Compte-rendu du 3e Forum International sur la Cybercriminalité

Sat 28 March 2009 by Guillaume

La Gendarmerie Nationale organisait le 24 mars 2009 à Lille le 3e Forum International sur la Cybercriminalité. L'évènement a rassemblé près de 1500 participants et a été l'occasion pour Michèle Alliot-Marie, ministre de l'Intérieur, de l'Outre-mer et des Collectivités territoriales, d'annoncer de nouveaux moyens pour les investigations numériques. L'ESEC a tenu un stand lors du Forum et un de ses consultants a participé à une table ronde sur la gestion des flottes de téléphones mobiles. Voici un compte-rendu de certaines conférences ...

Sensibilisation : La sécurité de l’information : du maillon faible au maillon fort

ADVENS

La société ADVENS organisait une courte séance de sensibilisation, sous le forme d’un questionnaire composé de onze questions, rappelant volontairement l’examen du code de la route. Les enseignements de cet « examen » sont les suivants :

  • En cas de défacement de son site internet, l’entreprise doit contacter les autorités.
  • En matière de sécurité informatique, comme dans d’autres domaines, le chef d’entreprise doit montrer l’exemple : il ne doit pas écrire ses mots de passe sur un post-it…
  • Lorsqu’un collaborateur endommage son Blackberry, il doit effacer la mémoire avant de le jeter.
  • Lorsque le site internet de la société est modifié par des attaquants, il faut réunir une cellule de crise ; cette procédure doit être préparée à l'avance ; elle ne s’improvise pas.
  • L'usage d'internet à des fins personnelles peut constituer un risque pour l'entreprise ; une charte doit être rédigée pour encadrer cet usage.
  • Une entreprise située près d'une rivière et disposant d'une salle informatique au sous-sol doit procéder à une analyse de risques (inondation)
  • L'estimation de la valeur d'un ordinateur doit prendre en compte la valeur des informations qu'il contient et des conséquences de la disparition de l'ensemble (informations et matériel)
  • Une copie des sauvegardes doit être conservée dans un autre bâtiment
  • Il ne faut jamais donner son mot de passe au téléphone, quelle que soit la personne qui le demande
  • En cas de voyage d'affaires à l'étranger, il est utile de se munir d'un filtre de confidentialité pour travailler dans les transports en commun, il faut également retirer les informations confidentielles de son ordinateur
  • La meilleure méthode pour convaincre les employés d'appliquer la politique de sécurité est d'organiser des séances de sensibilisation

Comment déclencher et conduire une cyberattaque

Eric Filiol, Directeur du laboratoire de cryptographie et virologie opérationnelle de l'ESIEA (École Supérieure d'Informatique Électronique Automatique)

Eric Filiol s'est d'abord attaché à définir les notions de cyberattaques et d'infrastructure critique avant d'analyser les différentes phases d'une attaque. En 1999, les colonels chinois Qiao et Wang ont défini dans leur ouvrage Unrestricted Warfare le concept de cyberguerre, qui peut être vu comme un ensemble de cyberattaques non régies par des règles, puisque tout peut être considéré comme une arme. Les cyberattaques ne sont pas « virtuelles » : elles visent la sphère réelle, en s'attaquant soit aux personnes via les Systèmes d'Informations et de Communications (SIC) soit au SIC lui-même. Ces attaques sont par ailleurs caractérisées par l'oblitération des notions :

  • d'espace (Internet est mondial, lancer une attaque à l'autre bout du monde n'est pas plus compliqué
  • de temps (l'attaque est soudaine, il est difficile de réagir)
  • de preuve (en matière numérique, tout est falsifiable et usurpable, ce qui rend problématique toute notion de représailles ou de légitime défense)

Avec la dématérialisation des supports d'attaques il ne faut pas s'attendre à de l'angélisme ou de l'éthique de la part des attaquants, encore moins à un contrôle au niveau des organisations internationales : tout est permis ! Le « cyberguerrier » peut être n'importe quelle personne qui dispose d'une bonne maîtrise des SIC (un étudiant par exemple). En pratique ces derniers sont encadrés et coordonnés par des structures comme les mafias, les organisations terroristes ou les états voyous. Lorsqu'on parle d'infrastructure critique, il est essentiel de préciser que les composantes humaines sont vitales : l'infrastructure est constituée d'un réseau mais aussi d'administrateurs qui forment le point faible ; un attaquant va d'abord chercher à viser la tête. La sécurisation d'une infrastructure critique nécessite de prendre également en compte les fournisseurs, les sous-traitants, ainsi que la dimension politique et publique de cette infrastructure (les relations que les médias et l'opinion entretiennent avec elle). Enfin il faudra veiller à ne pas sous-estimer les problématiques liées à l'externalisation des composantes de cette infrastructure (par exemple les datacenters hébergés à l'étranger). L'attaquant va analyser les relations qui existent entre lui et sa cible au moyen de matrices de dépendances et de la théorie des graphes ; cela lui permet de découvrir des vulnérabilités insoupçonnées. Il est dans la position du joueur d'échec : il a le temps de planifier son attaque. Cette dernière est composée de trois phases :

  • le renseignement : il s'agit d'identifier les éléments critiques. Cette phase stratégique opérée en amont fait intervenir le renseignement technique mais aussi humain (blogs, réseaux sociaux), ainsi que la documentation publique. La collecte d'informations est simple et permet de construire une image précise de la cible.
  • la planification : il s'agit de la coordination des étapes techniques de l'attaque avec le reste de l'opération.
  • la conduite : la partie opérationnelle de l'attaque, elle ne doit pas laisser de place à l'improvisation. Le principe du cloisonnement est appliqué au moyen des techniques d'anonymisation et d'usurpation des informations numériques.

Dans les différentes attaques on peut distinguer des briques de base :

  • les attaques contre les personnes (on peut imaginer l'attaque de l'ordinateur personnel d'un leader syndical qui, en passant par des dénonciations et des grèves, pourra conduire au blocage de l'entreprise).
  • les attaques contre les entreprises innovantes. Un scénario simple repose sur l'attaque du poste d'un décideur dans le but de simuler de la contrefaçon. Après diverses opérations de manipulation faisant intervenir les médias, et menant à la mise en examen du chef d'entreprise et la disparition de la société, le but est atteint.
  • Le déclenchement d'émeutes suite au dépôt de vidéos ouvertement racistes sur les sites de partage connus (Dailymotion, Youtube).

On trouve beaucoup d'exemples d'attaques. Les briques de bases sont nombreuses ; il reste à les coordonner pour arriver au résultat souhaité, seule l'imagination est au pouvoir ! Comment se protéger ? Cela n'est pas vraiment possible, en considérant que le levier fondamental est l'homme, pour lequel il n'existe pas de correctif ni de firewall ... En ce qui concerne l'aspect technique, quid de la maîtrise des systèmes d'exploitation et de la cryptographie ? Qui peut garantir la sécurité de ces produits et de ces outils complexes ? La question de la souveraineté numérique est ici posée, et rares sont les pays à pouvoir y répondre de manière satisfaisante. Le député Bernard Carayon a déclaré en 2004 que la puissance d'un pays résidait dans sa capacité à imposer des normes. Nul doute qu'il reste du travail au niveau français pour y parvenir.

L'exploitation des téléphones portables en activité d'investigation et d'expertise

Micro Systemation

La société Micro Systemation a présenté sa suite logicielle XRY/XACT destinée à l'acquisition des données contenues dans les téléphones portables et livrée avec tous les connecteurs permettant d'accéder aux données de tous les téléphones du marché. Le logiciel permet de récupérer les informations techniques sur le téléphone, mais aussi les contacts, le journal d'appel, le calendrier, les SMS, les photos avec leur metadata, les fichiers audio, l'historique des sites internet visités. Il est également possible de récupérer les données effacées, ou encore de travailler sur des téléphones endommagés ou sans carte SIM. Le logiciel est très simple d'usage. Il ne fonctionne que dans un sens : téléphone vers ordinateur. La société soutient qu'il n'entraîne pas de corruption du support de preuve dans le cas d'une enquête et qu'il permet également de produire des rapports dont l'intégrité est garantie de manière cryptographique.

Table-ronde - Divulgation de données : mise en place du chiffrement au sein des PME

Pascal Lointier, président du CLUSIF (Club de la sécurité de l'information français) Laurent Perruche, société SOLUCOM Charles d'Aumale, société ERCOM

Pascal Lointier a rappelé que le contexte est marqué par l'augmentation de la perte de support de sauvegarde depuis le début des années 2000. Cela a donné naissance au marché DLP (Data Loss Protection). Les données perdues étaient à l'origine de nature bancaire mais aujourd'hui elles sont de tout type. Les supports concernés sont nombreux : ordinateur portable, clé USB, CD, etc. On est passé également d'une perte accidentelle de données à des actions malveillantes. Les conséquences réglementaires sont notables : en France, la CNIL protège les informations à caractère personnel depuis 1978. Laurent Perruche a rappelé que la protection de la clé de chiffrement pouvait être assurée sous trois aspects :

  • ce que je connais (mot de passe, code PIN)
  • ce que j'ai (certificat, carte à puce)
  • ce que je suis (empreinte digitale, élément biométrique)

Le chiffrement ne se résume pas à l'utilisation d'une clé ; c'est toute une organisation qui doit être montée derrière. Le projet de chiffrement doit intégrer les réponses à un certain nombre de questions : quelles données chiffrer ? Sur quel support ? Quelles sont les menaces à prendre en compte ? Quels sont les risques associés. Les solutions de chiffrement disponibles sur le marché peuvent être classées en quatre catégories :

  • chiffrement intégral
  • chiffrement de fichiers/répertoires/conteneurs
  • création de fichiers auto-déchiffrables
  • chiffrement des protocoles réseau (données, voix)

Le chiffrement n'est pas une opération aisée à déployer en entreprise : il faut veiller à maintenir l'accès aux données dans le temps (processus de recouvrement des clés), mais aussi obtenir l'adhésion des utilisateurs (ergonomie des solutions et intégration). Enfin il faut prendre garde aux différentes législations locales concernant le chiffrement (Chine par exemple). Avant de présenter la solution Cryptosmart, de la société ERCOM, Charles d'Aumale a présenté les principales attaques visant le nomadisme (ordinateur portable, PDA) ainsi que les moyens d'y faire face :

  • perte/vol (chiffrement local, effacement à distance)
  • attaque bluetooth, wifi, virus (firewall, antivirus)
  • écoute réseau (chiffrement de la voix, VPN, authentification forte)

Cryptosmart s'appuie sur une carte puce intégrée soit dans une clé USB soit dans une carte Micro-SD (pour les terminaux mobiles), et permet, entre autres, de chiffrer la voix.