Ces dernières menaces qui viennent du net

10/10/2007 à 07h00

Tout comme en 2006, les banques ont été victimes cet été d'une multiplication des attaques de phishing. Et le multimédia est de plus en plus exploité par les hackers.

' Les nouvelles menaces sont surtout de nouvelles combinaisons d'anciennes techniques, un recyclage développé selon des modes plus professionnels et mieux ciblés ', note Ant Allen, vice-président chargé de la sécurité au Gartner Group. Le phishing, ou hameçonnage (technique consistant à faire croire à la victime qu'elle s'adresse à un tiers de confiance pour obtenir des renseignements personnels afin d'usurper son identité) est devenu le fléau mondial des premiers mois de 2007.En témoignent les annonces sur les sites du CIC, de LCL et du Crédit Mutuel : ' Des clients nous signalent l'existence d'un site imitant le site www.cic.fr. On vous y invite à saisir votre identifiant, votre mot de passe, et à divulguer les codes de votre carte. ' La banque demande à ses clients de ne jamais saisir plusieurs clés d'accès dans un même écran. Même accent dramatique sur le site de LCL. Moins alarmiste, le Crédit Mutuel explique qu'une tentative de fraude circule actuellement par courriel, aux couleurs du site officiel, visant à enregistrer identifiants et mots de passe. Ce début d'année a connu aussi une multiplication des rootkits virtualisés (portes dérobées qui maintiennent un accès à des systèmes corrompus) et la réutilisation d'anciens botnets (machines zombies utilisées à l'insu de leurs propriétaires).

Phishing : une technique classique qui se perfectionne

Le phishing bancaire classique, tel qu'on l'a déjà vu l'an passé, se perfectionne. La nouveauté tient au fait que les internautes sont redirigés directement sur le véritable site de la banque, si bien qu'ils n'ont aucun doute en ce qui concerne la validité de la connexion. Selon le rapport trimestriel de Kaspersky Labs daté de septembre, le site indiqué dans le champ adresse du navigateur représente soit une adresse qui redirige les visiteurs vers les sites contenant le code d'exploitation, soit la source d'infection elle-même. La balise HTML iframe est devenue depuis longtemps une des favorites dans ce cas de figure. En effet, elle ouvre une nouvelle fenêtre du navigateur et, lorsque les dimensions s'avèrent égales à zéro, la fenêtre devient invisible pour l'utilisateur. Par conséquent, le déclenchement du code d'exploitation passe inaperçu. L'utilisateur ignore absolument qu'il se trouve sur un autre site en plus de celui affiché dans la fenêtre principale.Pour Ant Allen, du Gartner Group, les dernières évolutions concernent le spear phishing, à destination d'un groupe réduit d'utilisateurs, et le whale phishing, qui vise une seule personne dotée de hautes responsabilités dans l'entreprise. Ces attaques traduisent une professionnalisation des hackers. Généralement, un script Java, téléchargé insidieusement, modifie les paramètres des routeurs. Pour éviter ces attaques, un bon paramétrage des routeurs, des sondes IPS et des pare-feu est requis, ainsi qu'une éradication du côté client des logiciels malins avec des antirootkits, des antivirus à jour et des logiciels de navigation récents, avec lesquels le cache DNS est devenu difficile d'accès pour les scripts malveillants. Les DNSec (jeu d'extensions à DNS) résolvent une partie du problème.Du côté du secteur bancaire, les pics de nombreux transferts sur un seul compte - souvent de petites sommes - doivent être surveillés au moyen de tableaux de bord spécifiques. Dans le cas de la banque postale italienne, c'est la multiplication anormale des opérations de transfert qui a conduit à l'arrestation par la brigade de Florence d'un groupe de 26 personnes, dont la tête pensante était un consultant infiltré dans le département sécurité de la banque. Selon l'éditeur RSA, le nombre de faux sites qui favorisent la récupération d'informations sensibles - comme les mots de passe ou les coordonnées bancaires - a été multiplié par huit entre le premier trimestre 2006 et le premier trimestre 2007. Les banques américaines restent la cible privilégiée des attaques mondiales de phishing. Elles représentent 70 % des cibles, contre 1 % pour les banques françaises. En certaines occasions, le vol d'identités numériques peut servir des man?"uvres commerciales. Le record étant détenu par la grande firme de distribution américaine TJX, qui a laissé s'échapper en janvier quelque 45 millions de données personnelles par l'intermédiaire de ses services comptables.

Canulars : le multimédia, vecteur de propagation

Deuxième tendance pour faciliter les intrusions, la multiplication de faux messages d'alerte sur de nouveaux virus en provenance de sociétés réputées comme IBM ou Microsoft. Ils incitent les destinataires à relayer les messages vers leurs amis et collègues, pour leur éviter par exemple un reformatage automatique de leur disque dur. Ces envois masquent souvent un malware, qui transforme le PC infecté en relais dormant pour de futures campagnes de spam ou d'autres distributions de malwares. En avril dernier, une alerte concernant un vers proposait un patch pour le contrer, sous la forme d'un fichier attaché, lui-même compressé et protégé par un mot de passe figurant dans le corps du message. Cette duperie masquait en fait un cheval de Troie. D'après les éditeurs d'antivirus, sa distribution a battu tous les records de spam jamais enregistrés. Les risques d'infection ne sont pas minces, avec les virus hoax, car derrière les téléchargements sur YouTube, DailyMotion ou MySpace se multiplient de nouvelles attaques. McAfee cite le cheval de Troie JS/SpaceStalk distribué aux fans du groupe rock français Mamasaid, via une faille du logiciel Quick-Time d'Apple.Les rootkits, les portes dérobées des logiciels, ont vu leur nombre augmenter de 10 % entre 2006 et 2007. Ils évoluent au gré des découvertes de failles et de leurs publications sur le net. Là aussi, ces passages secrets servent à introduire des logiciels malveillants et à fédérer des milliers de PC.

Spam et Botnet : une alliance dangereuse

L'augmentation régulière des courriers indésirables - jusqu'à 65 % en 2006 - est désormais limitée par les filtres antispam. Plus récent, le spam image consiste à insérer une image plutôt qu'un texte pour tromper les logiciels de protection. Ce mode représente jusqu'à 50 % du total des messages, selon Sophos. Autre tendance lourde, les spams de fichiers PDF (Postscript Digital Format), tel que celui diffusé le 7 août par la compagnie Prime Time Group, cotée en Bourse. Elle proposait une lettre financière sous forme de document attaché, qui a battu tous les records de diffusion.Les adwares, qui diffusent des publicités contre le gré de l'internaute, devraient se multiplier sur les sites de téléchargement eMule, BitTorrent et autres. Leur corruption avec des malwares est déjà surveillée. Ainsi, l'éditeur d'adwares Zango, qui avait intenté une action en justice contre Kaspersky Lab afin que ce dernier cesse de bloquer l'installation de son programme sur les PC jugés potentiellement indésirables, a été débouté. Derrière ces distributions se cachent des man?"uvres plus lucratives : la location de votre propre ordinateur par des pirates pour effectuer des opérations de déni de services (DoS), qui paralysent les réseaux d'ordinateurs visés. Créés à l'origine sur les canaux IRC (Internet Relay Chat) propres aux échanges sur internet, les réseaux de bot, ou botnet, profitent de l'ouverture des serveurs IRC. Les bots sont maintenant utilisés sur Skype ou MSN Messenger pour spammer et attaquer les utilisateurs. Les virus Delf, Mimbot, MSNHorm et MSNPoopy sont sortis de l'anonymat avec les messageries instantanées.Dès 2003, une enquête de l'expert sécurité suisse Peter Troxler, en collaboration avec différentes brigades policières, avait mis en évidence, l'organisation des réseaux-robots de 20 000 à 30 000 ordinateurs reliés entre eux et utilisés pour prendre les entreprises en otages en échange d'une rançon. La convergence des messageries voix et données génère de nouvelles menaces, à l'instar de celles qui visent actuellement Cisco. Les spambots, les réseaux de PC zombies qui servaient à envoyer des spams, sont à présent également recyclés pour lancer des attaques de déni de service. On peut repérer ces opérations grâce à des analyseurs de logs et des scanners. La sécurité s'intègre de plus en plus dans l'administration des systèmes et doit se concevoir en amont de la création des applications les plus communicantes.

Une législation qui se durcit

Aux États-Unis
Christopher Smith, 27 ans, connu sous le nom de Rizler, a été condamné début août à trente ans de prison, après deux ans de procès à Minneapolis.

Dès 2005, AOL avait déposé une plainte à son encontre pour violation de la loi Can Spam. Christopher Smith avait alors payé une amende de 5,3 millions de dollars. Si le fondement de la condamnation tient à la diffusion de milliards d'e-mails promotionnels pour sa société Xpress Pharmacy, ce sont avant tout la vente illégale de médicaments sans ordonnance ainsi que des menaces de mort sur la famille d'un témoin à charge qui ont pesé lourdement dans la sentence.

En Allemagne
Depuis le 10 août dernier, outre-Rhin, la loi ' antihacking ' impose à tous les groupes de recherche de failles logicielles de ne plus publier l'ensemble des résultats de leurs travaux sur internet, mais de les mettre à disposition des éditeurs.

En France
Prévus pour la rentrée parlementaire, les projets de textes de lois contre le piratage et la contrefaçon pourraient bien conduire aux mêmes obligations qu'en Allemagne.

Les conseils des experts

Stéphane Le Hir, président de l'éditeur Kaspersky France : ' mettre à jour son antivirus et son navigateur '
' Aujourd'hui encore, le spam et le phishing constituent la vaste majorité des attaques. La mise à jour régulière des antivirus et des navigateurs des postes clients représente l'une des mesures les plus simples. Il faut se méfier des outils gratuits et du discours rassurant de Microsoft. '

Ant Allen, vice-président en charge de la sécurité au Gartner Group : ' verrouiller les accès des postes de travail '
' Pour les entreprises qui ont pris des mesures de base, il faut désormais aborder la sécurité comme une gestion des risques. Ces sociétés doivent mettre en place des politiques précises et verrouiller les accès des postes individuels. La multiplication des PDA doit être maîtrisée. '

Philippe Rondel, directeur technique de l'éditeur Check Point Software : ' maîtriser les échanges entre PC '
' Il est facile de récupérer des virus par le biais des postes des utilisateurs, lesquels concourent aux risques majeurs. Ainsi, les ports USB constituent des voies d'accès aisés. Il convient d'établir des politiques de mise à jour régulières, de mettre en place des outils de sécurité complets et de maîtriser les échanges entre PC. '

Craig Stable, responsable technique Europe d'IBM ISS : ' former les utilisateurs et déclarer les attaques à la police '
' Les postes clients se révèlent des cibles évidentes pour les hackers. Il apparaît nécessaire de surveiller les ports et d'agir à différents niveaux, et notamment de fixer les politiques d'échange entre domaines et PC. L'analyse heuristique, qui décèle les modifications irrationnelles, donne de bons résultats. Il faut mettre en ?"uvre une panoplie et une politique complètes, former les utilisateurs et déclarer les attaques à la police. '

Toralv Dirro, chercheur au laboratoire de l'éditeur McAfee : ' filtrer les ports TCP et UDP '
' La surveillance permanente fournie par les éditeurs d'antivirus doit être complétée par une politique d'administration et de formation des utilisateurs. Pour les spams provenant de la messagerie instantanée sous Windows - l'une des attaques en progression fulgurante -, on peut par exemple filtrer les ports TCP et UDP avec un simple pare-feu. '

Avis d'expert : Igor Muttik, architecte au laboratoire de recherche de Mc Afee d'Aylesbruy (R.-U.)

Docteur en mathématiques et physique de l'Université de Moscou, il étudie les virus informatiques depuis 1987.

' Le nombre de virus et de chevaux de Troie continue de croître '
' Notre laboratoire en a recensé plus de 21 500, soit une croissance de 34 %. Il s'agit généralement de nouvelles combinaisons d'anciens malwares. Elles suivent en pourcentage l'évolution des vulnérabilités identifiées. En revanche, les programmes non désirés mais peu dangereux, tels les adwares ou spywares, sont en régression de 8 % au premier trimestre. '

' Les nouveautés restent limitées, hormis les attaques sur les mobiles '
' Même l'iPhone se trouve déjà ciblé. Tout comme la voix sur IP et les outils de virtualisation. En revanche, le nombre d'attaques classiques ne cesse de croître. Les outils de vols de mots de passe (Banker, Legmir et Lineag, entre autres) sont davantage utilisés. Les attaques deviennent plus ciblées et plus professionnelles. Et celles qui exploitent les vulnérabilités de cross scripting, comme CSS/XSS, avec injection de code SQL, vont se développer à la faveur du web 2.0. '

Témoignage : Serge Saghroune (groupe Accor) : ' nous sommes obligés de compenser le manque de maturité des logiciels '

' Le nombre croissant de failles applicatives est le phénomène qui m'étonne le plus. Cela nous oblige à un travail permanent de vérifications et de tests. Voici dix ans, les failles étaient exploitées par les hackers dans le mois qui suivait leur divulgation. Désormais, ils réagissent parfois en une seule journée. Le fond du problème tient au fait que les applications sont développées de plus en plus rapidement pour des questions de rentabilité. A peine un mois après la mise en service d'un nouveau logiciel, il faut déjà prévoir les mises à jour et les patchs. C'est un peu comme si l'on vous obligeait à ramener systématiquement votre voiture au garage quelques semaines après l'avoir achetée. Il faut avoir mis en place des outils, des méthodes, des processus de validation qui compensent le manque de maturité des logiciels. La sécurité des réseaux de base s'améliore, mais les risques liés aux applications n'exigeant que l'utilisation de HTTP ne cessent daugmenter. '

Thierry Outrebon

Votre opinion