Les pirates ont dépassé le stade du vol de secrets d’entreprise et de gouvernement et de la dégradation de pages web pour se lancer dans des activités plus lucratives. Ils volent de l’argent liquide et des cartes de crédit, commettent des fraudes, extorquent des gens et vont même jusqu’à chiffrer des données et les garder jusqu’à ce que la victime paie une somme d’argent pour les récupérer.
Au cours des trois ou quatre dernières années, le profil des cybercriminels a changé. Auparavant, lorsque les gens créaient et distribuaient des vers et des virus, les cybercriminels de nos jours veulent se faire un nom et rechercher de la notoriété.
Les vers et les virus provoquent un trafic important ; font planter de nombreux serveurs jusqu’à ce qu’un correctif soit déployé pour pouvoir attaquer votre organisation.
Le grand changement qui s’est produit au cours des trois dernières années est le résultat de l’augmentation significative du volume des transactions commerciales effectuées sur Internet.
Comme les entreprises gagnent de plus en plus d’argent grâce au commerce électronique, les cybercriminels veulent avoir leur part. La motivation de la grande majorité des cyberattaques est désormais l’argent.
Le profil des pirates informatiques est passé d’amateurs à des professionnels qui veulent gagner de l’argent et — dans de nombreux cas — ces professionnels sont très organisés. C’est leur travail à plein temps.
Dans certains cas, les escrocs engagent d’autres personnes comme mules pour transférer l’argent d’un endroit à l’autre, ce qui rend leur réseau étendu et organisé.
En réalité, nous ne luttons plus contre des amateurs.
Voyons un peu ce que font les cybercriminels professionnels et ce que vous pouvez faire pour vous en protéger.
Les réseaux criminels organisés
Un exemple de réseau criminel organisé est le Russian Business Network. Il est à l’origine de botnets tels que Storm, qui ont compromis plus d’un million d’ordinateurs. Storm est un botnet basé sur le peer-to-peer qui peut être utilisé pour le déni de service, l’enregistrement des clés et plusieurs autres actions malveillantes.
Le Russian Business Network serait également responsable d’un logiciel appelé Malware Alarm. Ce malware fait apparaître une boîte de dialogue sur votre ordinateur, avec un message disant : « Nous pensons que votre ordinateur est infecté par un malware. Veuillez cliquer ici pour le désinfecter ».
Bien sûr, si vous cliquez sur le lien, cela infectera votre ordinateur au lieu de le désinfecter.
Le Russian Business Network est un groupe très organisé. Les cybercriminels louent les appareils de ces botnets pour quelques euros par jour, et donnent un binaire. Vous pouvez utiliser le binaire pour contrôler les ordinateurs qu’ils louent.
Attaques de ransomware et chiffrement de fichiers
Une nouvelle tactique utilisée par les voleurs consiste à chiffrer des fichiers sur l’ordinateur d’une victime et à demander une rançon pour les déverrouiller. Le malware Cryptolocker est l’un des outils utilisés à cette fin. En novembre, la National Crime Agency du Royaume-Uni a prévenu que des dizaines de millions de personnes avaient été ciblées par des spams contenant Cryptolocker.
Si vous êtes victime d’une attaque via Cryptolocker, un pirate pourrait verrouiller à jamais une feuille de calcul ou un document où vous conservez tous vos contacts, vos données personnelles et vos mots de passe.
Même si ces données ont peu ou pas de valeur pour le pirate, elles peuvent être très importantes pour vous. Vous envisageriez donc certainement de payer 1 bitcoin (454 euros), pour les récupérer.
L’email qui distribue cyptolocker contient un fichier zip. Ceux-ci contiennent des fichiers PDF avec une icône PDF dont le suffixe réel du fichier est .exe. Mais les gens ne verront pas qu’il s’agit d’un fichier .exe, car l’affichage des extensions de fichiers est désactivé par défaut dans Windows. La victime décompresse donc le fichier, clique sur le PDF et installe le virus.
Cryptolocker peut alors commencer à chiffrer ses fichiers, et il se connecte à Internet pour télécharger encore plus de malware. La victime ne peut pas déverrouiller le fichier elle-même en recherchant la clé de déchiffrement dans le registre ou le système de fichiers de Windows.
Cryptolocker est bien plus sophistiqué que cela. Il contacte son serveur de commande et de contrôle pour télécharger les clés de chiffrement. Il est également tolérant aux pannes.
Il n’y a pas qu’une poignée de serveurs de commande et de contrôle, ce qui pourrait être bloqué par une application. Au lieu de cela, les voleurs ont adopté l’approche P2P de l’informatique distribuée, qui s’appelle Gameover Zeus, comme expliqué
Gameover Zeus
Le botnet Gameover Zeus est un réseau de 500 000 à 1 million d’ordinateurs Windows infectés par le virus Gameover, qui est utilisé pour traiter les paiements et télécharger les clés de chiffrement de Cryptolocker.
Krebs on Security a rapporté en juin 2014 que le ministère de la Justice américain a travaillé avec les forces de l’ordre du monde entier pour prendre le contrôle du botnet Gameover Zeus.
En Le botnet Gameover est utilisé pour traiter les paiements et télécharger les clés de chiffrement de Cryptolocker. Selon Krebs, Gameover a été utilisé pour voler plus de près de 85 millions d’euros à des banques, des entreprises et des consommateurs.
Les complices de ce crime sont des gens ordinaires qui, sans le vouloir, ont laissé leurs ordinateurs être piratés, devenant ainsi des proxies pour ce crime.
Un pirate ordinaire peut louer un botnet pour lancer, par exemple, une attaque par déni de service. Gameover Zeus est beaucoup plus complexe.
Si ses serveurs de commande et de contrôle sont mis hors service, le système génère des noms de domaine aléatoires se terminant par .ru, .com, .info et .biz, puis consulte les serveurs DNS de premier niveau pour voir quels nouveaux domaines ont été enregistrés et si l’un d’entre eux correspond, puis bascule sur celui-ci.
En d’autres termes, si les forces de l’ordre mettent hors service les serveurs de commande et de contrôle existants, les voleurs peuvent en enregistrer des centaines d’autres pour remettre le trafic en ligne. Gameover recherche simplement tout nouveau nom de domaine qui correspond à un certain modèle et s’y connecte.
Braquage de banques en ligne
Grâce à Internet, les voleurs de banque n’ont plus besoin d’avoir beaucoup de monde dans leur équipe. L’ancien moyen de voler le compte bancaire d’une personne consistait à remplacer le lecteur de carte d’un distributeur automatique par un lecteur piraté et à installer une caméra pour lire le code pin lorsque le client bancaire le tape, puis à cloner sa carte de débit.
Une personne victime d’un tel vol de compte dispose de différents niveaux de protection selon l’endroit où elle vit, si elle a une assurance, quel type de compte elle possède et de la quantité d’argent volée. Mais la protection des consommateurs ne s’étend pas toujours aux entreprises, où un virement peut atteindre des centaines de milliers ou des millions de dollars.
ComputerWorld rapporte qu’un juge a décidé qu’une banque américaine ne pouvait être tenue pour responsable du vol de plus de 370 000 d’euros sur un compte professionnel.
La banque suivait les pratiques de sécurité recommandées. Le client a perdu son identifiant et son mot de passe, qui ont été utilisés par des pirates pour se transférer de l’argent. Le tribunal a déclaré que l’incapacité du client à protéger son propre mot de passe n’était pas la faute de la banque.
La protection ne s’étend pas toujours aux entreprises, où un virement peut atteindre des centaines de milliers ou des millions de dollars. Parfois, les banques sont elles-mêmes victimes.
L’année dernière, des pirates se sont connectés aux systèmes de diverses banques du Moyen-Orient et ont considérablement augmenté la valeur des cartes MasterCard prépayées émises dans cette région. Puis les voleurs se sont répandus à pied pour acheter des voitures de luxe et des montres Rolex.
Enregistrement des frappes au clavier
Les voleurs qui ont dévalisé le client commercial dont nous avons parlé plus haut ont pu voler ces informations d’identification en installant un malware qui enregistre les frappes au clavier.
Windows n’est pas le seul système qui permet aux pirates de le faire. Les chercheurs en sécurité ont montré que les applications Android et IoS peuvent utiliser l’accéléromètre, le gyroscope et les capteurs d’orientation pour déterminer ce que l’utilisateur a tapé sur son clavier.
Les gens font rarement attention aux autorisations demandées par les applications Android lorsqu’ils les installent. De plus, les applications demandent des permissions dont elles n’ont pas besoin. Par exemple, pourquoi Chrome doit-il accéder à votre appareil photo et Microsoft SkyDrive à vos contacts ?
Ce qui aggrave la situation, c’est qu’il n’y a pas de possibilité de donner des autorisations une par une. Soit vous installez l’application avec toutes les autorisations demandées, soit vous ne pouvez pas l’installer. Les gens sont donc entraînés à donner toutes ces autorisations sans y réfléchir.
Fraude
Il existe de nombreux types d’attaques sur les Smartphones. Par exemple, les gens peuvent installer un malware qui ressemble à quelque chose qu’ils connaissent déjà, comme Angry Birds, et qui utilise le même logo.
Ensuite, l’utilisateur passe en revue l’écran des autorisations, sans le lire attentivement, et donne accès aux journaux de son téléphone, à ses contacts, à sa caméra et à son microphone, à ses capteurs et à la possibilité d’envoyer des messages texte.
Une fois installée, l’application peut envoyer des messages texte à des services de messagerie onéreux, ce qui fait grimper la facture du client et remplit les coffres du criminel.
WhatsApp est devenue une plateforme d’exécution de la fraude. Des personnes ont été incitées à transférer des messages à d’autres personnes. Lorsque quelqu’un clique sur ce message, il est dirigé vers un site web. Les gens font rarement attention aux autorisations demandées par les applications Android lorsqu’ils les installent.
De plus, les applications demandent des autorisations dont elles n’ont pas besoin et enregistrent ensuite leur adresse IP. Avec l’adresse IP, le pirate peut consulter l’annuaire et la carte pour créer un message vocal à partir de cet indicatif de pays et de cette zone ou une facture d’une entreprise située dans cette zone.
Une personne est plus susceptible de faire confiance à quelque chose venant d’une personne qui travaille ou vit dans la même région que la sienne plutôt que dans un endroit éloigné. Lorsque la victime ouvre le lien malveillant envoyé via un email par un pirate, le site peut déposer un fichier .apk (application Android compressée) dans le dossier de téléchargement.
En fonction de la version du système d’exploitation et des paramètres de sécurité du téléphone, si l’utilisateur clique sur ce fichier, il peut soit installer l’application, avertir l’utilisateur à ce sujet, ou ne rien installer du tout. L’application peut alors commencer à voler des données et à envoyer des copies d’elle-même à d’autres contacts de la victime.
Vol de données
L’année dernière, on a beaucoup entendu dire que des pirates informatiques avaient pénétré dans les systèmes de caisses enregistreuses des points de vente du détaillant américain Target.
Ils ont volé 250 millions de cartes de crédit. Les données telles que les numéros de carte de crédit et les informations d’identité sont très attrayantes pour les cybercriminels. En quelques heures, les cartes de crédit volées ont été vendues sur le darkweb pour environ 85 euros chacune.
En fait, les darkweb est un moyen en constante expansion et une économie souterraine en pleine croissance.
Les criminels peuvent également graver les numéros de carte de crédit volés sur leurs propres bandes magnétiques vierges et les remettre à des mules qui se rendent ensuite aux distributeurs automatiques de billets et tentent d’effectuer des avances de fonds ou d’utiliser les cartes dans divers points de vente.
Le système bancaire américain est particulièrement vulnérable à cela, car il n’exige pas de code PIN et n’utilise pas de clés d’authentification pour les cartes de crédit. En raison de cette faiblesse et des pertes de données, ils ont commencé à changer leurs systèmes de paiement.
Cette année, les victimes ont été plus nombreuses. Les pirates ont volé un nombre incroyable de 350 millions d’identifiants et de mots de passe chez eBay. eBay possède également le système de paiement PayPal, mais les mots de passe de chaque système sont conservés dans des bases de données distinctes.
Le fait est que PayPal est un endroit où se trouve beaucoup d’argent. Mais les gens utilisent souvent le même mot de passe pour plusieurs systèmes. Essayez votre mot de passe eBay chez PayPal et il se peut qu’il fonctionne.
Les mots de passe doivent comporter au moins 8 caractères. Utilisez des lettres qui ne sont pas des mots, des majuscules et minuscules, des chiffres et des symboles.
Les mots de passe volés ne sont pas sûrs. Ils ne sont pas chiffrés, car cela nécessiterait qu’ils soient accompagnés d’une clé (en d’autres termes, d’un mot de passe), mais ils sont codés. Cela signifie qu’ils peuvent être déverrouillés en regardant simplement dans un dictionnaire de mots de passe hachés pour voir lesquels correspondent.
C’est pourquoi il est déconseillé d’utiliser des mots en anglais, en russe ou dans toute autre langue comme mots de passe. Vous avez sans doute déjà entendu cela, mais le faites-vous ? Tous les périphériques réseau doivent être configurés
avec des mots de passe forts. Les mots de passe doivent comporter au moins 8 caractères, utiliser des lettres qui ne sont pas des mots, être en majuscules et en minuscules et inclure des chiffres et des symboles.
Faiblesses de sécurité de Windows
Les problèmes liés à l’architecture 8080 et à Windows sont presque trop nombreux pour être énumérés. En voici quelques-uns et ce qui a été fait, le cas échéant, pour y remédier.
Un processus ne devrait pas être en mesure de lire la mémoire d’un autre processus. Il s’agit d’un problème Intel.
- Microsoft exige désormais que les fichiers .dll soient signés pour pouvoir être exécutés dans le système d’exploitation. C’est une amélioration, car les pirates doivent maintenant écrire leurs virus pour qu’ils s’exécutent à l’intérieur d’autres processus en cours, puisqu’ils exécutent eux-mêmes les .dll. Bien sûr, l’installation d’un .exe est un autre problème, car l’utilisateur qui le fait a donné une autorisation expresse au système d’exploitation.
- Le problème du dépassement de tampon est associé à la capacité de lire la mémoire d’un autre programme. Java et Android n’ont pas ce problème, car les programmes s’exécutent dans des machines virtuelles Java (la version modifiée de Java qui équipe Android s’appelle Dalvik). Ceux-ci ne peuvent pas lire la mémoire en dehors de la machine virtuelle. Un programme C++ fonctionnant sous Windows peut lire la mémoire en dehors de la zone qu’il a déclarée comme étant la sienne. Les pirates utilisent cette possibilité pour insérer des instructions en langage d’assemblage dans les programmes afin de leur faire charger d’autres objets en mémoire. C’est ainsi qu’ils obtiennent un accès en ligne de commande à Windows. Microsoft a randomisé l’endroit où les objets sont stockés en mémoire pour rendre cela plus difficile.
- Windows permet à presque tout le monde d’accéder aux opérations de bas niveau et aux fichiers système. Ainsi, une personne peut modifier les tables de routage, écraser les fichiers système et faire ce qui serait autrement limité dans Mac OS ou d’autres systèmes d’exploitation.
Face à l’augmentation du niveau des menaces, que pouvez-vous faire ? La réponse courte est : c’est compliqué. La meilleure sécurité est de supposer que vos ordinateurs sont déjà infectés.
Authentification à deux facteurs
Le moyen numéro un d’arrêter les pirates est d’exiger partout une authentification est une authentification à deux facteurs. C’est une idée tellement simple qu’il est difficile de comprendre pourquoi les gens n’utilisent pas leur téléphone portable ou un autre appareil pour authentifier leur courrier électronique ou leur PC.
Si un pirate installe un malware sur votre ordinateur pour lire vos frappes au clavier, il ne peut pas utiliser ces informations d’identification volées pour se connecter sans le Google Authenticator, le jeton RSA, la Cryptocard ou le dispositif biométrique utilisé pour saisir le jeton nécessaire à la connexion.
Ces solutions ne résolvent pas le problème du phishing, de l’usurpation d’identité ou de l’usurpation d’identité en ligne, mais elles rendent la tâche beaucoup plus difficile aux criminels. Pour inciter les gens à utiliser l’authentification à deux facteurs, il faut les sensibiliser à l’importance de cette pratique.
La technologie est disponible, la plupart des banques et des sociétés de courtage, ainsi que les médias sociaux, la proposent. Ces solutions ne résolvent pas le problème du phishing, de l’usurpation d’identité en ligne, mais elles rendent la tâche beaucoup plus difficile aux criminels et protègent vos comptes en ligne.
Politique d’utilisation de l’Internet et des ordinateurs
Le plus grand joker en matière de sécurité informatique est l’utilisateur final. Une bonne politique d’utilisation de l’internet de l’entreprise est par conséquent un point de départ, mais de nombreuses organisations ne s’en soucient pas ou n’en réalisent pas l’importance.
Il est important de noter que toutes les politiques d’utilisation de l’Internet ne doivent pas être identiques : chacune doit être adaptée aux besoins particuliers de l’organisation afin de mettre en place des directives claires et réalistes.
Outre le problème de la perte de temps sur Internet, le risque que les employés accèdent à des sites infectés et propagent des malwares, des virus et des infections via des botnets sur le réseau est très répandu.
Les cybercriminels qui veulent accéder à votre réseau et à vos données ne s’intéressent pas à la taille de votre entreprise. N’importe quelle organisation est donc à risque, mais la meilleure défense contre ces problèmes est de se préparer aux attaques cybercriminelles.
Formation et éducation
Comme nous l’avons dit précédemment, les réseaux de botnets sont des ordinateurs exploités par des personnes ordinaires qui s’en prennent à vos ordinateurs et à d’autres. La formation est probablement le meilleur moyen de prévenir les attaques.
Ne soyez pas un vecteur de malware
Si vous gérez un site Web ou une application, déployez des outils pour empêcher les scripts intersites et les injections SQL.
Il s’agit d’attaques au cours desquelles des personnes saisissent de véritables mini programmes informatiques dans des champs de données, ce qui amène l’ordinateur à les traiter comme des instructions pour démasquer les cookies d’autres sessions d’utilisateurs, copier des fichiers ou causer d’autres dommages.
Solutions de sécurité
La gestion des spams est un véritable casse-tête pour les entreprises, car ils entraînent des problèmes tels que la perte de données, le ralentissement du réseau, la perte de temps pour les employés et la diffusion de contenus offensants, frauduleux et dangereux aux employés.
Les spammeurs déploient constamment de nouvelles techniques pour contourner les filtres antispam et de sécurité. Le choix d’un filtre antispam professionnel peut atténuer le problème.
Il existe de nombreux types de filtres antispam pour entreprises.
Le choix de la solution adaptée dépendra de nombreux facteurs, notamment du nombre de comptes de messagerie que vous souhaitez prendre en charge, de l’architecture de votre réseau, du montant que vous êtes prêt à dépenser, de la manière dont vous souhaitez déployer la solution et de la facilité avec laquelle vous pouvez migrer vers une autre solution.
Une fois que vous aurez défini vos principales exigences, il est temps de faire des recherches et d’examiner les options disponibles.
Il est important de maintenir à jour vos solutions antispam, antivirus et autres solutions de sécurité réseau. La plupart des solutions vous inviteront à le faire et beaucoup se mettront automatiquement à jour, mais il est important de vérifier manuellement ces mises à jour régulièrement dès qu’un correctif est disponible.
Souvent, les mises à jour sont liées à de nouvelles fonctionnalités dont vous ne vous souciez pas, mais elles fournissent également d’autres fonctionnalités critiques en coulisse.
Conclusion
Après avoir décrit les risques et les moyens d’en atténuer certains, il est important de noter que la situation ne fera qu’empirer, car les réfrigérateurs, les thermostats, les téléviseurs et même les automobiles sont désormais tous connectés à Internet ou le seront. Attendez-vous à ce que la cybercriminalité augmente et informez-vous à ce sujet.
Même les ordinateurs les plus sécurisés du monde, ceux de l’armée américaine et ceux de la NSA, ont été mis en échec par de simples clés USB. Votre organisation et vous-même serez donc certainement une cible à un moment ou à un autre. La chose importante à faire est de s’y préparer.
Si vous avez apprécié cet article, vous serez peut-être intéressé par notre boîte à outils pour administrateurs système. Elle contient de nombreuses ressources utiles pour les professionnels de l’informatique.