Après un historique sur les armes dans la première partie de son expertise (cliquer ici), Julien Vimch, membre d’IT Social et CISO d’un grand groupe de luxe, prolonge parcours en évoquant les cyber-armes.
Les épisodes, publiés tout au long de la semaine, évoquent :
- L'évolution des armes au fil du temps
- Les cyber-armes
- Le cyber-crime organisé
- L’arme de la communication
- L'arme de la communication pour gérer un conflit avec un hacker
Les cyber-armes ont vu le jour vers la fin du 20ème siècle et, comme les armes à poudre, se sont développées en fonction de l'intérêt qu’elles procurent. Comme l'intérêt est majoritairement financier/économique, mais aussi militaire, beaucoup d'organisations les ont optimisées, ce qui a contribué à des évolutions très importantes en peu de temps.
Du piratage unitaire d'un poste informatique (Premier ver informatique "I love you", lire ici) à la paralysie d'un ensemble de postes (la société Aramco a constaté la paralysie de ses 40.000 postes informatiques en même temps en août 2012), ou encore des entreprises industrielles (la société iranienne productrice d'Uranium enrichi "attaquée" par Stuxnet en 2010) , les cyber-armes sont devenues un enjeu que même la diplomatie mondiale prend en compte (lire ici).
Les différentes techniques d'attaque sont nombreuses et les cybercriminels en développent de nouvelles régulièrement. Cependant, il y a quatre grandes classes :
- Les attaques unitaires, sur la base d’une fausse identité, elles vont jouer sur la sensibilité de leur cible pour extraire de l'argent ou de l'information ;
- Les attaques par déni de service, interruption du service suite au trop grand nombre de requêtes envoyées par beaucoup de serveurs simultanément ;
- Les attaques de type piège, qui "par hasard" vont atteindre une cible, attaques appelées par les Anglo-Saxons le Water holing, cas du Crocodile qui patiente de manière invisible dans l'eau, en attendant sa cible (ces attaques sont peu répandues à cause du hasard et de l'impatience de leur maître) ;
- Les Advanced Persistant Threats (APT), comme un mix d'une attaque ciblée et longuement préparée pour un objectif financier ou politique ambitieux, ou pour des données hautement sensibles. Certaines portent le nom de "Whaling" ou chasse au "gros".
La spearphishing
Actuellement, on constate une optimisation de la première catégorie avec l'utilisation d'informations sur la cible obtenues depuis les réseaux sociaux. Cette technique, appelée le spearphishing, est parfaitement préparée et souvent pour un montant financier important. Le cas le plus connu est la "fraude au président" (Technique utilisée par G. Chikli, recherché par plusieurs polices, et actuellement protégé par Israël qui refuse son extradition http://fr.timesofisrael.com/les-criminels-juifs-francais-utilisent-ils-israel-pour-echapper-a-la-justice/ ).
La demande de rançon (ransomware)
En cette fin 2016, un cas particulier de ces attaques est certainement la demande de rançon contre le déchiffrement des fichiers de son ordinateur, que l'on devrait mettre dans la catégorie de l'attaque par hasard (water-holing) sachant combien les médias ont relatés ces attaques !
Le principe est simple : depuis un mail reçu par une personne dont vous avez confiance (usurpation d'une identité connue dans la plupart des cas ou simple curiosité de la personne qui reçoit le mail), vous ouvrez un fichier contenant un programme exécutable ou vous cliquez sur un lien qui vous renvoi sur un site Internet frauduleux, et un programme s'installe sur votre ordinateur, chiffrant tous vos fichiers et ceux auxquels votre ordinateur accède.
Il existe depuis 2005 un grand nombre de ransomwares, mais ce n'est que depuis 2016 que le nombre de variantes de ce virus est en forte croissance. Depuis 1989, avec le premier PC CYBORG Trojan (lire ici) qui réclamait 189 $ pour livrer la clef de déchiffrement, aux toutes dernières versions qui utilisent des toolkits sur Internet, il y a eu beaucoup d'amélioration.
L'une des dernières évolutions, et la plus simple à utiliser, est celle de Petya et Mischa, qui est de type Ransomware as a Service (RaaS). Le premier fut Cerber (février 2016), dont une version de déchiffrement est disponible en Bitcoins : (lire ici). Cela permet de ne pas avoir à investir dans une plate-forme dans le Darknet. Ce Ransomware (lire ici) est en location, et la rétribution de l'auteur est un pourcentage pris sur les gains (de 85 à 15% ; taux dégressif en fonction des gains par semaine).
Enfin, l'utilisation de ces plates-formes de type RaaS devient très accessible pour les hackers dont la tâche se limite à ouvrir un compte en Bitcoins et trouver des adresses mails pour envoyer le message le plus approprié aux victimes ; lesquelles adresses mails s'achètent par milliers sur Internet ! Le paiement est facilité par l'utilisation de comptes bancaires en Bitcoins (lire ici) uniquement accessibles dans le Darknet, et sera de plus en plus sécurisé puisque même certaines banques et des commerçants commencent à l'utiliser.
RaaS pour Etats conciliants
Les Ransomwares as a Service offrent aussi des facilités pour devenir des armes virtuelles brutales, accessibles rapidement pour un hacker professionnel ; lequel hacker peut choisir un état où il sera protégé contre les demandes d'extraditions de la communauté internationale. Des états seront intéressés par le revenu financier généré par les entrées d'argent dans le pays. C’est le cas de beaucoup de pays d'Europe Centrale : Roumanie, Bulgarie, Ukraine, Kazakhstan, Tchétchénie, mais aussi des pays du Moyen Orient, d'Afrique du Nord et d'Afrique sub-saharienne !
L'arme est simple, efficace, indolore pour celui qui l'utilise, et lui permet de vivre dans un monde virtuel tout en ayant des revenus sous forme de Bitcoins.
A la lecture de la cotation du Bitcoins et de son évolution depuis le début, on pourrait même croire qu'il serait intéressant d'investir dans cette monnaie (lire ici). Il reste que cette monnaie est virtuelle et ne repose pas sur un équivalent or ; pas de compensation possible. Mais cette approche de l'argent en monnaie de référence n'est peut-être plus la bonne, alors que beaucoup d'états sont déjà endettés au-delà de leur réserve en or. La tendance serait que l'argent ne devienne alors qu'une monnaie d'échange, à l'image du nombre de sites et de commerçants qui acceptent déjà des monnaies virtuelles (lire ici).
On peut prédire, voir espérer, que les Etats trouveront la possibilité de taxer cette monnaie au niveau international, afin d'au moins contrôler et réduire les transactions frauduleuses.
A suivre : Le cyber-crime organisé
Image d’entête 540199462 @ iStock RedlineVector