Spécial sécurité : hacking de la finance et finances du hacking

Sommaire
1 - Apple, 47 trous ce mois-ci
2 - Hacking de la finance et finances du hacking
3 - Economie de l’underground
4 - Août : Phishing calme, tendance molle sur le spam

1- Apple, 47 trous ce mois-ci
Le Patch Wednesday d’Apple porte sur la correction d’un défaut Flashplayer, 4 instabilités Quicktime (qui toutes concernent aussi bien les éditions Macintosh que les plateformes Windows/Vista), de 10 trous de sécurité touchant l’iPhone et de divers autres problèmes affectant différents éléments du système Apple et de ses outils complémentaires. 2 - Hacking de la finance et finances du hacking
Les vendredis sont généralement les jours où paraissent les «  rapports sur la cybercriminalité », «  études sur l’évolution du spam de 1789 à nos jours » et autres publications statistiques réservées aux hommes de l’art. Probablement dans le but de ne laisser aucun Cio et RSSI dans un état de vacances intellectuelles durant les deux jours fériés qui suivent. Et cette semaine là est précisément riche en la matière, avec une étude très fouillée et rédigée en Français, focalisée sur la cyberdélinquance visant le monde de la finance et les menaces sur les opérations bancaires,



L’étude McAfee n’est pas une «  traduction directe de l’américain ». C’est avant tout un long (26 pages) papier signé François Paget, qui aborde la question avec une vision européenne. L’étude s’adresse à deux types de lecteurs. En premier lieu aux spécialistes de la sécurité en quête de métriques, tout au long de la première partie du rapport. La seconde moitié est entièrement consacrée à la vulgarisation des méthodes de fraude, aux contremesures mises en place par les organisations bancaires, aux analyses de cas les plus représentatifs. Ce sont là des multitudes de «  petites histoires des magouilles sur Internet », un florilège des cybercarambouilles. A ne surtout pas manquer, page 16, les photos du pharmacien canadien le plus connu du monde, en fait le plus gros vendeur indien de comprimés principalement constitués de sucrose et lactose colorés en bleu. Si ces différentes descriptions des mécanismes de fraude n’apprendront rien aux gens du métier, elles risquent d’être fort utiles lors d’un séminaire de sensibilisation. Très courants dans la littérature anglo-saxonne, les études sur la cyberdélinquance bien vulgarisées et rédigées en Français sont relativement rares.

Mais revenons aux données chiffrées de François Paget et de l’Avert Lab. Les statistiques concernant le marché américano-canadien font apparaître une stagnation du pourcentage de perte de revenu lié aux fraudes (aux alentours de 1,6 à 1,4%, stable depuis 4 ans). En revanche, le taux d’équipement des ménages et des entreprises allant croissant, le montant des pertes de revenus global est en forte augmentation (4 milliards de $ en 2008, contre respectivement 3,6 milliards, 3 milliards et 2,8 milliards pour les trois années précédentes). Les fraudes via les sites de ventes aux enchères et les plaintes pour marchandise non-livrées constituent encore et toujours la part la plus importante des dols.

En Europe également, les statistiques générales de la fraude en ligne subissent fort heureusement une nette diminution de croissance, voir parfois une diminution. Comme une certaine justice immanente semble toucher les établissements bancaires français (inviolables, faute de preuve officielle du contraire), force est d’utiliser les résultats publiés par l’Apacs, l’association britannique des paiements. La fraude a coûté aux établissements bancaires de Sa Gracieuse Majesté près de 21,4 millions de livres au cours du premier trimestre 2008. Trimestre atypique, particulièrement sinistré, et qui ne reflète pas la tendance baissière observée par la suite. En effet, ces 21,4 M£ représentent une augmentation de 185% des pertes par rapport à la même période de 2007 (7,5M£), premier trimestre d’il y a deux ans particulièrement béni des dieux de la finance. En 2006, ces mêmes chiffres étaient supérieurs à ceux de 2008, à 22,4 M£. Et le rapport de continuer « En France, ce sont les risques liés aux paiements à distance qui suscitent le plus d'inquiétude. D'après le rapport 2007 de l'Observatoire de la sécurité des cartes de paiement, 7, 44 % des fraudes (contre 32 % en 2006) concernent ces transactions, qui constituent seulement 5 % du nombre total de transactions électroniques. En une seule année, la fraude électronique sur les transactions nationales a augmenté de 97 % pour atteindre 26,4 millions d'euros en France »

Concernant les retraits frauduleux depuis l’étranger, peu de surprise. François Paget écrit : «  Pour ce qui est des transactions internationales, l'Observatoire fournit uniquement des chiffres liés aux transactions réalisées avec des cartes françaises à l'étranger. Ici aussi, on constate que le taux de fraude sur les paiements à distance est plus élevé pour les paiements via Internet que pour n'importe quel autre type de transactions à distance ». La semaine passée, l’Enisa avait émis des conclusions tout à fait semblables. Du côté des forces de police (Octlctic), on fait également remarquer que 80 % des plaintes reçues en 2007 concernent des arnaques sur Internet. 3 - Economie de l’underground
Le rapport G-Data sur l’économie souterraine du Crime ressemble à un roman noir. Là encore, les spécialistes du genre n’apprendront strictement rien… mais le fait que le document soit rédigé en Français peut lui aussi, à l’instar du rapport McAfee, en faire un excellent document de sensibilisation. L’on y explique très clairement les ramifications complexes qui établissent des liens entre les virus voleurs d’identité, les rois du spam, les hébergeurs véreux dits « bulletproof », les places de marché où se vendent « au mille » les adresses email et les numéros de compte, les locations de réseaux de machines zombies… au fil du document, quelques chiffres sensationnalistes glanés :

- Une attaque DDoS coûte entre 10€ à 40€ de l’heure
- 1 million de spams sur des fichiers « ciblés » rapporte entre 250 et 700 $ au gardien de Bot (pour le spammeur lui-même, c’est une autre histoire)
- Des données des cartes de crédit valent de 2€ à 300€ selon l’origine du propriétaire
- Papiers falsifiés : entre 50€ et 2 500€… selon la nationalité et la qualité (cela concerne surtout les permis de conduire américains, mais l’on a vu des cartes d’identité françaises se faire copier)
- Bases de données à caractère personnel : 10€ à 250€
- Compte PayPal : 1€ à 25€
- Le million d’adresses email : de 30 à 250 €
- Le source d’un virus de Bot : de 200 à 800 €
- Le bot compilé : 20 à 100 €
- L’infection de 1000 machines par Bot : 50 à 250 € selon la position géographique

Dans le même esprit, Symantec offre aux visiteurs de son site Web une sorte de machine à calculer le risque personnel en ligne. En quelques questions très pratiques, l’éditeur tente d’estimer la «  valeur au marché noir » de l’identité du répondant. Les résultats sont parfois frustrants pour l’ego : un citoyen français moyen ne vaut guère plus de 11 dollars. 4 - Août : phishing calme, tendance molle sur le spam
Moins 45% : la vague quasi permanente d’emails de phishing a connu, affirme le rapport mensuel Symantec sur le phishing, une baisse remarquable de 45% du mois d’août par rapport à juillet. Du fait de cette baisse spectaculaire, et pour la première fois dans l’histoire, le volume de courriels de phishing rédigés en Français a dépassé les emails d’expression anglaise. Le volume de phishing en Italien le talonnait de près. Les courriers de phishing en Chinois arrivent en troisième place, mais ne totalisent que moins du tiers des e-mails francophones.

Principale cause de cette baisse générale brutale –accompagnée d’une chute du nombre d’URLs uniques de sites de phishing-, la diminution de près de 78% des toolkits d’attaque. Une baisse qui n’est pas étrangère à la fermeture d’un important centre de contrôle de botnet (C&C).

Si les emails rédigés en Français ont fait une brusque « remontée », les statistiques concernant la localisation des serveurs même ne changent pas. Les Etats-Unis sont toujours le paradis des sites de phishing. Les villes où se situent les hébergements de ces sites sont, par ordre d’importance, Dallas, Taipei, Seoul, Houston, Bangkok et Toronto. Derrière les Etats-Unis, qui hébergent près de 30 % des sites « leurres », l’on remarque la Pologne et la Russie arrive ex-aequo en seconde place (4% du volume mondial chacun) suivie de la Corée du Sud et de la Hongrie. La France arrive en 10ème place avec un taux d’hébergement des sites de phishing de 3%.

Pas de grand changement, en revanche, dans la répartition des secteurs servant d’alibi à ces tentatives d’escroquerie. Dans la quasi-totalité des cas, c’est le secteur bancaire qui est visé. Les établissements des USA, de Grande Bretagne et d’Italie sont les plus visés. En Chine, paradoxalement, les banques sont épargnées, la majorité des entreprises visées étant situées sur le créneau du e-Commerce. Autre pays atypique, l’Allemagne, qui se fait attaquer sur tous les fronts : bancaire, e-commerce et industrie des services.

Le spam, quand à lui, marquait également un léger fléchissement, en ne constituant « que » 87% du volume mondial d’échange de courriel (taux qui, en temps « normal », aurait plutôt tendance à friser les 90-95%). Symantec attire notamment l’attention sur une montée en puissance d’une nouvelle forme de typosquatting utilisant les alphabets autres que le très classique7 bits US Ascii. Les diacritiques à trémas, accents circonflexes, graves et aigus, les tildes, les lettres sortant de l’alphabet latin classique sont de plus en plus utilisées par les spammeurs et spécialistes du hameçonnage. Il est ainsi possible de « spoofer » un crêdït-ly0nnaïs.com qui passera totalement inaperçu dans une barre d’adresse. Les sujets de ces faux courriers électroniques prennent en majorité la forme d’une annonce de mauvaise livraison ou d’une confirmation de commande en ligne