La huitième édition du panorama de la cybercriminalité, présenté par le CLUSIF (Club de la Sécurité de l'Information Français), s'est déroulée le 15 janvier au Cercle National des Armées à Paris. Au programme : anecdotes, cas d'école et messages de prudence.
Le CLUSIF, qui regroupe plus de 600 membres, s'est penché cette année sur le Web 2.0 et les réseaux sociaux. François Paget, chercheur de menaces pour McAfee a tout d'abord donné une présentation du Web 2.0, n'en déplaise à Frédéric Lefebvre. « Le web 2.0 permet à l'utilisateur d'interagir, au lieu de seulement consulter des pages.» Principal exemple, les réseaux sociaux, Facebook, MySpace ou Twitter. Ce qui a retenu l'attention du CLUSIF, c'est que ces sites «provoquent une forte incitation à donner de l'information sans que l'utilisateur s'en rende vraiment compte.» Simple exemple avec Sarah Palin, dont le compte Yahoo a été piraté sans algorithme informatique complexe. Pour obtenir le mot de passe, il suffisait de répondre à une question personnelle, comme à chaque fois que l'on oublie son mot de passe. La question était : "Où avez-vous rencontré votre mari?". La réponse se trouvait... sur un réseau social.
Toujours à propos des réseaux sociaux et autres créations du Web 2.0 type Youtube, François Paget nous rappelle que «les amis d'aujourd'hui ne seront pas forcément de ceux de demain.» Un député suisse l'a appris à ses dépends. Filmé par sa maitresse via un téléphone portable, il retrouve la vidéo, peu après leur séparation, sur Youtube. Classique. Mais cela lui a quand même couté ses mandats politiques. Autre préjudice lié à Youtube : une vidéo qui montrait comment ouvrir un cadenas d'une certaine marque avec un simple stylo. Préjudice de l'entreprise qui ne s'était pas préparé à une telle éventualité : 10 millions de dollars. François Paget a conclu en envoyant un message de prudence. «La sphère privée s'amenuise de jour en jour, on dévoile des informations personnelles sans toujours réfléchir.»
De la contrefaçon d'antivirus à celle de matériel, en passant par les fausses loteries, l'année 2008 a eu son lot d'escrocs numériques. Le ransomware, où le pirate bloque votre téléphone et vous demande une rançon mérite quand même d'être expliqué. Pour l'instant, on ne le trouve qu'en Chine. Mais, selon Lieutenant Colonel Eric Freyssinet de la gendarmerie nationale, il est tout à fait applicable en Europe. Le matériel permettant de prendre en otage un téléphone étant un simple kit, relativement simple à utiliser. Le principe: des messages s'affichent sur votre téléphone, qui vous expliquent que votre mobile ne marche plus, à moins de payer. Le malware se propage par MMS et Bluetooth.
La sécurité Hardware est aujourd'hui, plus que jamais un enjeu important. En effet, il est possible de trafiquer l'électronique pour faire sauter des verrous informatique. Dans ce domaine, cette année a été marquée par la démonstration de la fragilité des puces RFID. La Radio Frequently Identification, ou radio identification, sont des étiquettes qui peuvent être associées à des puces électroniques, et qui fonctionnent comme des antennes. Il s'agit d'une technologie d'identification, utilisée sur les cartes d'accès. Pirater ce genre de puce, revient à pirater des badges, des cartes de métro, bref, permet d'ouvrir des portes. Il s'agit d'une forme de cybercriminalité qui permet d'agir physiquement.
En avril, des étudiants ont réussi à pirater le schéma de cryptage d'une RFID très répandue, la Mifare Classic de la société NXP. Cette entreprise fournit entre autres des puces pour des cartes de métro (Amsterdam, Londres), des cartes de fidélité, ou des cartes d'accès. Franck Veysset, d'Orange Labs, a expliqué que cette année, dans différents colloques, il a été démontré que rien n'était plus simple que de cloner ce type de cartes. Il a fallu une semaine et à peu près 100 dollars de matériel pour cloner une carte, et créer, par exemple, un ticket utilisable à l'infini.
L'algorithme de cryptage de cette carte est de 48 bits, ce qui est, selon Franck Veysset, «un algorithme court et relativement simple à décrypter» . NXP a minimisé l'affaire, en expliquant que ce modèle de carte RFID utilise une technologie ancienne et que le cryptage des nouvelles applications est bien plus sophistiqué de nos jours. Certes. N'empêche que nombre de services et d'entreprises sont équipées de ce système soi-disant archaïque. Le seul moyen pour ces structures de se protéger d'une fraude, est de remplacer toutes les cartes et tous les systèmes de lecture. De parole d'expert, personne n'a encore budgétisé cette éventualité.
Le clonage d'objet électronique est aussi en plein développement, et les passeports ne sont pas épargnés. Elvis Presley est passé par Amsterdam en 2008. Du moins, les bornes ont toutes reconnu un passeport biométrique à son nom. La non fiabilité des passeports ne s'arrête pas là. «La solution eClown est un logiciel, qui, une fois installé sur un Nokia dernière génération permet de cloner un passeport , explique Franck Veysset. Ainsi, lorsqu'on présente le portable devant les bornes d'aéroport, celles-ci le reconnaissent le téléphone comme s'il s'agissait d'un passeport» .
En conclusion, le président du CLUSIF, Pascal Lointier a présenté quelques cas d'écoles, évènements marquants du monde de la cybercriminalité en 2008. «Les administrateurs réseaux sont des gens qu'il ne faut pas oublier d'augmenter.» Preuve en est, quelques administrateurs réseaux américains licenciés qui, à leur départ, ont activé une bombe dans le réseau, menaçant l'intégrité de leurs entreprises respectives.
L'exemple le plus frappant est sans nul doute le feuilleton rocambolesque de la municipalité de San Francisco qui s'est déroulé cet été. L'administrateur réseau de la ville, Terry Childs, en désaccord avec sa direction, a pris en otage le réseau en changeant les mots de passe, bloquant ainsi les accès à tous les routeurs et commutateurs du réseau de la ville de San Francisco. Arrêté par la police, l'homme, qui se voyait comme le seul propriétaire du réseau, s'est obstiné à ne pas donner les mots de passe. La municipalité s'est retrouvée avec un réseau dont l'accès administrateur était complètement verrouillé. Il a fallu plusieurs semaines pour que la ville reprenne le contrôle de son réseau. Pour l'heure, Terry Childs dort en prison, sa caution a été fixée à 5 millions de dollars.
De ce panorama de la cybercriminalité 2008, entièrement disponible sur le site du CLUSIF , il faut retenir que les entreprises comme les individus sont devenus de plus en plus dépendants et vulnérables face à Internet. La cybercriminalité ne se trouve pas que sur le web, elle a aussi des conséquences sur le monde "réel".