Your SlideShare is downloading. ×
Les marchés noirs de la cybercriminalité
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Les marchés noirs de la cybercriminalité

3,722
views

Published on

Présentation sur la face cachée de la cybercriminalité : les blackmarkets

Présentation sur la face cachée de la cybercriminalité : les blackmarkets

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
3,722
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
61
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Lundi 17 septembre 2012« Lundi de l’IE »Barbara Louis-SidneyCharles IbrahimNicolas Caproni
  • 2. ! !!Barbara%Louis+Sidney,!consultante!juriste!@b_sydney!! !!Charles%Ibrahim,%analyse!cybercriminalité!@Ibrahimous!! !!Nicolas%Caproni,!consultant!en!sécurité!des!systèmes!d’informa;on!@ncaproni!%Pôle%Management%des%Risques%de%CEIS,%cabinet!de!conseil!en!stratégie!et!ges;on!des!risques!Les intervenants
  • 3. CEIS!est!une!société!de!conseil!en!stratégie!et!en!management!des!risques,!créée!en!1997!par!Olivier!Darrason.!%CEIS%compte!aujourd’hui!80!consultants!alliant!:!!!! !une!compétence!mé;er!(veille,!communica;on,!analyse!financière,!cybersécurité…)!! !une!spécialisa;on!sectorielle!dans!les!mé;ers!des!clients!:!défense,!agroPalimentaire,!biotechnologies,!transport,!finance…!Présentation rapide deCEIS
  • 4. En! juin! 2011,! CEIS! publie! un! livre! blanc! consacré! au!«!marché!noir!de!la!cybercriminalité!».!L’étude%a%nécessité%environ%8%mois%de%travail%notamment%sur%:%! !!l’observa;on!de!ces!«!black!markets!»!! !!l’interac;on!avec!certains!cybercriminels!! !!la!récolte!d’informa;ons!1% an% après,% l’étude! reste! per;nente,! même! si! la!cybercriminalité!évolue!con;nuellement.!Le contexte
  • 5. 1.  Scénarios!d’aVaques!cybercriminelles!2.  Les!supports!de!la!cybercriminalité!3.  L’économie!de!la!cybercriminalité!:!zoom!sur!les!monnaies!virtuelles!4.  Retour!sur!les!faits!d’armes!des!cybercriminels!en!2012!5.  Retour!sur!la!luVe!contre!la!cybercriminalité!:!entre!réussites!et!limites!de!la!coopéra;on!interna;onale!6.  La!luVe!contre!la!cybercriminalité!en!entreprise!Plan de l’intervention
  • 6. Scénarios%d’aIaques%cybercriminelles%%1.  Un!scénario!de!vol!et!revente!de!données!sur!les!black!markets!2.  Un!scénario!d’extorsion!d’argent!à!l’étranger!
  • 7. Lancement(d’une(a,aque(par(injec2on(SQL(contre((un(site(de(commerce(en(ligne.((1.  Un scénario de vol et revente de données sur les black markets1. Une attaque par injectionSQL
  • 8. «(Je(vends(un(dump(d’une(base(de(donnée(avec(beaucoup((de(cartes(de(crédit((3000)(de(plusieurs(pays(européens,((envoyezFmoi(un(message(privé(»(1.  Un scénario de vol et revente de données sur les black markets
  • 9. 1.  Un scénario de vol et revente de données sur les black markets
  • 10. 1.  Un scénario de vol et revente de données sur les black markets
  • 11. Des!cas!peu!média;sés!!Une!tendance!forte!qui!va!s’accélérer!avec!l’augmenta;on!des!fuites!de!données!!2. Scénario d’extorsion d’argentScénario d’extorsion (1/2)
  • 12. Piratage!d’une!base!de!données!!Créa;on!d’un!site!non!référencé!pour!y!exposer!des!échan;llons!(ou!Pastebin)!Scénario d’extorsion (2/2)Contact!avec!l’entreprise!pour!vendre!la!base!de!données!piratées!!Bluff!/!vente!à!d’autres!;ers!! 2. Scénario d’extorsion d’argent
  • 13. Une!situa;on!compliquée!à!gérer!!Collabora;on!avec!les!autorités!Impacts pour l’entrepriseRisque!de!fuite!dans!les!médias!!Aucune!garan;e!en!cas!de!paiement!d’une!rançon!!2. Scénario d’extorsion d’argent
  • 14. ! !!Un!groupe!de!pirates!«!Rex!Mundi!»!lance!un!ul;matum!à!la!société!Crédiprêt!! !!Ils!auraient!réussi!à!pirater!des!données!confiden;elles!contenant!des!informa;ons!(bancaires)!sur!les!clients!de!la!société!! !!Ils!menacent!de!les!divulguer!sur!Internet!si!la!société!ne!paye!pas!une!rançon!de!20!000!euros!%!Une société de crédit niçoise menacée par des pirates2. Scénario d’extorsion d’argent
  • 15. ! Les!pirates!dévoilent!un!extrait!de!la!base!de!données!pour!prouver!leur!aVaque.!! !!La!société!refuse!de!payer!la!rançon!! Les!pirates!diffusent!les!données!sur!Pastebin!!%!Une société de crédit niçoise menacée par des pirates2. Scénario d’extorsion d’argent
  • 16. Les%supports%de%la%cybercriminalité%
  • 17. Catégories des sites de cybercriminalité (1/2) : les forums"  Convergence!criminalité!virtuelle!et!physique!"  Infrac;ons!en!chaîne!"  Fraudes,!hacking,!hébergement!de!sites!illégaux!/!serveurs!de!spam!!"  Discussions!en!plusieurs!langues!"  Annonces!publiques,!puis!MP!"  Semblables!aux!forums!classiques!!!
  • 18. Catégories des sites de cybercriminalité (2/2) : les shops"  Page!d’entrée!shop!"  Infos!disponibles!à!l’achat!:!#  n°!complet,!CVV,!banque,!date!d’expira;on,!type!(Visa,!Mastercard,!…)!#  Données!du!«!track!»!pour!fabrica;on!carte.!"  Skimming!"  Phishing!"  Hack!"  …!
  • 19. Focus sur le skimming$  Récupération illégale de données sur la bande magnétique (track) de la carte bancaire d’unusager, puis copie sur une carte vierge."  Stockage!:!#  Mémoire!flash!#  Fichier!audio!#  Transmission!radio!/!GSM!Skimmer audio pour distributeurs ATMDiebol Opteva 760"  «!Écoute!»!les!données!transmises!et!les!enregistre!sur!de!la!mémoire!flash!embarquée!"  Un!faux!panneau!vient!s’adapter!sur!la!fente!originale!d’un!ATM!"  MiniPcaméra!vidéo!pour!enregistrement!du!PIN!tapé!par!les!vic;mes!lorsque!la!fente!du!skimmer!est!ac;vée.!"  BaVerie!incluse!d’environ!6!heures!
  • 20. Les outils de communication : ICQ, Jabber
  • 21. Autres produits (1/5)"  Tutoriels!de!virusologie,!d’implémenta;on!de!malwares,!de!hacks!divers!et!variés!"  Service!d’anonymisa;on!"  …!"  Cryptage/!décryptage!des!données!"  Services!de!spam!"  Carding("  …(!
  • 22. Autres produits (2/5)Cartes!«!USB!»!(Credit(s2ck)!Cartes! possédant! entre! 300! et! 500! dollars,!vendues!entre!10%!et!12%!de!leur!valeur!"  Briques!de!botnet…!"  Pas!de!compétence!technique!requise!:!CaaS$"  Ransomware,!kits!de!phishing,!troyens…!
  • 23. Autres produits (3/5)Comptes Paypal Faux papiersIdentifiantsgouvernementaux …
  • 24. Autres produits (4/5)«(Nous(hébergeons(pra2quement(tout,(dont(des!malwares((par(exemple(Zeus(ou(SpyEye),(des(an2virus,(du(spam(d’emails…(»(«(Nos(services(:(P  Hébergement(P  VPS/VDS(P  Enregistrement(de(domaines(P  Cer2ficats(SSL(»(Xrumer(:(vente(de(la(dernière(version((piratée)(
  • 25. Autres produits (5/5)Offre de connexion VPNRecherche d’identité par n°de sécurité sociale / date denaissanceLiens vers des serveurs SOCKS non officiels
  • 26. Infrastructures : les serveurs bulletproof
  • 27. Infrastructures : des hébergements aux quatre coins dumonde! !!Etude!de!la!localisa;on!des!serveurs!hébergeant!15!sites!de!Black!Markets!(shops!et!forums)!!27%%13%%13%%
  • 28. La technique du fast-flux"  Suppose!que!le!cybercriminel!dispose!:!#  dun!nom!de!domaine!complet!(Fully(Qualified(Domain(Name)!#  dun!ensemble!de!machines!compromises,!ayant!des!adresses!IPs!dis;nctes!;!!"  que!les!associa;ons!entre!nom!de!domaine!/!adresses!IPs!précédentes!changent!très!fréquemment!"  Renforcement!de!l’accessibilité!/!anonymisa;on!:!serveurs!bulletproof,!non!directement!connectés!aux!fournisseurs!d’accès!à!Internet"  Serveurs!upstream!sont!légaux,!relaient!les!ac;ons!des!serveurs!bulletproof!
  • 29. Tout!le!monde!peut!s’improviser!cybercriminel.!Conclusion : les dernières tendances - Outils clés en main
  • 30. Des!nombreuses!offres!d’emploi!ou!de!services.!Conclusion : les dernières tendances - Professionnalisation
  • 31. L’économie%de%la%cybercriminalité%:%Zoom%sur%les%monnaies%virtuelles%
  • 32. Surveillance%de%5%shops%pendant%un%mois%:%%! !!Plus!de!800!000!$!de!chiffre!d’affaires!sur!l’ensemble!des!sites!(pour!un!mois!seulement).!!! !!Les!pays!les!plus!touchés!:!" !Corée!du!Sud!" !USA!" !NouvellePZélande!" !La!France!représente!“seulement”!7!000!$!des!ventes!totales.!
  • 33. Espèces,!CB…!Réel! Virtuel!Sociétés!d’échange!Achat,!vente!Monnaies!virtuelles!Intermédiaire!
  • 34. 4%caractérisQques%essenQelles%%!! !!Opacité!!!! !!Flexibilité!!! !!Anonymat!!!! !!Paradoxe!:!complexité!(diffus,!morcelé,!organisé,!etc.)!et!simplicité!d’accès/de!mise!en!œuvre!!
  • 35. Exemples
  • 36. Retour%sur%les%faits%d’armes%des%cybercriminels%en%2012%Sources :Extraits d’une veille Internet en sources ouvertes (Twitter, blog deBrian Krebs, CERT XMCO, zataz, 01net, infosecisland.com…)
  • 37. Une année 2012 riche pour les cybercriminels… et les cyberpoliciersMarsMicrosoft fait tomber desdouzaines de botnets Zeuset SpyEye.Février« Crimeverstising » : despublicités de cybercriminelsd a n s l e s i n t e r f a c e sd’administration des botnetsDes « ransomware » sepropagent et se font passerpour les forces de police.JanvierLa Grande-Bretagne lance 3nouvelles unités régionalesanti-cybercriminalitéDes hackers brésiliensvendent des cours de« cybercrimes ».
  • 38. Une année 2012 riche pour les cybercriminels… et les cyberpoliciersUne boutique de cardersinfiltrée : 15 000 donnéesbancaires dans la nature.Une nouvelle variante deZeus est proposée sur lesBlack Markets : elle permetde cibler Facebook, Gmail,Hotmail et Yahoo!Avril Mai JuinUne trentaine de noms dedomaines appartenant à desBlack Markets saisis par leDOJLa police russe arrête unpirate russe qui contrôlait unbotnet de 4 millions demachines zombies.
  • 39. Une année 2012 riche pour les cybercriminels… et les cyberpoliciersVente de 0-Day Plesk surles Black MarketsLe kit d’exploit BlackHoleintègre la nouvelle failleJavaJuilletCybercriminalité: plus de 10millions de Français victimes en2011 selon SymantecAoût Septembre
  • 40. Retour%sur%la%luIe%contre%la%cybercriminalité%:%%entre%réussites%et%limites%de%la%coopéraQon%internaQonale%
  • 41. Etat%des%lieux%:%un%écosystème%truffé%d’infracQons%%!! !!Fraude!à!la!carte!bancaire!(carding,!skimming),!! !!Escroquerie!(phishing,!etc.),!! !!AVeintes!aux!STAD,!! !!Déten;on,!mise!à!disposi;on!d’équipements!d’aVeinte!aux!STAD,!! !!Associa;on!de!malfaiteurs,!! !!Blanchiment!d’argent,!! !!Contrefaçon,!! !!Recel,!! !!Etc.!
  • 42. La%responsabilité%de%nombreux%acteurs%pourrait%être%engagée%%%!! !!Cybercriminel!(skimmeur,!fraudeur,!pirate!malveillant…)!! !!Acheteur!!! !!Vendeur!! !!Mule!! !!Opérateur!de!monnaie!virtuelle!opérant!dans!l’illégalité!! !!Hébergeur!de!serveurs!bulletproof!!!
  • 43. Les%freins%à%la%luIe%contre%cet%écosystème%%!! !!Des!délits!indolores!! !!Absence!de!plainte!! !!Vola;lité!et!rapidité!des!opéra;ons!! !!Manque!de!coopéra;on!interna;onale!et!d’harmonisa;on!des!corpus!juridiques!!!!
  • 44. Echelle%naQonale%%! !!Disposi;f!Godfrain!! !!AVeinte!aux!données!à!caractère!personnel!! !!Organismes!dédiés!!Fer%de%lance%de%la%coopéraQon%internaQonale%%%%! !!Conven;on!de!Budapest!sur!la!cybercriminalité!! !!Taux!d’adop;on!rela;vement!faible,!malgré!la!ra;fica;on!récente!de!l’Autriche,!la!Belgique,!la!Géorgie!et!le!Japon.!!!
  • 45. Renforcement!de!la!luVe!contre!les!paradis!fiscaux!et!numériques!/!hébergeurs!bulletproof!!Homogénéisa;on!des!législa;ons!:!Poursuivre!l’élargissement!de!l’adop;on!de!la!Conven;on!de!Budapest!!Renforcement!de!la!coopéra;on!interéta;que!
  • 46. Clarifica;on!du!statut!juridique!des!opérateurs!de!monnaie!virtuelle!à!l’échelle!interna;onale!!Envisager!des!sanc;ons!contre!les!Etats!négligents!?!!!Développer!la!luVe!contre!les!infrastructures,!la!logis;que!cybercriminelle!
  • 47. Renforcement!de!la!coopéra;on!!public!/!privé!–!respect!de!la!vie!privée!!Développements!des!moyens!!d’enquêtes!!Sensibilisa;on!des!u;lisateurs!(par;culiers,!entreprises…)!
  • 48. La%luIe%contre%la%cybercriminalité%%en%entreprise%
  • 49. ! !La!loca;on!de!botnets!va!servir!à!lancer!des!aVaques!DDoS!contre!des!sites!Internet!ou!des!services!Web!!⇒ (extorsion(⇒ (perte(de(chiffres(d’affaires((eFcommerce)(!!  ! ! La! vente! de! malwares! et! d’exploits! va! permeVre!d’aVaquer!les!systèmes!d’informa;on!de!l’entreprise!!!⇒ (vol(et(fuite(de(données((confiden2els(:(clients,(personnels,(eFmails,(fichiers…),(perturba2ons(sur(le(réseau…(⇒ (a,einte(à(l’image(de(l’entreprise((⇒ (perte(de(confiance(des(clients(Quels impacts ?
  • 50. !  Respect!des!bonnes!pra;ques!de!sécurité!(=>(pour(lu,er(contre(les(infec2ons(de(malwares,(les(a,aques(exploitant((des(vulnérabilités(connues(et(non(corrigées((l’éternelle(nécessité(du(patch((management)((! !!Développement!des!démarches!SIEM!/!SOC!!=>(pour(détecter(les(menaces(en(exploitant(des(logs(souvent(inexploités((=>(pour(détecter(les(machines(«(zombies(»(poten2ellement(présentes(sur((son(réseau((!!! !!Renforcer!les!capacités!de!veille!!=>!pour!détecter!le!plus!en!amont!possible!les!signaux!faibles!!=>!pour!être!au!courant!des!dernières!failles,!exploits,!techniques!!cybercriminelles!(surveillance!des!Black!Markets)!Comment répondre aux menaces cybercriminelles ?
  • 51. ! !!Sensibiliser!le!personnel!/!les!clients!!(=>(pour(ne(pas(oublier(que(le(facteur(humain(est(souvent(le(vecteur(n°1((d’a,aque(des(cybercriminels((! !!Porter!plainte!et!no;fier!les!aVaques!aux!autorités!concernées!(CNIL,!Police,!Gendarmerie,!ANSSI,!etc.)!!=>(pour(faire(avancer(les(enquêtes(et(la(lu,e(contre(la(cybercriminalité((=>(pour(perme,re(des(retours(d’expériences((Comment répondre aux menaces cybercriminelles ?