Stratégie

La cybercriminalité est passée en phase industrielle

Retrouvez cet article dans le CIO FOCUS n°113 !

Cybersécurité : faire face aux nouvelles menaces contre le système d'information

Les systèmes d'information n'ont jamais été autant menacés. Et pourtant, les isoler dans des forteresses est toujours moins envisageable. Comment malgré tout assurer leur sécurité ? Le sujet a été largement débattu au cours de la Matinée stratégique CIO du 16 février 2016 sur le thème...

Découvrir

---

François Beauvois, commissaire de police spécialiste en cybercriminalité, a apporté son expertise lors de la Matinée Stratégique CIO « Cybersécurité : les nouvelles menaces contre le système d'information » à Paris le 16 février 2016.

PublicitéLa cybercriminalité est l'un des freins majeurs à l'adoption et au développement de services en lignes, notamment dans le cloud, tant par les particuliers que par les entreprises. Comment parler de cette menace sans tomber dans le strictement anxiogène ?

Peut-être en décrivant la réalité tout en expliquant ce que fait la police. C'était le défi relevé par François Beauvois, Commissaire de police, Chef de la Division Anticipation à la Sous-Direction de la lutte contre la cybercriminalité de la Direction centrale de la police judiciaire, lors de la Matinée Stratégique CIO « Cybersécurité : les nouvelles menaces contre le système d'information » à Paris le 16 février 2016. Il est ainsi revenu sur l'industrialisation de la cybercriminalité.

La Direction centrale de la police judiciaire (DCPJ), créée par Georges Clémenceau, a eu, dès l'origine, la mission de rendre plus sures les routes à l'orée du vingtième siècle. Une centaine d'années plus tard, sa mission comprend également la sécurité des autoroutes de l'information. Le rôle particulier de la Sous-Direction de la lutte contre la cybercriminalité (SDLC-DCPJ) a été expliqué en juillet dernier par Catherine Chambon, sa sous-directrice. En particulier, la BEFTI dépend de la Préfecture de Police de Paris et n'est pas rattachée à la DCPJ. La SDLC-DCPJ s'occupe uniquement des formes organisées et transnationales de cybercriminalité, en plus d'être un service support spécialisé pour les autres divisions de la police. « Les groupes organisés de cybercriminels peuvent dériver jusqu'à de véritables mafias » a relevé François Beauvois.

Un manque de prise de conscience

Le 8 février, nos confrères Les Echos titraient : « La France dans le top cinq des pays où Internet est le moins sûr ». Projetant l'article, François Beauvois a ironiquement posé la question : « et que fait la police ? » Mais, avant que la police puisse intervenir, il faut que les victimes potentielles se rendent compte que leurs biens ont de la valeur et adoptent un minimum de bonnes pratiques.
Or une étude, citée par le commissaire et réalisée par l'éditeur Trend Micro, a établi que les citoyens attribuent des prix extrêmement bas pour leurs données, surtout en France, d'où un certain je-m'en-foutisme. Les informations de santé sont celles qui sont les plus valorisées, surtout pour les Américains. « On commence à voir quelques affaires dans ce domaine » a relevé François Beauvois. Il est vrai que la réglementation française protège fortement les particuliers en cas de piratage, par exemple du numéro de carte bancaire. Pour les entreprises, les premiers risques sont classiques : mauvaise réputation, perte de confiance de consommateurs, etc.

PublicitéMais certains risques sont négligés par les entreprises. Ainsi, si un serveur web est piraté, il peut héberger des contenus illicites. « Certaines entreprises se retrouvent à héberger des contenus pédo-pornographiques tous les mois » a pointé François Beauvois. Dans ce genre de cas, les services de sécurité s'aperçoivent du problème en général assez vite. Plus subtil peut être l'hébergement de codes malicieux injectés sur un site web légitime, transformant le site web de l'entreprise en site de rebond pour la diffusion de malwares.

Quand le cauchemar devient réalité

Très souvent, on parle de risques, y compris des risques qui viennent d'être mentionnés. Mais François Beauvois a préféré raconter de véritables cas concrets, « quand les risques se réalisent ».

Un hacker avait piraté le compte d'un informaticien en 2010. Mais, en 2014, cet informaticien est devenu administrateur réseau d'une société. « Et les codes sont toujours bons » a soupiré le commissaire. Résultat : le pirate n'a plus seulement accès à l'ordinateur personnel de l'informaticien mais au réseau complet de son employeur. Dans ce cas, le hacker a voulu faire chanter l'administrateur. François Beauvois s'est réjoui : « pour le coup, l'administrateur a eu le bon réflexe et nous a aussitôt appelés car dès que l'on met les doigt dans le chantage, c'est fini. » En remontant les pistes, la police trouve des traces en Allemagne et en Roumanie. « Heureusement, les victimes ne sont pas les seules à être naïves, les auteurs aussi » a persiflé le commissaire. En l'occurrence, l'auteur a pris rendez-vous avec la victime et l'interpellation a ainsi pu être menée sans difficulté. La perquisition réalisée par la police allemande a permis de retrouver la base de données volée à la victime (ce qui évite les doutes sur la culpabilité personnelle) et 1,7 million de numéros de cartes bancaires.

Autre affaire : le piratage d'IPBX. « Avec IP, on peut facilement se faire pirater son téléphone, ce qui n'était pas simple avant » a remarqué François Beauvois. Le principe est ici de souscrire un numéro surtaxé (« Premium Rate Service ») dans un pays off-shore à la réglementation quasi-inexistante puis de pirater un IPBX pour lui faire appeler le dit numéro du vendredi 19h au dimanche 23h. Puis l'entreprise reçoit la facture de son opérateur favori. Le commissaire a soupiré : « pour un tel piratage, il n'est souvent pas nécessaire d'avoir réussi une thèse en informatique puisqu'il suffit de taper admin/admin comme identifiant/mot de passe dans trois cas sur quatre. » En général, l'IPBX a été installé à la va-vite plusieurs années auparavant et plus personne ne s'en est occupé. Bilan selon le commissaire : « 11 individus, 4 mois, 3 millions d'euros ». La piste partait de Londres, revenait à Paris puis à Amsterdam et, à la chaîne, dans d'autres pays. L'affaire est actuellement en cours d'instruction.

Des modes de transferts de fonds avec des méthodes sophistiquées

Troisième affaire : les malwares. « Les bons vieux virus du temps jadis, dès la fin des années 70, qui se contentaient de détruire sont devenus des engins très complets qui font tout, de la backdoor au keylogger, se déployant furtivement dans un système » a décrit François Beauvois. Ces malwares évoluent régulièrement et frappent massivement, les maillons faibles cédant en premier. Le temps n'est plus au duel ciblé mais à la mitrailleuse qui arrose indistinctement.
Pour le commissaire, « le pire est le cryptolocker qui chiffre vos données et, là, vous avez beau être assuré, les documents de travail sont perdus. » Les mails pour inciter à cliquer sur des liens infectés sont aujourd'hui plus propres et convaincants que ceux d'hier en provenance d'un directeur de banque centrale africaine avec une faute d'orthographe par mot. Le risque est donc élevé. Et, pour déchiffrer les données (documents bureautiques en premier lieu), il faut payer une rançon avec des « méthodes de trafiquants de drogue » pour dissimuler les vrais destinataires. La meilleure protection contre ce genre d'attaque est une sauvegarde... un cryptage professionnel étant quasi-impossible à casser.
Des documents bureautiques envoyés peuvent obliger à activer les macros pour être lus. Or une macro peut télécharger ensuite le code malicieux. Certains malwares sont très vicieux comme Dridex qui se dissimule dans la RAM et pas sur le disque dur. A l'extinction, il se sauvegarde dans une clé de registre. « La meilleure désinfection passe alors par une coupure brutale d'alimentation électrique, même si c'est un peu léger comme politique de sécurité informatique » a remarqué . Dridex vole les codes d'accès à des services en ligne. Les attaques se font par vagues, la France et la Grande Bretagne étant actuellement visées.

Une collaboration public-privé

L'argent passe soit par des règlements en bitcoins (qui peuvent alors être tracés), soit par des « mules ». Les « mules » sont des gens qui acceptent l'offre alléchante de « travailler sur Internet de chez eux quelques heures par mois pour 4000 euros », c'est à dire d'ouvrir un compte bancaire à leur nom, d'y recevoir l'argent des victimes puis de le reverser en liquide à des commanditaires. Jusqu'au jour où ils se font interpeller pour escroquerie en bande organisée.
Actuellement, pour faire face à ces formes de plus en plus sophistiquées de cybercriminalité, la DCPJ monte une nouvelle division sous la direction de François Beauvois. Celle-ci aura comme particularité de fonctionner avec des partenaires privés dépositaires d'une expertise.
Interrogés via Evals.fr, seuls les deux-tiers des participants de la conférence ont admis prendre en compte actuellement la cybercriminalité dans leur entreprise. Il y a donc encore bien du travail à faire en la matière.

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article