandores ne tiennent plus les statistiques de nos œuvres. Idem au Canada... Quand à l’Europe, retrouver, sur Europa, des statistiques postérieures à 2006 relève de l’exploit ou d’une longue expérience dans la fonction publique, section archive. On devient quantité négligeable, la boulange trépasse. La faute à la concurrence déloyale des amateurs et des caves, la faute aux truands de la haute qui font dans le virtuel. Y’a plus de morale ! Aujourd’hui, celui qui fait dans le pécule de singe, y pointe au PMU le dimanche, y turbine chez Renault ou il émarge au conseil d’administration de Paribas. Les affranchis sont dépassés.

Zieute ces deux articles signalés par Bruce « horsetail » Schneier. Le premier dit «  tout le monde en fait », le second titre «  c’est plus ce que c’était ». J’te fais le topo : avec l’arrivée des imprimantes à jet d’encre « qualité photographique », avec la richesse des offres des papetiers, se faire une série de faux Pesos maquillés comme Beyoncé devient aussi simple que d’expédier un e-mail. Mais la qualité n’y est pas. «  C’est un art qui se perd », affirme même un flic interviewé pour la cause. Je sens presque poindre un regret. Tu sais, les limiers de la Maison Royco, y z-ont passé plus de 8 mois de filoche avant de me faire aux pinces. Maintenant, ils alpaguent du retraité ou de l’étudiant. Y’a même plus d’honneur à chasser le truand.

Tu vas me dire, si elles sont si mal faites, ces images de la Banque de France, comment qu’on arrive à les écouler ? Circuit classique, mon pote. Aux étrangers dans les aéroports, dans les bureaux de tabac avec la combine du billet marqué et du double achat, dans les gares à la petite semaine… tiens, c’est d’ailleurs à cause de la SNCF que le métier s’est perdu. En collant des changeurs de monnaie à côté des distributeurs de billet, les tape-dur du rail ont provoqué l’arrivée des premiers 100 balles photocopiés. Et plus ils perfectionnaient les méthodes de détection de fausse thune, plus les petits malins amélioraient leurs œuvres… enfin, pas œuvres, copies techniques, y’a nuance. Le véritable mérite, y revient à messieurs Xerox, Hewlett-Packard et Epson. Et p’tète un peu à madame Photoshop. D’accord, y’a eu des tentatives de résistance de leur côté, comme cette histoire d’identifiants d’imprimante, mais franchement, si t’achètes ton matos sur eBay, le meilleur fourgue de la planète, en payant via mes poteaux d’eGold, y vont faire comment, les archers de Château-Poulagas, pour retrouver mon atelier ? Avant qu’ils aient eu le temps de gamberger, on est déjà sur les plages de Copacabana, les poches pleines de Yuan, l’artiche de l’avenir.

La fraîche de contrebande augmente, en quantité, mais pas en qualité. Tu vas me dire, c’est justement le moment de ressortir les lessiveuses et l’Heildelberg. Au milieu de toutes ces roupies de sansonnet, nos 100 euros d’artiste passeraient pour plus vrai que nature. Pour peu, je reprendrais du service.

Remarque, y’a encore aut’chose qu’a flingué la boulange à bout portant : c’est la vir-tu-a-li-sa-tion. Entre le pèze-plastique des cartes de crédit et les virements Internet, plus personne ne touche son oseille. Le blé, ça reste dans les banques, c’est une ligne dans un tableur. Tu payes via Swift, tu récupères sur iBan, et ton pognon, tu le vois jamais. Ca en a inspiré, des artistes de la carambouille. Regarde, les phisheurs, qui se font du numéro de carte de crédit avec autant de légèreté que j’te gravais un Victor Hugo ou un Bonaparte au pont d’Arcole… Va les pincer, les mecs ! Ils font du jonc sans sortir de leur fauteuil. Ils étouffent les économies d’une vioque qu’est à 1000 lieues de leur fief. L’équipe du Galinacé’s Club, au quai des orfèvres, elle reste bloquée au frontière, avec ses mandats nationaux et ses procédures administratives. Elle doit l’avoir fumasse, la Volaille’s Company. D’autant plus que, dans 80 % des cas, les caves ne se plaignent pas, les montants sont trop faibles.

Et puis, avec cette mode de la virtualisation, même les retraités s’y mettent. Et dans les grandes largeurs, encore. Tu te rappelles Bernard Madoff, l’ancien daron du Nasdaq avec sa trogne de papy-gâteau et sa cravate-limace de rangé des voitures ? Il en a fait, du faux-radis, lui. Plus de 50 milliards de dollars, le PNB d’un état africain. Même si tu tentais de faire la même chose avec une imprimante jet-d’encre et du Vélin d’Arche, ça te coûterait tellement en fournitures qu’il faudrait que tu prennes un emprunt sur 20 ans. Lui, les 20 ans, il va les prendre autrement. Mais pendant qu’il va aggraver le déficit du budget de l’administration pénitentiaire de son pays, y’en aura combien qui continueront à trafiquer du « junk bond » et du « subprime » estampé Banque de France, en toute impunité et en quantité pharaonique ? Allez, j’te laisse bosser ton stage de développeur PHP. T’as raison de te reconvertir pendant qu’il est temps. Et puis, la nitro et les coffres, c’est comme les cigarettes. Ca gâte la santé et çà paye plus.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close