Vol dans les réseaux informatiques – deuxième partie

La première partie de cet article était consacrée aux attaques ciblant les utilisateurs particuliers : nous avons évoqué les données qui étaient le plus souvent volées ainsi que les motivations des individus mal intentionnés et nous avons présenté des données statistiques sur ce type d’attaques.

La deuxième partie est consacrée aux attaques menées contre les entreprises. Ces attaques peuvent être scindées en deux catégories : les attaques contre l’entreprise elle-même et les attaques contre ses clients. Nous présenterons de nombreuses statistiques pour aider le lecteur à cerner la gravité du problème.

Attaques ciblées sur les clients de l’entreprise

Une attaque menée contre les clients d’une entreprise peut être désastreuse pour celle-ci car elle détruit la confiance accordée par les clients. Le client souhaite avoir accès à un système fiable qui lui permettra d’exécuter ses tâches. La dernière chose qu’il souhaite, c’est un système qui cause plus de problèmes qu’il n’en résout et qui peut nuire à l’intégrité de ses données.
Le vol demeure le type d’attaque le plus répandu contre les clients d’une entreprise.

Dans la première partie de cet article, nous avons répondu en détail aux questions suivantes : comment ce vol électronique est-il perpétré ? Quels sont les programmes malveillants utilisés à cette fin ? Comment l’utilisateur peut-il intercepter ces programmes ? Nous nous contenterons ici de rappeler la séquence des actions réalisées par les individus mal intentionnés lors du vol de biens virtuels.

A l’heure actuelle, ce type de délit suit toujours le même scénario : l’individu mal intentionné doit d’abord obtenir d’une manière ou d’une autre les données d’accès de l’utilisateur (mot de passe et nom d’utilisateur) avant de pouvoir accéder aux ressources. L’obtention des données du compte utilisateur peut être le résultat d’une attaque d’hameçonnage visant à attirer la victime sur le site du criminel ou de l’infection de l’ordinateur par un programme malveillant chargé de transmettre au voleur toutes les données requises, à l’insu de l’utilisateur. Une fois que l’individu mal intentionné est en possession des données du compte utilisateur, il peut accéder aux ressources existantes et voler les biens virtuels qui l’intéressent.

Dans la majorité des cas, ce sont les données à caractère financier qui sont les plus recherchées. L’histogramme suivant (illustration 1) illustre le nombre d’entreprises dont les clients ont été victimes d’attaques visant à voler de l’argent:


Ill. 1. Augmentation du nombre de sociétés financières dont les clients ont été les victimes
d’attaques à l’aide de données volées par des programmes malveillants.
Source: Kaspersky Lab

Comme l’indiquent les données de l’illustration 1, le nombre de victimes ne cesse d’augmenter. De plus, le nombre d’attaques sur les clients d’une société est proportionnel à la popularité de cette banque, de ce service de change de devises en ligne ou d’un autre système.

Les entreprises, et plus particulièrement les banques, ont été tellement lassées de ces attaques incessantes contre leurs clients qu’elles ont décidé vers la mi-2005 d’introduire des mesures de protection pour compliquer le prélèvement des avoirs des clients en cas de fuite d’informations. Citons, à titre d’exemple, l’authentification à deux niveaux. Certaines institutions ont même introduit des restrictions sur le montant et la fréquence des paiements. Les pages d’accueil de nombreuses banques sont recouvertes de messages mettant les utilisateurs en garde contre les actions des cybercriminels. Un extrait d’un tel message est repris dans l’illustration 2 :


Ill. 2. Message d’avertissement sur la page d’accueil du site Internet d’une banque.

L’avenir nous dira combien de temps de telles mesures seront efficaces. En attendant, force est de constater que ces mesures ont eu un effet positif : au premier semestre 2006, pour la première fois depuis trois ans, la part de programmes malveillants à caractère financier (programme malveillant développé pour attaquer les utilisateurs d’un système bancaire) dans le total des programmes malveillants a diminué comme en témoigne l’illustration 3:


Ill. 3. Recul en 2006 de la part de programmes malveillants à caractère financier dans le total de programmes malveillants.
Source: Kaspersky Lab

Les cyber-criminels sont toujours à la recherche de nouvelles méthodes de contournement des obstacles qui se dressent devant eux. Même si le pourcentage de nombre de programmes malveillants dirigés contre les clients du secteur bancaire est en recul, le nombre absolu, quant à lui, continue à augmenter car le nombre de programmes malveillants dans son ensemble est en augmentation.

De plus, on a pu observer au cours de l’année écoulée, une augmentation sensible du nombre de programmes malveillants capables d’attaquer les clients de plusieurs systèmes de paiement en ligne. (cf. ill. 4). Trojan-Spy.Win32.Banker.asq en est un exemple. Ce cheval de Troie peut s’en prendre directement à près de 150 systèmes parmi lesquels on retrouve Paypal, caixabank, la postbank allemande et d’autres organismes financiers du monde entier.


Ill. 4. Augmentation du pourcentage de programmes malveillants capables d’attaquer simultanément
plusieurs entreprises par rapport aux autres programmes malveillants financiers.
Source: Kaspersky Lab

Cette tactique augmente la probabilité de trouver des victimes car il est plus difficile de trouver sur Internet le client d’un système financier particulier que le client d’un de quatre systèmes.

Nous nous sommes penchés ici sur les attaques dirigées contre les clients des organismes financiers car ce type d’attaque est plus répandu que les attaques contre les clients d’autres entreprises. Mais le cercle de victimes potentielles est bien plus large. Même si une société n’évolue pas dans le secteur financier, elle peut devenir une cible pour les individus mal intentionnés à partir du moment où elle offre une possibilité de paiement en ligne pour les articles qu’elle vend. Les spécialistes de Kaspersky Lab ont découvert des programmes malveillants qui s’en prennent aux clients de sites de voyage ou de transport, aux clients de magasins en ligne et de toute une série d’autres entreprises.

Malheureusement, rien ne laisse supposer à l’heure actuelle que le nombre de programmes malveillants créés pour commettre ces délits va diminuer. Les recommandations formulées dans la première partie de l’article pour se protéger contre ces attaques sont applicables ici également.

Attaques contre les entreprises

Le chantage, l’extorsion et les escroqueries à l’encontre d’entreprises sont des phénomènes assez fréquents en cybercriminalité. Le vol de données confidentielles reste malgré tout le délit dont sont le plus souvent victime les entreprises.

Vols

Ces derniers temps, les escrocs se sont mis à utiliser toutes les données personnelles imaginables des clients : adresse de courrier électronique, numéro de sécurité sociale, données de compte utilisateur pour les jeux en ligne, codes PIN, etc. que les entreprises conservent en général dans des bases de données internes. L’écoulement des données volées n’est guère compliqué. Il existe une forte demande et les sommes payées en échange sont alléchantes, ce qui encourage les cyber-criminels à commettre d’autres délits similaires.

Nous pouvons citer, pour la Russie, un nombre incalculable d’exemples pour illustrer l’ampleur prise par le vol d’informations. Ces vols sont mêmes réalisés dans des administrations telles que le fisc ou les douanes. Il est possible de se procurer sur le marché noir russe l’historique du crédit des citoyens, les bases de données contenant les déclarations de douane, les bases de données d’immatriculation des véhicules, des téléphones mobiles avec les adresses des propriétaires ainsi que des bases de données du service des passeports. Le volume de données vendues est parfois tellement important qu’elles ne sont pas distribuées sur des supports optiques mais directement sur des disques durs. Le prix à payer pour ces données peut aller de quelques dizaines de dollars à plusieurs centaines en fonction de la valeur des informations et de leur actualité.

Il ne faut toutefois pas croire que ces informations sont volées uniquement en Russie. Elles sont fort prisées dans d’autres pays également : il suffit d’évoquer les scandales liés aux vols de numéros de carte de crédit ou de sécurité sociale qui ont eu lieu en 2006 dans plusieurs pays occidentaux Un de ces événements a eu lieu en Grande-Bretagne. Des individus mal intentionnés ont exploité les failles du système de sécurité pour voler les données des cartes de crédit MasterCard de plus de 2 000 clients de magasins de renom.

Les acheteurs de ces données volées sont en général des criminels qui exploitent ces informations dans leurs propres activités, non plus dans le monde virtuel mais bien dans le monde réel.

Les employés des entreprises qui ont accès à ces bases de données internes sont en général complices. Les experts de Kaspersky Lab découvrent de plus en plus souvent des logiciels espions développés sur la base d’informations obtenues auprès d’un employé de l’entreprise. Par exemple, il existe des programmes malveillants qui utilisent les mots de passe et les noms d’utilisateur internes à l’entreprise attaquée ou qui connaissent le format de la structure des bases de données internes. Il est difficile de lutter contre ces vols réalisés à l’aide d’un complice au sein de l’entreprise, mais ce n’est pas une tâche impossible.

Alors que la protection de l’utilisateur peut prendre la forme de quelques recommandations simples pour réduire le risque de perte de biens virtuels, la protection de l’entreprise, quant à elle, doit reposer sur un système complexe intégrant des logiciels antivirus, des pare-feux, des filtres contre le courrier indésirable et des systèmes de surveillance et d’audit de l’infrastructure de réseau de l’entreprise.

Le nombre d’infections d’utilisateurs via le Web a sensiblement augmenté ces derniers temps. La démarche est simple : les individus mal intentionnés s’introduisent sur un site quelconque très visité et y installent un programme malveillant. Ce programme sera ensuite téléchargé sur l’ordinateur de chaque visiteur, à son insu. Pour cette raison, les entreprises doivent se doter de logiciels antivirus comprenant un composant Internet ou de logiciels distincts chargés de rechercher la présence éventuelle de programmes malveillants dans les sites Internet.

Nous ne pouvons malheureusement tirer qu’une seule conclusion : sur la base de la situation actuelle, il faut s’attendre uniquement à une augmentation du nombre de vols perpétrés.

Chantage et extorsion

Alors que les escrocs s’en prennent plus volontiers aux utilisateurs qu’aux entreprises, les maîtres chanteurs et les extorqueurs ont des préférences inveses et s’en prennent plus facilement aux entreprises.

L’attaque par déni de service est la méthode la plus souvent utilisée par les maîtres chanteurs. Dans le cadre de ce genre d’attaque, la victime doit répondre à certaines demandes dans un laps de temps défini (en règle générale, il s’agit du paiement d’une somme déterminée), faute de quoi l’accès à ces ressources de réseau sera bloqué. Dans la mesure où ces attaques sont menées via Internet, l’individu mal intentionné conserve son anonymat sans trop de difficultés.

Parmi les cibles privilégiées, citons les magasins en ligne, les sites de pari en ligne ou toute autre organisation qui réalise une activité commerciale via Internet et pour laquelle le blocage du site se traduirait par la perte de sommes importantes.

L’augmentation du nombre d’attaques de ce genre s’explique par le fait que, bien souvent, la victime accepte de payer. Peut-être que dans une telle situation il est en effet plus avantageux de céder aux pressions de l’individu mal intentionné. Mais comme l’indiquent les résultats d’une étude menée par IBM, les personnes qui acceptent de payer sont plus souvent victimes de nouvelles attaques que les personnes qui refusent de céder.

L’attaque par déni de service n’est pas la seule arme dans l’arsenal des maîtres chanteurs. Dans la première partie de cet article, nous avons évoqué les programmes malveillants qui cryptent les données sur l’ordinateur de la victime. Les auteurs de ces programmes exigent le versement d’une somme déterminée pour libérer les fichiers pris en otage. Bien souvent, les victimes des maîtres chanteurs sont des entreprises. Dans la majorité des cas, un particulier confronté à ce genre de situation attendra l’aide d’un éditeur de logiciel antivirus. Mais l’entreprise dont les données critiques pour l’activité ont été rendues inutilisables par le cryptage n’ont pas de temps à perdre et acceptent de payer, ce qui encourage les individus mal intentionnés à créer de nouveaux programmes de chantage.

Divers

Nous nous sommes surtout intéressés à la perte de biens virtuels. Mais les entreprises ont d’autres avoirs qui ne sont pas nécessairement matériels. A combien peut-on par exemple évaluer une réputation entachée ?

Depuis quelques années, le nombre d’effractions dans des portails d’informations pour placer des programmes malveillants qui seront téléchargés par les utilisateurs augmente à un rythme inquiétant. Et il ne s’agit pas toujours de sites inconnus. Les grandes organisations commerciales ou publiques sont de plus en plus souvent victimes : des programmes malveillants ont été introduits sur les sites de Microsoft ou sur d’autres sites gérés par l’armée ou la police ou d’autres organisations importantes. Souvent, cela indique que la société n’accorde pas l’attention nécessaire aux questions de sécurité même si elle est consciente des risques existants.

Il existe des cas où les individus mal intentionnés installent sur les sites des programmes malveillants développés pour la diffusion de courrier indésirable. Ces messages non sollicités sont envoyés au nom de la victime qui n’est pas au courant bien entendu. Suite à de tels événements, le serveur et l’entreprise perdent la confiance des utilisateurs et des clients. La réputation de la société en pâtit et il n’est pas aisé de regagner la confiance des clients.

Conclusion

Les tendances actuelles ne permettent d’envisager malheureusement que l’augmentation du nombre d’attaques et la diversification des programmes malveillants utilisés par les individus mal intentionnés.

Les cyber-criminels inventent des moyens de plus en plus rusés pour mener les attaques. Ils sont constamment à la recherche de nouvelles méthodes et ils louent les services de spécialistes hautement qualifiés. Le nombre de victimes et la fréquence des attaques ne cessent d’augmenter. Elles portent sur les nouveaux acteurs du marché financier. Les entreprises enregistrent des pertes financières, leur réputation est entachée et l’infrastructure informatique a des défaillances.

Le seul moyen de faire face à cette situation complexe est d’accorder l’attention nécessaire aux questions de sécurité et d’utiliser les moyens de protection indispensables : logiciels antivirus, filtres contre le courrier indésirable, pare-feux, système de surveillance de l’activité et d’audit de l’infrastructure du réseau de l’entreprise. Rappelons que seule une conception globale de la protection peut offrir une protection efficace contre les cyber-criminels qui fon de plus en plus parler d’eux.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *