La Cybercriminalité Eric WIES

L’université Paul VERLAINE - METZ Université pluridisciplinaire 14 000 étudiants 11 composantes 6 sites Formations en informatique UFR Mathématiques Informatique Mécanique Formation Master 2 Sécurité des systèmes d’informations et de communications Vers l’Université de Lorraine (UDL) http://www.univ-metz.fr 6 octobre 2011 Eric WIES - Convention USF 2011

Le CLUSIF Club de la Sécurité des Systèmes d’Informations Français Composition 600 membres (50 % Offreurs, 50 % Utilisateurs) 10 administrateurs Fonctionnement Groupes de travail Panorama de la Cybercriminalité, Sécurité physique Méthodes et Normes (MEHARI, ISO 27 000) Livrables Documents disponibles immédiatement aux adhérents Délais de 6 mois pour les autres http://www.clusif.asso.fr 6 octobre 2011 Eric WIES - Convention USF 2011

Cyber crimes ? Crime ou délit Utilisant les technologies de l'information Comme moyen et but pour créer un préjudice Cyber crime dans le monde virtuel Comme média pour créer un préjudice Cyber crime dans le monde réel Cyber crime ? Préjudices réels Victimes réelles 6 octobre 2011 Eric WIES - Convention USF 2011

Cyber crimes ? A qui profite le crime ? Actes isolés ? Une personne Un groupe de personnes Actes commandités ? Faire de l'argent Blanchir de l'argent Utiliser une puissance financière occulte Groupes mafieux, terroristes, extrémistes Groupes de pressions (éco-terroristes) Intérêts économiques (intelligence économique) 6 octobre 2011 Eric WIES - Convention USF 2011

Cyber crimes ? Quelle réalité ? Des exemples Impacts virtuels Impacts réels Quand l’utilisateur croit bien faire ? Quels impacts sur nos systèmes d’informations On se posera la question à chaque fois 6 octobre 2011 Eric WIES - Convention USF 2011

Cyber crimes : Quelques exemples 6 octobre 2011 Les nouvelles technologies comme but ! Eric WIES - Convention USF 2011 Cyber crimes : Quelques exemples

Usurpation d'identité numérique Demander avec « gentillesse » Le nom d'utilisateur Et son mot de passe Phishing Dans la plupart des cas C'est un ami qui vous invite à le rejoindre C'est une offre de service gratuit Retrouver ses amis Savoir qui nous a « bloqué » sur une messagerie 6 octobre 2011 Eric WIES - Convention USF 2011

Usurpation d'identité numérique Buts recherchés Se connecter à votre place Obtenir de meilleures informations sur vous Utiliser l'adresse « msn » pour obtenir Les identifiants bancaires Transmettre des spam Transmettre des virus Transmettre des invitations Et tout ça, grâce à vous ! 6 octobre 2011 Eric WIES - Convention USF 2011

Usurpation d'identité numérique : Phishing Phishing (pêche aux informations) Obtenir l'information En envoyant un mail Qui semble provenir d'une institution Banque, Entreprise (Ebay, PayPal, La Fnac) Qui vous demande de changer vos informations En suivant un lien Si vous cliquez sur le lien La page affichée a tout de l'originale Mais c'est une copie ! 6 octobre 2011 Eric WIES - Convention USF 2011

Usurpation d'identité numérique : Phishing 6 octobre 2011 Eric WIES - Convention USF 2011

Usurpation d'identité numérique : Phishing Cher client, Bonjour A cause des inventaires de cette annee, nous vous prions de nous excuser de vous demander de bien vous identifier afin que nous puissions completer notre inventaire, en plus chaque compte non identifie d'ici 48h sera desactive automatiquement. Veuillez-vous identifier mesdames et messieurs en cliquant sur le lien ci-dessous, si le lien ne marche pas, essayez de le copier tout simplement dans une nouvelle fenкtre : www.banquepopulaire.fr Avertissement!! : Ce lien ne fonctionnera plus d'ici 48h. Nous vous remercierons de votre collaboration et comprehension, mais l'amelioration de nos services vous interesse aussi. Aucune somme d’argent ne sera retiree de votre compte, c'est juste un simple inventaire necessaire pour vous assurer un bon avenir.   6 octobre 2011 Eric WIES - Convention USF 2011

Diffamations, Dénigrements Ou comment se défouler Grâce aux blogs, Ou simplement par mail Les blogs Souvent considérés comme « journal intime » Sert de défouloir On y trouve N’importe quelle image, texte ou vidéo Dans la plupart des cas Personnes mises en cause à leur insu Non respect du droit à l'image, de la protection des mineurs Parfois on aboutit A la diffusion de photos volées A la réputation virtuelle d'une personne 6 octobre 2011 Eric WIES - Convention USF 2011

Faux Antivirus Une page L'anti-virus En réalité Vous indique que votre système est infecté Vous propose de télécharger un antivirus L'anti-virus Vous indique l'infection Et vous invite à acheter la version payante En réalité Votre système n'avait rien Mais maintenant il est bien contaminé ! 6 octobre 2011 Eric WIES - Convention USF 2011

Faux Antivirus 6 octobre 2011 Eric WIES - Convention USF 2011

Faux Programmes 6 octobre 2011 Eric WIES - Convention USF 2011

Vol de données Un virus s'installe sur votre machine Les fichiers deviennent chiffrés et illisibles On vous demande D'acheter un programme pour rétablir les données De payer une rançon pour rétablir les données On vous déconseille De tenter une réparation vous-même D'appeler les forces de l'ordre On vous propose Une aide par mél si nécessaire ! 6 octobre 2011 Eric WIES - Convention USF 2011

Vol de données 6 octobre 2011 Eric WIES - Convention USF 2011

Vol de données 6 octobre 2011 Eric WIES - Convention USF 2011

Espionnage Dispositif logiciel ou matériel Attention Pour enregistrer ce que vous tapez A votre insu Peut enregistrer aussi bien L'écran Le clavier L'image de votre webcam Attention Détection du dispositif matériel très difficile 6 octobre 2011 Eric WIES - Convention USF 2011

Espionnage : Logiciels 6 octobre 2011 Eric WIES - Convention USF 2011

Espionnage : Matériel 6 octobre 2011 Eric WIES - Convention USF 2011

Réseaux Sociaux Les réseaux sociaux sont très installés Recherche d’anciens amis (Copains d’avant) Micro blogging (twitter) Groupes professionnels (linked in) Groupes de connaissances (facebook) On y raconte sa vie personnelle Mais aussi professionnelle ! Impacts Sur la vie privée Sur la vie professionnelle Organisations de vols en réunion Rappels Ce ne sont pas des sites caritatifs ! 6 octobre 2011 Eric WIES - Convention USF 2011

Réseaux Sociaux : Impacts sur la vie privée Tout ce que vous mettez, est partagé avec Vos amis Les amis de vos amis Et tous les autres aussi ! Dépends des réglages sur les sites Mais dans tous les cas Le contenu appartient désormais au site Il peut le réutiliser, Il peut le revendre Il ne le détruira jamais ! Ce contenu Vous définit ! Vous localise ! 6 octobre 2011 Eric WIES - Convention USF 2011

Réseaux Sociaux : Impacts sur la vie pro. Comportement des recruteurs 45 % consultent les réseaux sociaux 35 % renoncent à une embauche après cette consultation Cas d’écoles On découvre qu’un collaborateur recherche un autre emploi Alors qu’il vient de demander une augmentation ! Fonction dans l’entreprise Alors que le contrat de travail demande de la discrétion Arrêt maladie et réseau social Arrêt stipule travail sur ordinateur interdit Dénigrement de collègues Sur un mur facebook Affaire Domino Pizza 6 octobre 2011 Eric WIES - Convention USF 2011

Réseaux Sociaux : Organisation de réunion Permet de contacter un grand nombre de personnes Qui vont effectuer la même action au même moment Cas d’écoles Tout le monde se fige Rendez vous dans un lieu, et à l’heure dite, Plus personne ne bouge ! Apéritif géant Dans un lieu public, Chez un particulier Rendez-vous au Monoprix de RODEZ 150 personnes arrivent à la même heure, Vols et dégradations Manifestation contre la suppression d’un mois de vacances 6 octobre 2011 Eric WIES - Convention USF 2011

BotNet Réseau de machines Utilisé pour une attaque informatique Peut regrouper des milliers de machines Les machines sont des zombies On ne sait pas qu'elles font partie du réseau Jusqu'au moment de l'attaque Vous pouvez être membre d'un botnet Sans le savoir Juste après avoir installé un programme 6 octobre 2011 Eric WIES - Convention USF 2011

BOTNET 6 octobre 2011 Eric WIES - Convention USF 2011

BOTNET : Exemple 6 octobre 2011 Eric WIES - Convention USF 2011

Cartes bancaires Technologies d'une carte Copier une carte Numéro, Piste magnétique, Puce Copier une carte 1 des 3 éléments suffit Pas forcément technologique Ce problème a un nom : CARDING Par simple lecture On recopie à la main, On utilise un sabot Par simple demande Phishing Par naïveté Un site pour vérifier que votre numéro n'est pas volé ! 6 octobre 2011 Eric WIES - Convention USF 2011

Cartes bancaires : Numéro 6 octobre 2011 Eric WIES - Convention USF 2011

Cartes bancaires : Pistes magnétiques/Puces Pour lire la piste/ la puce S'interposer avec un lecteur standard L'utilisateur ne remarque pas le changement Utiliser un lecteur/copieur Attention Pour utiliser la puce il faut le code Capturer le code Par caméra Par faux clavier 6 octobre 2011 Eric WIES - Convention USF 2011

Cartes bancaires : Pistes magnétiques/Puces 6 octobre 2011 Eric WIES - Convention USF 2011

Attaques en réputation Grâce aux blogs, Photos et vidéos volées La réputation peut être entachée Même si c'est de la désinformation Textes faussés Photos Truquées Vidéos remontées Plus subtil On vous verse des dons provenant De comptes bancaires piratés ! 6 octobre 2011 Eric WIES - Convention USF 2011

Attaques en réputation Comment faire tomber un tombeur de spam (Castle Cops) ? On lui verse de l'argent issu de comptes piratés On l'oblige à s'expliquer publiquement On l'accuse de fraude On l'attaque en justice Ceux qui ont eu leur compte débité ! Castle Cops obligé de refuser des dons ! Il ne vit que par des dons ! 6 octobre 2011 Eric WIES - Convention USF 2011

Manipulation de cours de bourses Il existe des forums de spécialistes On peut prendre conseil et avis Pour gérer son portefeuille boursier Dans un forum Un nouveau spécialiste donne des infos Et il a acheté des actions d'une société Il affirme que la société va faire beaucoup de bénéfices Tout le monde lui rachète ses actions Et finalement la société ne fait pas de bénéfices ! 6 octobre 2011 Eric WIES - Convention USF 2011

Scada Les architectures scada Jusqu'à maintenant Commandent les machines outils Jusqu'à la distribution d'eau et d'énergie Jusqu'à maintenant Les « Scada » n'étaient pas reliées au Net Mais les machines qui les contrôlent le sont Attention les systèmes Scada Sont basés sur des systèmes connus Mais ne peuvent pas être mis à jour 6 octobre 2011 Eric WIES - Convention USF 2011

Scada 2003 2005 2007 2008 Vers sur un site nucléaire (USA) Vers sur les GAB (USA) Vers sur la signalisation des trains (USA) 2005 Vers causant l'arrêt de 13 usines 2007 Bombe logique dans la distribution d'eau 2008 Déraillement d'un train (Pologne) 6 octobre 2011 Eric WIES - Convention USF 2011

Quand la bonne volonté ne suffit plus 6 octobre 2011 Quelques cas réels pour augmenter la réflexion ! Eric WIES - Convention USF 2011 Quand la bonne volonté ne suffit plus

Cas réel : Changement de photocopieur Le fournisseur de photocopieurs demande Login et mot de passe de l’administrateur Pour permettre au technicien d’intervenir L’opérateur remplit le document Mais ne le renvoie pas Il demande le support du service informatique Car il ne connait pas le mot de passe ! 6 octobre 2011 Eric WIES - Convention USF 2011

Cas réel : Banque de France Contrat de travail de BDF Demande de la discrétion Utilisation de l’internet dans la BDF Interdiction d’utiliser les réseaux sociaux Mais sur les réseaux sociaux Très grands nombres de personnes On trouve leurs données personnelles Adresse, famille, loisirs Et leur progression dans la BDF 6 octobre 2011 Eric WIES - Convention USF 2011

Cas réel : Cour d’appel de Metz L’entrée est restreinte pour les visiteurs Mais non contrainte pour les personnels On peut trouver Les personnels, Leur adresse, Leurs hobbies, Leurs fonctions dans la cour d’appel Comment entrer dans la cour d’appel ? Comment faire entrer un matériel ? 6 octobre 2011 Eric WIES - Convention USF 2011

Cas réel : Visite d’une usine Usine d’un grand constructeur informatique Tous les travailleurs sont contraints Portiques, Fouilles, Vidéo surveillance Mais les visiteurs gardent leur téléphone Enregistrement de son Photos, Vidéos Et le tout sur internet en temps réel ! 6 octobre 2011 Eric WIES - Convention USF 2011

Cas réel : Vie d’entreprise / privée Téléphone d’entreprise Ligne d’entreprise Mais terminal personnel ! Mélange des données ! 6 octobre 2011 Eric WIES - Convention USF 2011

Cas réel : Utilisation de Yahoo Groupes Les plates formes d’entreprise Sont réglementées Sont contraintes Nécessitent des accords Les plates formes communautaires Utilisables facilement Sans contrainte Sans limite ! Appartenance des documents? 6 octobre 2011 Eric WIES - Convention USF 2011

Cas simulé : Collecte d’informations Action Discrète – 21 nov 2010 Groupe humoristique de Canal + Propose une vidéo (en caméra cachée) http://www.canalplus.fr/c-humour/pid1780-c-action-discrete.html Google Inside Cartographie de l’intérieur des bureaux Mesure d’hygrométrie Place un enregistreur dans une salle de réunion Père Noël Offre une clé USB à chaque journaliste ! 6 octobre 2011 Eric WIES - Convention USF 2011

Questions ? eric.wies@univ-metz.fr eric.wies@clusif.asso.fr 6 octobre 2011 eric.wies@univ-metz.fr eric.wies@clusif.asso.fr Eric WIES - Convention USF 2011 Questions ?