Comprendre la cybercriminalité pour mieux s’en protéger

Comprendre la cybercriminalité pour mieux s’en protéger

Pour le grand public, un cybercriminel, c’est avant tout un hacker, vêtu de son traditionnel sweat à capuche, isolé à la cave ou dans sa chambre, se gavant de chips devant des écrans remplis de lignes de commande ou de symboles tout droit sortis de la matrice... Quelle ne fût pas la surprise de découvrir qu’une jeune mère de famille a été interpellée par les forces de l’ordre, à l’occasion du démantèlement du forum “Black Hand” (http://bit.ly/2tjwHkB).

Au-delà du grand public, ce sont parfois les DSI ou les RSSI qui méconnaissent le fonctionnement de ces réseaux... obscurs !

Sans nécessairement devenir un cyber-criminologue averti, il est utile de comprendre le fonctionnement de certains des mécanismes utilisés par celles et ceux capables de mettre à mal la sécurité de votre organisation. Dans les coulisses de cette nouvelle criminalité organisée, on découvre notamment une véritable économie souterraine.

Ce marché permet de vendre et d’acheter, comme dans toute économie, légale ou illégale. Pour réaliser ces transactions, on passe par des magasins ou des forums, rarement publics, auxquels on accède par le fameux darkweb. On y trouve de tout... et en particulier de quoi préparer des attaques informatiques – de la plus basique à la plus élaborée !

Vous souhaitez réaliser une attaque par déni de service sur le site e-commerce d’un marchand pendant le Black Friday ? Rien de plus simple ! Si vous n’avez pas la main sur des centaines de serveurs, il vous suffit de louer les services d’un botnet pour quelques heures.

Vous souhaitez vous infiltrer dans le réseau d’une société et lui voler des données sensibles ? Là encore, c’est assez facile. Si vous n’avez pas trouvé de vulnérabilité connue pour exploiter une faille, il vous suffit de casser votre tirelire et d’acheter un exploit capable de tirer profit d’une faille encore inconnue, une vulnérabilité 0-day.

Et s’ils ne sont pas rémunérés par un “client” cherchant à nuire à une entreprise ou une organisation, les attaquants peuvent revendre le fruit de leur travail – et réaliser ainsi des profits, pour leur enrichissement ou pour préparer une attaque d’envergure. S’ils ont pu s’infiltrer dans une application ou un SI, et récupérer le contenu d’une base de données (un “dump”), ils peuvent alors revendre ces données. Idem pour le résultat d’une campagne de phishing.
Et comme dans toute économie, la rareté va conditionner la valeur des produits.

  • Des données personnelles toutes fraiches, avec en prime un numéro de sécurité sociale ?
  • Un couple “login / password” actif ?
  • Un numéro de carte bancaire, avec date d’expiration et cryptogramme ?

Ça peut vite être le jackpot !

Tout cela entretient un cercle “vertueux” de la cybercriminalité... Avec un numéro de carte, on peut s’acheter les services du réseau de botnet ou d’un “DDoS-as-a-Service". Avec un dump de base de données, on peut gagner assez d’argent pour préparer une prochaine opération, qui sera encore plus lucrative.

C’est ainsi que M. Tout-le-monde peut se retrouver en possession de données volées, d’outils utilisés par les attaquants les plus aguerris... ou même à la tête d’une de ces places de marché clandestines. Pour le RSSI, il n’est peut-être pas utile de connaitre la liste de tout ce qui se vend, ni la liste des marchés où les acheter. En revanche il est primordial de savoir que cela existe et ce que cela permet.

Il faut prendre conscience de l’impact de tous les évènements impactant votre sécurité.

  • Une campagne de phishing contre votre organisation ?
  • Une intrusion dans le site Web d’une petite filiale éloignée ?
  • L’exposition sur Internet d’un serveur en mal de patch ?

Tout peut se retourner contre vous, à l’occasion d’une attaque de plus grande ampleur.

Il est désormais essentiel de surveiller ce qui se passe au sein de votre SI mais également à l’extérieur. C’est pourquoi chez Advens nous faisons en sorte que le plan de surveillance de nos services de SOC intègre une veille permanente de la menace. Notre SOC s’alimente de tous les signaux faibles, détectés sur le Web ou le Darkweb. Et les outils de détections mis en place doivent remonter les informations permettant d’aider la communauté à mieux qualifier et détecter les attaques en cours

Cet article est paru pour la première fois dans le magazine Cyberun : www.cyberun.net

Benjamin Leroux, Innovation & Marketing, Advens