Lutte contre la cybercriminalité: OCLCTIC, BEFTI, NTECH
2.3.4 En résumé, sur ces 3 acteurs majeurs :
Nous constatons un lien étroit entre ces 3 acteurs. Indépendamment des personnels de type Police ou Gendarmerie, la lutte contre la criminalité informatique se traduit par une complémentarité de ces différents services, avec le rôle prépondérant de l’OCLCTIC.
Nous avons ici un maillage complet du dispositif de lutte et de prévention contre la criminalité informatique.
Un acte malveillant, un signalement peut être très rapidement signalé et traité grâce à la plateforme Pharos, puis transféré au service compétent.
Suivant le secteur géographique, la prépondérance d’un type d’infraction constatée peut varier. Forcément, on a plus de chances de traiter de grosses affaires de sécurité informatique dans les villes à forte concentration de population.
Mais quel que soit l’endroit dans le territoire national, la cybercriminalité reste omniprésente. L’exemple d’une autre escroquerie qu’on peut citer est celle de l’escroquerie à la romance, dont l’élément moral reste d’ailleurs difficile à définir, peut trouver sa source en Afrique et capter sa proie, un homme ou une femme esseulée, au fin fond de l’Allier.
Le spectre de la criminalité informatique est donc très vaste.
On retiendra que la prévention, la vigilance, la sensibilisation et la protection restent les éléments clefs dans les pratiques de sécurité à adopter. Il est intéressant également de voir comment ces services procèdent dans le traitement d’une affaire liée à la criminalité informatique, avec la vision d’une part généraliste de l’OCLCTIC, et la vision un peu plus détaillée d’un grand service parisien (BEFTI) et d’une entité départementale de la gendarmerie (NTECH).
Globalement, la façon de procéder reste la même et conforme à la loi. On peut aussi rajouter que parfois, dans le cadre d’une saisie informatique, la normalité voudrait qu’un mis en cause assiste à toute la procédure d’analyse des supports informatique par exemple.
Malheureusement, quand cela dure des heures, ce n’est guère envisageable. Par ailleurs, ces investigations technologiques font appel à des logiciels très pointus qui nécessitent un personnel très expérimenté et formé. L’excellence est la règle.
Nous ajouterons également des nouvelles mesures offertes par la loi grâce à la LOPPSI2, loi n° 2011-267 du 14 mars 2011206 , dans le cadre de la lutte contre la cybercriminalité, dont :
le délit d’usurpation d’identité : se faire passer pour quelqu’un d’autre sur les réseaux sociaux ou usurper l’identité d’un autre individu pour utiliser ses coordonnées bancaires volées sera punissable. Mais il appartiendra à la jurisprudence de définir la notion d’identité numérique207.
La police, sur autorisation du juge des libertés, pourrait utiliser tout moyen (physiquement ou à distance) pour s’introduire dans des ordinateurs et en extraire des données dans diverses affaires208 : ce dispositif vient compléter celui des écoutes téléphoniques sous contrôle du juge.
Le risque évoqué par certains est celui d’une extension du dispositif afin de contrôler les internautes dans leur ensemble, ce qui ne correspond pas à l’ensemble des législations des pays démocratiques209.
206 http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023707312&dateTexte=
207 http://www.strategies.fr/afp/20110221155729/cybercriminalite-kaspersky-prone-l-instauration-d-une-identite- numerique.html
208 http://fr.wikipedia.org/wiki/Loi_d’orientation_et_de_programmation_pour_la_performance_de_la_sécurité_intér ieure
209 QUEMENER (Myriam), Revue de la Gendarmerie Nationale, La cybercriminalité : quelles réponses juridiques et législatives ?, 1er trimestre 2010, p68
A qui profite le crime ?
Ces menaces qui semblent relever du virtuel sont malheureusement bien réelles. La difficulté parfois à les percevoir, à les prévenir ou à les éviter les rend pernicieuses.
Nous avons pu évaluer au travers des sondages du CLUSIF, quelle en est cette perception et évolution, et quels moyens de sécurité sont mis en œuvre, comment on les estime protecteurs. Quand on reçoit dans sa boîte aux lettres électronique une multitude de messages indésirables, on éprouve plus un énervement immédiat, on ne perçoit pas l’ampleur de la menace.
Pourtant derrière cela se cache parfois toute une industrie du crime organisée. Mais la cybercriminalité ne profite pas qu’à cette industrie du crime organisé.
Reprenons l’exemple du spam et envisageons le sous un autre aspect que celui développé en première partie : Il génère un fonctionnement très important des serveurs de messagerie et des équipements de communications tels que les routeurs210. Ces équipements génèrent de la maintenance ou un besoin d’être mis à niveau.
210 http://fr.wikipedia.org/wiki/Routeur
C’est une aubaine pour les prestataires de services informatiques comme pour les constructeurs de matériel. Ils disposent ici d’une source de revenus à la fois sur l’achat du matériel mais aussi sur le besoin de souscrire des contrats dits de service.
Ces envois massifs nécessitent également des moyens de stockage, de sauvegarde, qui coûtent chers et sont énergivores.
La consommation de bande passante211 sur les canaux de communications des opérateurs de télécommunications est accrue.
211 La bande passante indique par abus de langage un débit d’informations
Quand on sait que l’utilisation de cette bande passante est facturée, il est évident qu’une consommation élevée est tout à l’avantage de ces opérateurs « revendeurs ».
Les fournisseurs d’accès Internet ou les prestataires de télécommunications, qui ont une obligation de surveiller l’activité anormale de consommation de bande passante de leur client, ne le font pas non plus que par simple obligation légale. Ils évaluent sans cesse combien leur coûte l’utilisation de cette bande passante ou à l’inverse ce que ça va leur rapporter en commercialisant leur utilisation.
Quant aux virus ? On pourrait se demander si certains éditeurs d’antivirus en quête de nouveaux marchés n’en viennent pas à « confectionner » ou faire « confectionner » leurs propres menaces.
Personne ne l’a jamais prouvé mais le secteur florissant des éditeurs d’anti virus et des suites de sécurité a tout intérêt à disposer d’un marché riche en menaces informatiques de tous genres et de tous horizons.
En parallèle de cela, pour en revenir aux organisations criminelles, elles trouvent sans cesse de nouvelles solutions pour récupérer des informations bancaires et les vendre à des réseaux mafieux.
L’affaire du piratage supposé géant de 10 millions de cartes de crédits subit par SONY212 début mai 2011 est d’une telle ampleur que la CNIL a été amenée à initier une enquête.
212 http://www.lemondeinformatique.fr/actualites/lire-sony-explique-l-attaque-du-playstation-network-33578.html
Il existe un risque fort de retrouver ces coordonnées bancaires à vendre sur internet.
Outre la fabrication de fausses cartes bancaires, le criminel peut aussi envisager de se faire passer pour une personne qui existe vraiment (usurpation d’identité), acheter et payer sur internet à ses frais. De nombreux sites de commerce en ligne conservent les coordonnées des cartes bancaires de leurs clients (en france ou à l’étranger, sur des serveurs parfois situés chez des prestataires tiers mal protégés). Il peut alors être tentant pour un pirate de récupérer ces coordonnées.
Les contrôles de cohérence, sur les sites de commerce en ligne, entre l’identité de l’acheteur et l’identité bancaire commencent à être mis en place, mais ce n’est pas encore légion.
Le cybercriminel peut également avoir subtilisé le cryptogramme213 visuel de la carte via les techniques de piratage. Cela explique les possibilités offertes d’acheter sans être le titulaire de la carte, et de se faire livrer sa commande en France ou à l’étranger…
213 http://fr.wikipedia.org/wiki/Cryptogramme_visuel
Comme nous l’avons vu, les botnets participent à l’amplification et à la diffusion de ces menaces. Ils s’attaquent même aux réseaux sociaux comme Twitter par exemple.
Quand un botnet est démantelé, un autre apparait. Ces ordinateurs compromis servent ainsi à commettre des escroqueries, des attaques massives…Et plus il y a d’ordinateurs infectés par un botnet, plus la possibilité de récupérer des gains est importante.
Ces mêmes attaques ont été reprises dans un but idéologique. L’exemple des « anonymous » est l’évidence même. Les « anonymous » n’ont pas de structure pyramidale, ce groupe est assimilable à un mouvement. Chacun d’entre nous peut devenir, volontairement ou involontairement, un « anonymous », notamment les adolescents, dans une phase de révolte contre le système, naturelle au développement de l’adolescent.
Voilà ainsi un principe de sociologie appliqué : le tout est différent des parties : Manifester son mécontentement d’un clic de souris pourrait paraître bien innocent : s’exprimer au côté de milliers d’autres internautes mécontents d’un système ou d’une organisation. Et pourtant, il peut être plus lourd de conséquences que de manifester ce même mécontentement en descendant dans la rue l’exprimer : on devient potentiellement un cybercriminel dans une criminalité organisée, sans véritablement l’être…
Notre dépendance vis-à-vis de l’informatique devient de plus en plus grande tout en se banalisant. Un objet, l’ordinateur, devenu anodin, n’en reste pas moins un formidable et puissant outil de diffusion de menaces : c’est un formidable concentré de technologie qui peut se transformer en arme logique (cyberguerre).
La très rapide évolution des menaces informatiques implique une adaptation régulière des mesures de protection.
Les techniques d’intrusion sont de plus en plus innovantes faisant appel à l’ingéniosité et à la vulnérabilité humaine. Quand il devient impossible de déterminer réellement si un complice humain est intervenu, pourquoi on n’a pas pu éviter l’exploitation de cette vulnérabilité humaine, le processus d’infection est réellement abouti (exemple de Stuxnet). Les responsables de sécurité informatique doivent maintenir une veille permanente avec des moyens de protections capables de détecter la menace en temps réel et des procédures adaptées qui sont parfois lourdes et couteuses. Le juste équilibre est à trouver sans pénaliser le système d’information et sa performance.
Nous avons pu voir que les attaques informatiques peuvent être assez rares ou différentes d’une région géographique à une autre. Les contraintes financières, organisationnelles, exigées par la sécurité informatique peuvent paraître illusoires aux yeux des décideurs, des dirigeants d’entreprise.
L’informatique dans les nuages par exemple ne peut être compatible avec une lourdeur sécuritaire, car elle s’inscrit dans une logique de haute performance qui ne peut être ralentie par des dispositifs pro actifs de détection de menaces.
La sécurité informatique, ce n’est donc pas la simple représentation de l’antivirus sur son ordinateur personnel. Elle fait appel à un ensemble d’acteurs : responsables informatiques, prestataires de service informatiques, organismes d’état y compris répressifs, éditeurs de suite de sécurité… pour prévenir et anticiper la menace.
Un long travail reste encore à faire : la sensibilisation des individus : du plus jeune au plus âgé car l’exploitation de la faille humaine, conjointement à la faille informatique, restera permanente.
Une autre piste d’avenir ?
Actuellement nous focalisons sur les menaces, risques et sur la sécurité informatique. Il apparait opportun d’envisager de se recentrer sur la production de la confiance214.
214 http://doc.openfing.org/CONFIANCE/ConfianceNumerique_SyntheseFinale_Fevrier2011.pdf (Nouvelles approches de la confiance numérique)
La recherche de sécurité cherche plutôt à palier au manque de confiance plutôt qu’à la construire. La montée en puissance des réseaux sociaux traduit un besoin d’échange et de partage, la confiance s’établit ainsi et se vérifie à partir des échanges entre membres de ces réseaux.
Tandis qu’au sein des organisations, des entreprises : nous avons plutôt l’impression qu’elles cherchent à se protéger de tous les individus, y compris de leurs collaborateurs (moyens de surveillance).
Nous avons là deux modèles, et cela peut créer un déséquilibre entre un utilisateur qui fait de la confiance un outil, pratiquement naturel, de se sentir protégé, et d’une entreprise qui cherche à trouver une solution au manque de confiance par des moyens de sécurité informatique qui peuvent devenir vite lourds et contraignants.
La confiance n’exclue pas le contrôle, mais lorsque le contrôle devient trop présent ou trop visible, il devient inquiétant aux yeux de l’utilisateur. C’est un facteur à prendre en compte : le désir de confiance des utilisateurs.
Développer une confiance numérique, des solutions de confiance numérique215, favorisera un assouplissement dans les pratiques de sécurité en les rendant moins contraignantes à mettre en œuvre et plus transparentes pour l’utilisateur final, mais en gardant cet objectif impératif et permanent : assurer une sécurité individuelle et globale, de l’utilisateur, du système d’information, prête à apporter une réponse rapide et efficiente, face aux menaces actuelles et nouvelles.
215 Ibid, p24.
Heureusement, les acteurs institutionnels que nous avons cités participent à notre protection au quotidien en anticipant au mieux ces menaces informatiques et en nous accompagnant dans les bonnes pratiques de sécurité à adopter.
Mais les cybercriminels ont un sérieux temps d’avance au regard de l’existence de toutes ces menaces. La réponse étatique reste malgré tout insuffisante, notamment avec des magistrats encore peu formés aux crimes et délits liés aux nouvelles technologies, qui représentent une nouvelle forme d’insécurité.
L’OCLCTIC, la BEFTI et la Gendarmerie ont besoin de disposer encore plus de personnels formés, de scientifiques, d’ingénieurs dans les domaines technologiques et informatiques. Un partenariat a d’ailleurs été signé entre l’OCLCTIC et l’EPITA (école d’ingénieurs en informatique).
La gendarmerie recrute déjà et fait appel à des R-NTECH198 (Réserviste gendarmerie NTECH) qui exercent leur métier principal dans le civil. La BEFTI peut également solliciter des experts du secteur privé.
La France souhaite également créer, dans le cadre de la cyberdéfense, des groupes d’intervention rapide (GIR), sorte de commandos (civils) d’informaticiens prêts à réagir en quelques dizaines de minutes216, tandis que vient juste d’être lancé le 31 mai 2011 le projet européen 2CENTRE217 de lutte contre la cybercriminalité, dans sa partie française.
Associer ce secteur privé, ces experts informatiques du secteur privé, est déjà une pratique qui pourrait avoir tendance à se développer, dans la lutte contre la criminalité informatique.
Les partenariats sont donc à privilégier de plus en plus, en gardant à l’esprit que l’Etat français doit rester l’acteur principal, garant de la sécurité informatique individuelle et collective, avec ces experts que sont nos 3 acteurs étatiques: OCLCTIC, BEFTI et NTECH, accompagnés de personnels du monde civil confrontés aux problématiques des menaces et des pratiques de sécurité informatique, dans une dimension européenne et internationale.
216 http://www.lepoint.fr/high-tech-internet/la-france-cree-des-commandos-de-cyberdefense-26-05-2011- 1335572_47.php
217 http://www.2centre.eu/
Le retour d’expérience des uns et des autres, l’enrichissement de bases de connaissances, l’amélioration de la capacité à anticiper et répondre aux nouvelles menaces, permettra d’inverser la tendance :
Avoir un temps d’avance sur les cybercriminels et la criminalité informatique.
07 juin 2011.^
Table des matières
1 Les menaces informatiques 13
1.1 Les principales menaces 13
1.1.1 Définition d’une menace 14
1.1.2 Les catégories de menaces 15
1.1.3 Quelles sont les types de menaces ? 16
1.1.4 Quelques menaces actuelles 19
1.1.4.1 Le malware ou logiciel malveillant 19
1.1.4.1.1 Les virus et vers 20
1.1.4.1.2 Les spywares 21
1.1.4.1.3 Les chevaux de Troie 23
1.1.4.1.4 Les rootkits 23
1.1.4.2 Le phishing 24
1.1.4.3 Le spam 25
1.1.4.4 Les botnets 27
1.1.4.4.1 Pourquoi un botnet ? 28
1.2 Des menaces actuelles aux menaces futures 30
1.2.1 Des formes avancées de phishing 30
1.2.1.1 Le pharming 30
1.2.1.2 Le spear phishing 30
1.2.1.3 Le typosquatting 31
1.2.1.4 Le tabnabbing 32
1.2.2 Des botnets encore très actifs et innovants 33
1.2.2.1 Stuxnet, une forme de botnet 33
1.2.2.2 Des botnets « volontaires » 35
1.2.2.3 Les attaques de type « bot killers » 36
1.2.2.4 Mobiles : des botnets font leur apparition 37
1.2.3 De nouvelles méthodes ou modes de diffusion des menaces 38
1.2.3.1 Les attaques de type « piggyback » 38
1.2.3.2 Le téléchargement automatique : une exploitation de vulnérabilités du navigateur internet 38
1.2.3.2.1 Attaques iFrame et Injections SQL 39
1.2.3.2.2 Attaques XSS (Cross-Site Scripting) 40
1.2.3.3 La diffusion par les réseaux sociaux 40
1.2.3.4 L’explosion de l’ingénierie sociale 42
1.2.4 De nouveaux « keyloggers » 46
1.3 Des menaces d’un autre horizon 47
1.3.1 Cyberguerre, Hacktivisme 47
1.3.2 L’informatique dans les nuages : une menace ? 50
2 Les pratiques de sécurité. 53
2.1 Un état des lieux 53
2.1.1 L’informatique en entreprise 53
2.1.2 Le particulier et l’informatique 56
2.2 Quelles pratiques, solutions et méthodes de sécurité ? 58
2.2.1 Qu’est ce que la sécurité informatique ? 58
2.2.1.1 Qu’est ce qu’un CERT ? 59
2.2.2 Quelles pratiques de sécurité face aux menaces ? 60
2.2.2.1 Face au spam 60
2.2.2.2 Le phishing, spear phishing, spam que faire ? 61
2.2.2.3 La sécurité sur Internet et en général 63
2.2.2.4 Les terminaux de troisième génération, quelles mesures de sécurité à adopter ? 66
2.2.2.5 Cloud Computing : Quelles solutions de sécurité ? 67
2.2.2.6 Et concernant l’ingénierie sociale ? 69
2.2.2.7 Sensibiliser l’utilisateur 70
2.2.2.7.1 Au niveau de l’entreprise 70
2.2.2.7.2 Des utilisateurs qui sont aussi : des particuliers et des parents 74
2.2.3 Gérer son E réputation 75
2.2.4 Anonyme sur internet 77
2.2.5 Entreprises : Quelles méthodes de sécurité à appliquer ? 78
2.2.5.1 La méthode EBIOS 79
2.2.5.2 La méthode MEHARI 80
2.3 Trois acteurs de la lutte contre la criminalité informatique 80
2.3.1 L’OCLCTIC 81
2.3.2 La BEFTI 84
2.3.3 La Gendarmerie (NTECH) 88
2.3.4 En résumé, sur ces 3 acteurs majeurs 94
Lexique
