Cybercriminalité 2010

Les attaques informatiques se multiplient que ce soit au niveau de sites gouvernementaux (récents évènements entre sites sensibles américains et pirates supposés chinois), de sites de réseaux sociaux (récentes attaques sur Facebook ainsi que Twitter) ou tout simplement au niveau des utilisateurs particuliers. Ainsi la société McAfee, spécialisée dans la sécurité informatique, a publié un rapport prévisionnel 2010 en matière de menaces.

En voici quelques grandes lignes :

• « Les sites de réseau social tels que Facebook seront confrontés à des menaces plus sophistiquées en raison de l’augmentation du nombre d’inscrits. L’explosion des applications sur Facebook et d’autres services constituera un vecteur idéal pour les cybercriminels, qui exploitent le sentiment de confiance instinctif entre amis pour inciter les utilisateurs à cliquer sur des liens dont ils se méfieraient sans cela. »

• « L’arrivée de HTML 5 rendra plus floue la démarcation entre les applications bureautiques et les applications en ligne, ce qui, avec la distribution du système d’exploitation Google Chrome, offrira aux auteurs de logiciels malveillants une nouvelle possibilité d’abuser les utilisateurs. »

• « Les cybercriminels s’en prennent depuis toujours aux produits Microsoft en raison de leur popularité. Tout porte à croire qu’en 2010, les logiciels Adobe, et plus particulièrement Acrobat Reader et Flash, seront les principales cibles dans la ligne de mire des cybercriminels. »

• « La popularité de Twitter a favorisé l’adoption croissante de services d’URL abrégées, comme bit.ly et tinyurl.com. Ces services sont désormais présents dans de nombreux types de communications, ce qui facilite d’autant le masquage des URL sur lesquelles les utilisateurs sont invités à cliquer. Ce stratagème prendra de l’ampleur en 2010 dans la mesure où il représente le vecteur idéal pour diriger les utilisateurs vers des sites web auxquels ils hésiteraient normalement à accéder. »

Exemples d’attaques :

• « En 2009, quelques incidents majeurs ont fait la une de l’actualité, mais ce ne sont que le sommet de l’iceberg dans la mesure où de tels épisodes sont rarement rendus publics. En mars, après une enquête longue de dix mois, les autorités ont mis au jour « GhostNet », un réseau comptant au moins 1 295 ordinateurs compromis dans 103 pays. Ces derniers appartenaient principalement à des organismes publics, des associations caritatives et des activistes. L’attaque avait été menée au moyen d’e-mails comportant des lignes d’objeten rapport avec le Tibet et le Dalai Lama. Ils contenaient des pièces jointes malveillantes qui permettaient de connecter les ordinateurs infectés à des systèmes basés en Chine. (Il n’existe toutefois aucune preuve de l’implication du gouvernement chinois dans cette affaire.) »

• « L’organisation suisse MELANI (Centrale d’enregistrement et d’analyse pour la sûreté de l’information) a fait état d’une vague d’attaques très ciblées contre les équipes de direction de grandes sociétés. Un e-mail accompagné d’une pièce jointe faisant référence à un virement bancaire a été utilisé pour cette attaque. Lorsque la victime ouvre la pièce jointe, en l’occurrence un fichier portant l’extension .rtf, un logiciel malveillant est installé et enregistre tous les répertoires accédés via l’Explorateur Windows, tous les sites web visités et toutes les données entrées dans des formulaires. Le logiciel envoie ensuite ces informations à divers serveurs. »

• « En septembre, une attaque a été lancée contre des journalistes de divers médias, dont les agences France Presse, Dow Jones et Reuters basées en Chine. Les e-mails de l’attaque semblaient émaner d’un rédacteur du Straits Times, un journal de Singapour publié en anglais, et comportaient une pièce jointe au format PDF. L’ouverture de la pièce jointe exploitait une vulnérabilité d’Adobe Acrobat et entraînait l’installation d’un logiciel malveillant qui connectait les systèmes à des ordinateurs compromis à Taïwan. La période de l’attaque correspondait au 60e anniversaire de la fondation de la République populaire de Chine mais, une fois encore, il n’existe aucune preuve d’une implication du gouvernement chinois. La pièce jointe était rarement détectée par les antivirus, ce qui caractérise généralement ces attaques ciblées. »

A propos des risques sur les transactions en ligne :

• « Le développement le plus récent, et sans doute le plus inquiétant, concerne la famille Zeus. Ces chevaux de Troie sont régulièrement mis à jour avec de nouvelles versions et vendus dans des forums clandestins à tous les amateurs désireux de se lancer dans ce type d’activités délictueuses. Associé à un serveur de contrôle et de commande, Zeus bénéficie d’une configuration très flexible qui permet de le modifier facilement en fonction des besoins spécifiques du cybercriminel. Il existe désormais une console d’interception qui permet à un pirate d’opérer en temps réel. Ce type d’attaque se déroule d’une façon précise. Lorsque la victime se connecte à son compte bancaire en ligne, elle voit une barre de maintenance qui progresse lentement jusqu’à ce qu’elle soit remplie. Ensuite, l’utilisateur doit répondre à des questions de sécurité supplémentaire, dans des pages reproduisant fidèlement le site web de la banque. Ces étapes permettent au pirate de gagner du temps. Dès le moment où l’utilisateur se connecte, l’auteur de l’attaque est averti et initie une transaction pendant que la victime attend. Au cours de l’étape suivante, la victime est invitée à enregistrer son numéro de téléphone portable et à le confirmer à l’aide d’un numéro iTAN spécifique. Le pirate utilise ce numéro iTAN, exigé par la banque, pour réaliser la transaction illicite. Dès que la victime a entré le numéro iTAN, le pirate exécute la transaction et l’utilisateur voit s’afficher un message indiquant que l’enregistrement du téléphone a réussi mais que le système bancaire en ligne est fermé pour maintenance. »

Bref… restez prudents !