Panorama De La Cybercriminalité Année 2012 Paris, 17 Janvier 2013

Panorama de la cybercriminalité année 2012 Paris, 17 janvier 2013

Événement réalisé grâce au soutien financier de : Accenture – Orange Business Services – TelecityGroup Panorama Cybercriminalité, année 2012 In memoriam Le 11 janvier 2012, Pascal Lointier présentait le Panorama 2011. Le 14 février 2012, à l’âge de 50 ans, il nous quittait soudainement après avoir assuré 10 ans de présidence.

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 2 Panorama Cybercriminalité, année 2012 Le CLUSIF : agir pour la sécurité de l’information

Association sans but lucratif (création au début des années 80)

> 600 membres (pour 50% fournisseurs et prestataires de produits et/ou services, pour 50% RSSI, DSI, FSSI, managers…)

Partage de l’information Echanges homologues-experts, savoir-faire collectif, fonds documentaire

Valoriser son positionnement Retours d’expérience, visibilité créée, Annuaires (Formations, Membres Offreurs)

Anticiper les tendances Logo pour vos actions commerciales, Le « réseau », faire connaître ses attentes auprès des offreurs votre site web

Promouvoir la sécurité

Adhérer…

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 3 Panorama Cybercriminalité, année 2012 Groupes de travail en progression

… et Espaces dédiés

Surveillez les flux RSS, le facebook.com/clusif, linkedIn, twitter... CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 4 Panorama Cybercriminalité, année 2012 Une collaboration à l’international…

Des créations en cours : Ethiopie, pays du Maghreb…

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 5 Panorama Cybercriminalité, année 2012 Des actions en région…

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 6 Panorama Cybercriminalité, année 2012 Objectifs du panorama:

Apprécier l’émergence de nouveaux risques et les tendances de risques déjà connus

Relativiser ou mettre en perspective des incidents qui ont défrayé la chronique

Englober la criminalité haute technologie, comme des atteintes plus « rustiques »

Depuis 2009, élargissement au risque numérique Evénements accidentels Faits de société et comportements pouvant induire / aggraver des actions cybercriminelles

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 7 Panorama Cybercriminalité, année 2012 Sélection des événements médias

Illustration  d’une émergence,  d’une tendance,  d’un volume d’incidents.

Cas particuliers:  impact ou enjeux,  cas d’école.

Les images sont droits réservés Les informations utilisées proviennent de sources ouvertes Les entreprises sont parfois citées par souci de précision et parce que leur nom a été communiqué dans les médias

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 8 Panorama Cybercriminalité, année 2012 Contributions au Panorama 2012

Sélection réalisée par un groupe de travail pluriel issu du privé et de l’administration:

 McAfee Labs  Accenture  Orange Labs  BSSI  Solucom  CEIS  Verizon  CERT Devoteam   CERT-IST Direction Centrale de la Police Judiciaire \ OCLCTIC  CERT LEXSI   Hervé Schauer Gendarmerie Nationale \ STRJD Consultants  Ministère des Affaires Sociales  IBM France  Sûreté du Québec

Le choix des sujets et les propos tenus n'engagent pas les entreprises et organismes ayant participé au groupe de travail

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 9 Panorama Cybercriminalité, année 2012 Interventions, Panorama 2012 (1/3) Débriefing 2011 M. François PAGET  Chercheur de Menaces – McAfee Labs

2012, ni la fin du monde, ni la fin des accidents… M. Gérôme BILLOIS  Manager Sécurité et Risk Management – Solucom

Etats - Doctrine Mme Barbara LOUIS-SIDNEY  CEIS

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 10 Panorama Cybercriminalité, année 2012 Interventions, Panorama 2012 (2/3) Attaques ciblées: autopsie pour l’année 2012 M. Pierre CARON  Responsable de l’équipe Sécurité des Réseaux - Orange Labs

Hack As A Service - Les offres pros enfin accessibles à tous… M. Eric GROSPEILLER  FSSI – Ministère du Travail, de l’Emploi et de la Santé

Les Botnet à toutes les sauces M. Eric FREYSSINET  Chef de la division de lutte contre la cybercriminalité – Gendarmerie Nationale \STRJD

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 11 Panorama Cybercriminalité, année 2012 Interventions, Panorama 2012 (3/3) Mobilité M. Fabien COZIC  Consultant en cybercriminalité - CERT-LEXSI

Polémiques et Tendances Emergentes: la Sécurité fait parler d'elle M. Nicolas CAPRONI  Consultant en Sécurité des SI - BSSI Conseil & Audit

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 12 Panorama Cybercriminalité, année 2012 Agenda du Panorama 2012

Débriefing 2011, 2012, ni la fin du monde, ni la fin des accidents… Etat: quelle doctrine pour les cyber-conflits ? Les attaques ciblées: une autopsie de l’année 2012, Hack As A Service - Les offres pros enfin accessibles à tous… Les Botnet à toutes les sauces, Mobilité: la ruée vers l’or version 3G, Polémiques et tendances émergentes: la sécurité fait parler d'elle.

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 13 Panorama Cybercriminalité, année 2012

Débriefing 2011

François PAGET Chercheur de Menaces – McAfee Labs

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 14 Panorama Cybercriminalité, année 2012 Débriefing 2011

(Source McAfee Labs)

• Un nombre de programmes malveillants qui explosent. • Une réussite dans l’appel discret de numéros surtaxés. Dylan C. (jeune hacker de 20 ans)

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 15 Panorama Cybercriminalité, année 2012 Débriefing 2011 • Enfantillage: En 2012, le mouvement Anonymous s’est dispersé. A côté de quelques actions d’éclat, nous avons vu des revendications farfelues ou mensongères.

• Conscience politique: Dépôt d’une pétition auprès de la Maison Blanche pour légaliser les attaques en déni de service.

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 16 Panorama Cybercriminalité, année 2012 Débriefing 2011

• Comme nous l’avions annoncé, le Centre européen de lutte contre la cybercriminalité (EC3) a été officiellement inauguré vendredi 11 janvier 2013 dans les locaux d’Europol à La Haye, aux Pays-Bas. Source: http://www.pcinpact.com/news/76660-l-ue-inaugure-demain-centre- europeen-lutte-contre-cybercriminalite.htm

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 17 Panorama Cybercriminalité, année 2012 Débriefing 2011

Congrès Breakpoint 2012: Installé à une dizaine de mètres d’un stimulateur cardiaque, et muni uniquement d'un ordinateur portable, Barnaby Jack, expert en sécurité informatique chez IO Active, a réussi à lui faire envoyer plusieurs décharges de 830 volts, ce qui, s'il avait été porté par un être humain aurait provoqué une crise cardiaque.

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 18 Panorama Cybercriminalité, année 2012 Débriefing 2011

(SCADA)

• Toujours plus de vulnérabilités !

Source: http://www.ptsecurity.com/download/SCADA_analytics_english.pdf

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 19 Panorama Cybercriminalité, année 2012 Débriefing 2011 Le 20 novembre 2012, l’Observatoire National de la Délinquance et des Réponses Pénales publiait sonrapport annuel sur la criminalité en France. Sur 12 pages, le panorama du CLUSIF reprenait l’actualité cybercriminelle de l’année.

Source: http://www.inhesj.fr/fr/ondrp/les-publications/rapports-annuels/8

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 20 Panorama Cybercriminalité, année 2012 Agenda du Panorama 2012

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 21 Panorama Cybercriminalité, année 2012

2012, ni la fin du monde, ni la fin des accidents…

Gérôme BILLOIS Manager Sécurité et Risk Management – Solucom

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 22 Panorama Cybercriminalité, année 2012 2012, ni la fin du monde, ni la fin des accidents…

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 23 Panorama Cybercriminalité, année 2012 2012 n'a pas échappé à son lot d'incidents

Windows Azure Interruption de service sur le Cloud au niveau mondial

KnightKnight Capital Capital Bug logiciel, perte de 440 Millions de dollars en quelques minutes

Royal Bank of Scotland Incident informatique, des millions de cartes bancaires inopérantes

Orange Panne logicielle, plusieurs millions d’abonnés mobiles privés de communication

Inde Panne d’électricité, 670 millions d’indiens privés d’électricité

Amazon Pannes multiples dans le Cloud, perturbation des services associés

France Telecom Rupture de fibre, 70 000 clients privés de communications

Canton de Vaud, Suisse Bug informatique, perturbation des élections fédérales

Google Panne informatique, perturbation des services associés

France Telecom Incendie sur un pont à Rouen, fonte de câbles, coupure de certaines communications

Etat de New York Tempête Sandy

Ville de Moscou Rupture de câble, perturbation dans le contrôle des satellites civils

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 24 Panorama Cybercriminalité, année 2012 Knight Capital et le trading à haute fréquence

Une compagnie en courtage spécialisée dans le « High Frequency Trading », un des « poids lourds » de Wall Street, il gère 15% des actions traitées chaque jour

Le principe du trading haute fréquence : acheter au moins cher et vendre au plus offrant toutes les microsecondes pour dégager une faible marge de très nombreuses fois

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 25 Panorama Cybercriminalité, année 2012 Knight Capital - Que s’est-il passé ?

6 aout 2012 - Knight déploie une nouvelle version de logiciel de trading…

…une version de test développée rapidement et qui s’est mis à agir et à s’emballer sur les marchés réels.

De multiples erreurs dont un algorithme qui achetait au plus cher et en revendait au moins cher…

…engendrant des moins-value, par exemple par sur un titre, 15 cts perdu par transactions, 2400 fois par minute !

En 45 minutes : 4,5 milliards de dollars d’actions achetées, des cours d’action modifiés à + de 150%

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 26

Panorama Cybercriminalité, année 2012 Knight Capital – Les conséquences

Après le 6 aout… Goldman Sachs intervient pour couvrir les titres achetés/vendus à tort

Au final 440 Millions de dollars sont perdus pour Knight Capital Le titre Knight perd 75% de sa valeur

Knight Capital frôle la Banqueroute

En janvier 2013, Getco annonce le rachat de son concurrent Knight…

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 27 Panorama Cybercriminalité, année 2012 Un des bugs les plus cher de l’histoire

Seulement devancé par :

Black-out aux États-Unis en 2003 : 6 milliards de dollars en 9h d’interruption

Le crash d’Ariane 5 en 1996 : Knight Capital en 2012 : 500 millions de dollars en 440 millions de dollars quelques secondes en moins d’une heure

Nous pensons aux catastrophes mais rarement au bug…

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 28 Panorama Cybercriminalité, année 2012 2012 chez Amazon : des incidents somme toute classiques

Une mise à jour d’équipements réseaux tourne mal, le trafic est

AVRIL détourné mais au mauvais endroit

Une panne électrique survient suite à une série de tempêtes,

JUIN un générateur (testé en mai) n’a pas bien fonctionné

Un bug logiciel de répartition de la puissance de calcul, entraînant

OCT. une consommation excessive de mémoire sur les serveurs

Un développeur lance le mauvais script sur la production…

DEC. … et ne s’en rend pas compte immédiatement

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 29 Panorama Cybercriminalité, année 2012 Un cloud tombe à terre…

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 30 Panorama Cybercriminalité, année 2012 Un cloud tombe… et la net-économie vacille !

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 31 Panorama Cybercriminalité, année 2012 Un cloud tombe… et la net-économie vacille !

Quoi qu’on en dise, le cloud reste un système informatique, donc faillible !

Aujourd’hui, des services de la net-économie, demain l’économie réelle ?

Attention donc au risque systémique…

… il ne faut ne pas mettre tout ces œufs dans le même cloud (voir dans le cloud) !

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 32 Panorama Cybercriminalité, année 2012 Et d’autres incidents de grande ampleur

Blackout géant en Inde Panne géante d’Orange Tempête dévastatrice au Nord Est des USA . 600 Millions d’habitants . Une trentaine de millions . 8 Millions d’Américains touchés d’usagers privés de réseau privés d’électricité . L’équivalent de l’Europe dans . Un problème de mise à jour . Plusieurs dizaines de le noir logicielle milliards de dollars de dégâts . Des centaines de millions . Une mobilisation à tous les . Arrêt de 3 réacteurs d’euros perdus par les niveaux, y compris au plus nucléaires industriels haut de l’Etat . Impacts politique (élection . Impacts sur l’image du pays présidentielle)

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 33 Panorama Cybercriminalité, année 2012 En conclusion

L’année 2012 nous montrent une fois de plus notre forte dépendance aux « systèmes » en tout genre (télécom, informatique, électrique…)

L’important est de se préparer aux incidents à venir, en se basant sur les retours d’expérience mais aussi en imaginant l’imprévu, et surtout de tester, tester et retester !

Ces incidents sont une source potentielle d’inspiration pour les cybercriminels afin d’étoffer leur palette d’attaques et identifier de nouvelles failles

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 34 Panorama Cybercriminalité, année 2012 Références – Knight Capital

http://www.lepoint.fr/economie/knight-capital-dans-l-oeil-du-cyclone-pour-des-pertes-eclair- 08-08-2012-1494031_28.php http://money.cnn.com/2012/08/09/technology/knight-expensive-computer-bug/index.html http://www.lemonde.fr/economie/article/2012/08/07/les-deboires-de-knight-capital- specialiste-du-trading-haute-frequence_1743230_3234.html http://www.lepoint.fr/economie/le-bug-knight-capital-temoigne-des-failles-du-marche-actions- americain-03-08-2012-1492553_28.php http://www.letemps.ch/Page/Uuid/b122ba04-dcd0-11e1-a5e7-b0fed2a8864c%7C0#.UOasj-SO- y4 http://www.cio.com/article/713628/Software_Testing_Lessons_Learned_From_Knight_Capital _Fiasco http://www.theregister.co.uk/2012/08/03/bad_algorithm_lost_440_million_dollars/ http://money.cnn.com/2012/08/09/technology/knight-expensive-computer- bug/index.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+rss% 2Fmoney_latest+%28Latest+News%29

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 35 Panorama Cybercriminalité, année 2012 Références - Amazon http://www.journaldunet.com/solutions/cloud-computing/panne-cloud-amazon-web-services- 1012.shtml http://www.journaldunet.com/solutions/systemes-reseaux/panne-d-amazon-ec2-0411.shtml http://www.01net.com/editorial/578449/nouvelle-panne-du-service-cloud-damazon-aux-etats- unis/ http://thenextweb.com/insider/2012/10/22/amazons-aws-sees-partial-outage-taking-reddit- coursera-flipboard-and-many-other-down-int ow/?awesm=tnw.to_o5zy&utm_source=Twitter&utm_campaign=social%20media&utm_medium=T witter%20Publisher&utm_content=Amazon's%20AWS%20sees%20partial%20outage,%20taking%2 0Reddit,%20Coursera,%20Flipboard%20and%20many%20other%20down%20in%20tow http://www.lemondeducloud.fr/lire-les-pannes-dans-le-cloud-ont-coute-71-7-millions-de-dollars- depuis-2007-49375.html http://www.cloudmagazine.fr/dotclear/index.php?tag/pannes http://www.ictjournal.ch/News/2012/07/02/Instagram-et-Pinterest-inaccessibles-suite-a-la-panne- du-cloud-dAmazon.aspx http://www.information-management.com/news/developer-error-to-blame-for-amazon-cloud- christmas-disruption-10023745-1.html http://www.theregister.co.uk/2012/07/03/amazon_outage_post_mortem/ http://www.zdnet.com/blog/btl/amazon-web-services-suffers-partial-outage/79981 https://aws.amazon.com/fr/message/680342/

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 36 Panorama Cybercriminalité, année 2012 Références – Autres évènements http://www.itespresso.fr/l-annee-bissextile-fait-planter-windows-azure-dans-le-monde-entier- 51360.html http://www.flutrackers.com/forum/showthread.php?t=188616 http://www.francetvinfo.fr/panne-geante-sur-le-reseau-mobile-d-orange_116233.html http://www.lefigaro.fr/conjoncture/2012/08/01/20002-20120801ARTFIG00383-inde-la-panne-d- electricite-historique-etait-previsible.php http://www.20min.ch/ro/myvote/news/story/12663629 http://www.rtl.fr/actualites/technologie/article/info-rtl-plus-de-70-000-personnes-privees-de- telephone-dans-le-var-7753769198 http://www.paris-normandie.fr/article/rouen/fixe-mobile-et-internet-en-rade-a-rouen-apres- lincendie-sur-le-pont-mathilde http://fr.rian.ru/science/20121114/196620661.html http://www.usinenouvelle.com/article/blackout-electrique-en-inde-les-industriels-accusent-le- coup.N179717 http://www.lemonde.fr/planete/article/2012/10/29/atlantic-city-sous-les-eaux-le-new-jersey- envisage-de-fermer-deux-centrales-nucleaires_1782866_3244.html http://lexpansion.lexpress.fr/high-tech/panne-d-orange-etes-vous-satisfait-de-l- indemnisation_312184.html http://www.lefigaro.fr/actualite-france/2012/08/01/01016-20120801ARTFIG00270-black-out-l- electricite-a-ete-restauree-en-inde.php CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 37 Panorama Cybercriminalité, année 2012 Agenda du Panorama 2012

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 38 Panorama Cybercriminalité, année 2012

Etats: quelle doctrine pour les cyberconflits ?

Barbara LOUIS-SIDNEY CEIS

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 39 Panorama Cybercriminalité, année 2012 Etats : quelles doctrines pour les cyberconflits en 2012 ? Plan :  Aspect militaire  Initiation et renforcement de stratégies en matière de cybersécurité  Des annonces plaidant en faveur d’une approche décomplexée du champ cyber  Focus : le rapport décomplexé à l’offensif  Droit international  La place confirmée d’Internet dans les conflits internes  La question des ressources humaines de la cybersécurité au cœur de l’actualité 2012  Quelle démarche globale ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 40 Panorama Cybercriminalité, année 2012 Aspect militaire 1. Initiation et renforcement de stratégies en matière de cybersécurité  Publication de documents stratégiques  L’Iran formule officiellement sa stratégie  Création d’unités militaires dédiées aux cyberopérations  L'Iran envisagerait la création d'un "Cyber Command"  Le Japon et la Turquie également  Certains Etats affirment considérer le cyberespace comme un champ de bataille à part entière (Israël…)  Certains affirment se doter d’importantes capacités défensives  L'Iran met en place un SOC  Le DHS développe un « pack cybersécurité »  Le Brésil, la Corée du Sud communiquent  Exemple Français

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 41 Panorama Cybercriminalité, année 2012 Aspect militaire 2. Des annonces plaidant en faveur d’une approche décomplexée du champ cyber

 Approche portée par les Etats-Unis  Nombre important de publications (universitaires, centres de recherche, think tanks, etc.)  Amélioration de la cohérence des rapports entre les unités existant déjà  Lancement du Commandement de l’Amérique du Nord Centre Cyber Conjointe (JCC) (Etats-Unis et en Canada)  Rapport à l’offensif décomplexé

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 42 Panorama Cybercriminalité, année 2012 Aspect militaire 3. Focus : le rapport décomplexé à l’offensif  Surenchère dans l’affirmation de l’acquisition de capacités offensives (ex : Japon, USA, Israël, Inde, Chine, Corée du Nord…)  La DARPA : Annonçait fin 2011 le développement de capacités offensives dans le cyberespace  2012 : consécration avec Plan X, destiné à doter le Pentagone d'une cartographie en temps réel d'Internet et d'outils de cyberguerre automatisés ; et CHAMP (arme exploitant les micro-ondes pour bloquer les ordinateurs ciblés)  Armée de l’air américaine  Reconnaissance de certaines opérations  Hilary Clinton se vante du piratage de sites terroristes affiliés à Al Qaïda ; Un officier américain révèle l'existence de cyberattaques en Afghanistan

 Evocation, par les USA, d’une stratégie de riposte, voire de cyberattaques préventives car défendre ne suffit plus

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 43 Panorama Cybercriminalité, année 2012 Aspect militaire 3. Focus : le rapport décomplexé à l’offensif Elément clé : Stuxnet et les révélations de l’ouvrage de David E. Sanger.  Rapporte avec une précision déroutante les coulisses de l’affaire Olympic Games  Sources anonymes gouvernementales américaines, européennes et israéliennes  Est-il de l’intérêt des Etats-Unis de dévoiler les dessous de cette affaire ? Ces fuites sont-elles contrôlées, approuvées par la Maison Blanche ?  Absence de démentis = aveu à demi-mot ?  Quelles conséquences ? Boîte de Pandore ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 44 Panorama Cybercriminalité, année 2012 Prises de positions en droit international Question 1 : Droit applicable Publication importante : Draft du Manuel de Tallinn qui réunit les contributions d'experts australiens, britanniques, américains, canadiens et néerlandais.

Déclarations d’officiels :  Juriste américain : State Department legal advisor, Harold Koh  les cyberattaques peuvent constituer des agressions armées dès lors qu’elles débouchent sur des pertes de vie humaines, « atteinte à la propriété privée », ou une « menace imminente ».  Directeur du Cyber Command US : réfléchissent à l’établissement de règles d’engagement  Directive secrète signée par Obama  encadrement des opérations offensives

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 45

Panorama Cybercriminalité, année 2012 Prises de positions en droit international Question 1 : Droit applicable

Prises de position des Etats :

 Exemple : Royaume-Uni, décembre 2012 : le droit des conflits armés s’applique nécessairement aux opérations dans le cyberespace, dès lors que sont remplis les critères d’intensité, etc.

 Exemple des USA : défense active, voire préventive.

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 46 Panorama Cybercriminalité, année 2012 Prises de positions en droit international Question 2 : Quelle riposte ?

 Royaume-Uni, décembre 2012 : en l’absence de définition internationale de la notion d’atteinte à la souveraineté d’un Etat en matière cyber, difficile de déterminer aujourd’hui quelle serait une réponse proportionnée en cas de cyberattaque. De plus, les incertitudes de l’attribution (pouvant prendre quelques jours) remettent en cause l’idée d’une réponse instantanée.

 USA : avaient déjà affirmé qu’ils se réservent la possibilité de riposter par tous moyens à une cyberattaque dès lors qu’elle remet en cause leur souveraineté.

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 47

Panorama Cybercriminalité, année 2012 Prises de positions en droit international La démarche proactive des Etats-Unis : droit coutumier = vers l’acceptation à l’échelle internationale de leur perception des cyberconflits ?

La démarche originale de l’Iran : Le responsable du Centre Juridique International iranien, Majid Jafarzadeh, a annoncé que l'Iran envisageait donner des suites légales aux attaques informatiques dont ses infrastructures ont été victimes.

Des incertitudes pourtant encore nombreuses : Comment définir l’arme informatique ? Quelles règles d’engagement ? Quelle application concrète ? Des cas d’espèce à venir ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 48 Panorama Cybercriminalité, année 2012 La question de la cybersurveillance et la place confirmée d’Internet dans les conflits internes Niveau 1 : Exemple majeur de la révolution syrienne

 Utilisation des réseaux sociaux comme outils de communication  Internet : espace où peut être engagée une véritable cybersurveillance des citoyens – anticipation de mouvements de foule – etc.  Cap franchi : Utilisation d’Internet à des fins malveillantes, offensives : diffusion de malwares, etc. par l’Etat syrien.

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 49 Panorama Cybercriminalité, année 2012 La question de la cybersurveillance et la place confirmée d’Internet dans les conflits internes Niveau 2 : le débat à l’échelle internationale

 Vision simplifiée : entre partisans du contrôle accru sur Internet (monitoring, filtrage accru, internets nationaux)  L'Iran interdit l'envoi de mails aux messageries étrangères  Un chercheur du MIT révèle l’existence d’un réseau parallèle  Et partisans de la défense d’un Internet comme outil de libération : approche universelle et libératrice (USA : e-diplomacy ; Europe : no disconnect…)  Version plus nuancée : liberté totale vs. Contrôle total vs. Régulation intermédiaire

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 50 Panorama Cybercriminalité, année 2012 La question des ressources humaines de la cybersécurité au cœur de l’actualité 2012 Initiatives dans certains pays  Les formations de plus en plus nombreuses  Ouvertures de postes  Exemple français  Recrutement urgent de 600 experts en cybersécurité au DHS  Création de réserves opérationnelles et citoyennes (France, Royaume- Uni) afin de garder les profils se dirigeant vers le privé  La recherche est boostée (NCCoE aux Etats-Unis - CREC en France – Chaire cyberdéfense, participation française au centre d’Excellence de Cyber Défense de l’OTAN (CCD-COE))  Des challenges sont lancés :  Global CyberLympics : les premiers championnats internationaux de hack éthique !

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 51

Panorama Cybercriminalité, année 2012 La question des ressources humaines de la cybersécurité au cœur de l’actualité 2012 Approche avancée  Développement de formations de hackers et militaires  Le Pentagone souhaite accélérer la formation des officiers de l'Air à la conduite d'opérations de cyberguerre  L’Inde ouvre son école de cyberguerre  Les agences expriment leurs besoins et font part de la pénurie  Casse-tête pour les ressources humaines du Pentagone qui multiplient les initiatives originales pour recruter des « cyber-soldats »  La cybersécurité, un emploi d’avenir ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 52 Panorama Cybercriminalité, année 2012 La question des ressources humaines de la cybersécurité au cœur de l’actualité 2012 Approche avancée  Publications d’offres d’emploi explicitement axée vers l’offensif  Northrop Grumman fait le buzz : « planification, l'exécution, et le contrôle d'opérations offensives dans le cyberespace (OCO) »

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 53 Panorama Cybercriminalité, année 2012 Quelle démarche globale ?

L’année 2012 a été marquée par de nombreuses annonces et prises de position décisives en la matière. « La cyber-guerre est entrée dans un volet résolument offensif » (Mikko Hypponen de F-Secure)

Démarche des Etats-Unis remarquable : Affirment leur « cyberpower » à travers le développement des différents axes de leur stratégie : aspect militaire ; aspect politique et diplomatique ; aspect juridique ; aspect RH ; aspect R&D…

« Pour que la cyberdissuasion fonctionne, il faut réunir certaines croyances : un, que nous sommes résolus à passer à l’action ; deux, que nous avons les capacités techniques de le faire ; et trois, que nous l’avons déjà fait – et tout le monde sait que nous l’avons déjà fait. ». James Cartwright

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 54 Panorama Cybercriminalité, année 2012 Quelle démarche globale ?

 2012 également marquée par le scepticisme de certains  "Cyberwar will not take place"...  Critiques de la surenchère par Gary McGraw, de Cigital  Blogueur Krypt3ia  Malgré ces nombreuses annonces et la surenchère, la discrétion reste de mise. Les Etats affirment disposer ou développer des capacités offensives, mais il n’y a toujours pas de cyberattaque de grande ampleur officiellement assumée par un Etat.  Seule évolution : le livre de David E. Sanger sur Stuxnet.  Evolution de la dissuasion dans le cyberespace ?  Prochaine étape : revendiquer une cyberattaque ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 55

Panorama Cybercriminalité, année 2012 Sources – 1/4

 OMC, CEIS

 http://www.hstoday.us/single-article/us-needs-top-level-approval-to-launch- cyberattacks/c1772b4de77b48066cc81eb4c2c53e6c.html

 http://threatpost.com/en_us/blogs/defense-contractor-northrop-grumman-hiring-offensive-cyber- ops-051812

 http://www.clearancejobs.com/jobs/1536410/cyber-software-engineer-2

 http://www.northropgrumman.com/careers

 http://infosecisland.com/blogview/18002-DARPA-Advocates-Improved-Cyber-Offense- Capabilities.html

 http://www.darpa.mil/about.html

 http://www.telegraph.co.uk/news/worldnews/al-qaeda/9286546/Hillary-Clinton-boasts-of-US- cyberwar-against-al-Qaeda.html

 http://www.defensenews.com/article/20120518/DEFREG02/305180005/China-Continues-its-Focus- Cyber-Report?odyssey=tab|topnews|text|FRONTPAGE

 http://defensesystems.com/Articles/2012/05/22/NORAD-Northcom-Joint-Cyber- Center.aspx?Page=2

 http://www.cso.com.au/article/425131/us_hopeful_china_will_recognise_its_cyber_war_rules/?fp =4&fpid=959105

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 56 Panorama Cybercriminalité, année 2012 Sources 2/4

 http://www.google.com/hostednews/afp/article/ALeqM5jzh5OHjE_YOFj7PeAz8thcxLDXHg?docId=C NG.9db1cb87109712fd31475e3f2399e01e.251

 http://world.time.com/2012/06/13/hillarys-little-startup-how-the-u-s-is-using-technology-to-aid- syrias-rebels/

 http://securite.reseaux-telecoms.net/actualites/lire-selon-mikko-hypponen-de-f-secure--la-cyberguerre-est-entree-dans-un-volet-resolument-offensif-24165.html

 http://timesofindia.indiatimes.com/india/India-to-add-muscle-to-its-cyber- arsenal/articleshow/14004730.cms

 http://defensesystems.com/articles/2012/06/07/agg-panetta-cyber-operations-framework.aspx

 http://view.koreaherald.com/kh/view.php?ud=20120607001121&cpv=0

 Doctrine israélienne de cyberdéfense - http://www.idf.il/1283-16122-en/Dover.aspx

 Opérations de contre-propagande sur les sites appelant au terrorisme - http://www.hstoday.us/single-article/clinton-us-wars-with-al-qaida-on-the- web/bd40ae765a0403b81bccaa84d21db3e1.html

 http://www.washingtonpost.com/business/economy/cybersecurity-experts-needed-to-meet- growing-demand/2012/05/29/gJQAtev1yU_story.html?wprss=rss_politics

 http://www.turkishweekly.net/news/137914/iran-establishes-security-operations-center-to-tackle- attacks-vulnerabilities.html

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 57 Panorama Cybercriminalité, année 2012 Sources 3/4

 Le Pentagone souhaite accélérer la formation des officiers de l'Air à la conduite d'opérations de cyberguerre - http://online.wsj.com/article/SB10001424052702303684004577508850690121634.html?mod=goo glenews_wsj

 http://si-vis.blogspot.fr/2012/07/le-pack-cybersecurite-du-dhs-pour-les.html

 Stratégie iranienne de cyberdéfense : http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1627386

 http://www.turkishweekly.net/news/138991/iranian-armed-forces-to-establish-cyber-defense- headquarters-.html

 http://www.cyberlympics.org/Home/AboutUs.aspx

 http://www.lasvegassun.com/news/2012/jul/06/learning-art-cyber-war/

 http://english.farsnews.com/newstext.php?nn=9104254133

 http://www.washingtonpost.com/national/us-general-says-his-forces-carried-out-cyberattacks-on- opponents-in-afghanistan/2012/08/24/dd9e6a28-ee06-11e1-b624-99dee49d8d67_story.html

 http://cyberwarzone.com/cyberwarfare/brazil-prepares-cyber-war

 http://cyberarms.wordpress.com/2012/12/18/army-cyber-command-working-cyber-attacks-into- standard-attack-options/

 http://www.federalnewsradio.com/239/3075763/Air-Force-looks-to-revamp-its-definition-of- cyberspace

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 58 Panorama Cybercriminalité, année 2012 Sources 4/4

 http://www.thenewnewinternet.com/2012/10/04/researcher-finds-irans-invisible-internet- potentially-17m-ip-addresses/

 http://www.federalnewsradio.com/473/3066466/DHS-urged-to-hire-600-cyber-ninjas

 http://searchsecurity.techtarget.com/news/2240169976/Gary-McGraw-Proactive-defense-prudent- alternative-to-cyberwarfare

 http://krypt3ia.wordpress.com/

 http://www.defense.gouv.fr/actualites/articles/des-reservistes-specialises-en-cyberdefense

 http://www.nextgov.com/cybersecurity/2012/09/us-official-says-cyberattacks-can-trigger-right- self-defense/58238/

 http://www.zdnet.com/japan-to-set-up-cyberdefense-unit-by-2013-7000003941/

 http://koreajoongangdaily.joinsmsn.com/news/article/article.aspx?aid=2958649&cloc=joongangdai ly%7Chome%7Cnewslist1

 http://www.hurriyetdailynews.com/ministry-plans-to-form-cyber-team-to-fight- hackers.aspx?pageID=238&nID=28141&NewsCatID=338

 http://www.nytimes.com/2012/10/12/world/panetta-warns-of-dire-threat-of- cyberattack.html?pagewanted=2&hp&pagewanted=all&_r=0

 http://www.publications.parliament.uk/pa/cm201213/cmselect/cmdfence/106/106.pdf

 http://www.infosecisland.com/blogview/22763-New-weapons-for-cyber-warfare-The-CHAMP- project.html

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 59 Panorama Cybercriminalité, année 2012 Agenda du Panorama 2012

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 60 Panorama Cybercriminalité, année 2012

Attaques ciblées: autopsie pour l’année 2012

Pierre CARON Responsable de l’équipe Sécurité des Réseaux, Orange Labs

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 61 Panorama Cybercriminalité, année 2012 “Attaque ciblée” : de quoi parle-t-on ? Une arme utilisée dans des affrontements entre Etats

Source : ArsTechnica, 30/10/2012 Source : L’Express, 20/11/2012 CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 62 Panorama Cybercriminalité, année 2012 “Attaque ciblée” : de quoi parle-t-on ?

Une menace permanente affectant les entreprises : les “APT” ou “menace persistante avancée”

Source : InformationWeek.com, 27/08/2012 Source : LeMonde.fr, 09/08/2012

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 63 Panorama Cybercriminalité, année 2012 “Attaque ciblée” : de quoi parle-t-on ? La sphère sociétale est également prise pour cible

Source : Bloomberg.com, 25/07/2012 Source : PcWorld.com, 02/07/2012 Source : ThreatPost.com, 16/08/2012

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 64 Panorama Cybercriminalité, année 2012 “Attaque ciblée” : de quoi parle-t-on ?

On aurait pu traiter ce sujet sous la forme d’un inventaire “à la Prévert” : 13/01 : le malware Sykipot cible l’authentification par carte à puce 16/01 : piratage de l’agence spaciale japonaise 03/02 : Verisign avoue avoir été piraté en 2010 22/02 : des pirates tentent d’empêcher le rachat de Potash Corp 05/03 : la NASA avoue 13 intrusions majeures contre ses réseaux 04/05 : le MoD britannique reconnaît avoir été piraté 29/05 : possible porte dérobée dans un FPGA chinois de classe militaire 21/06 : un virus vole les fichiers AutoCAD au Pérou et les expédie en Chine 20/09 : le malware Mirage attaque Taiwan, les Philippines et 5 autres pays 27/09 : Adobe révoque un certificat compromis etc, etc.

…mais chacun de ces incidents est suffisamment riche pour une étude de cas détaillée

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 65 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

Une origine commune ? Une cible de même nature ? Un mode opératoire commun ? Des moyens techniques similaires ? Des objectifs proches ? Des contre-mesures convergentes ? Un traitement médiatique particulier ? Des conséquences communes ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 66 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 67 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

Illustration : auteur présumé d’une attaque contre Des attaques attribuées à : des systèmes gouvernementaux géorgiens -Une variété de zones géographiques : la plupart des continents sont concernés ; -Des démocraties (USA, Israël), des régimes moins démocratiques (Chine, Russie, Iran…) ; -Des services officiels (militaires, renseignement…), des sociétés / individus tiers ; -Des revendications plus ou moins crédibles (Pastebin, Twitter) ; Une attribution chancelante, un commanditaire jamais tout à fait certain

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 68 Panorama Cybercriminalité, année 2012 Attribuer une attaque : est-ce vraiment possible ?

Un cas d’école : le CERT géorgien remonte la filière de GeorBot

Etape 1 : piratage du C&C de GeorBot

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 69 Panorama Cybercriminalité, année 2012 Attribuer une attaque : est-ce vraiment possible ?

Un cas d’école : le CERT géorgien remonte la filière de GeorBot

Etape 2 : investigation en sources ouvertes

Adresse postale du FSB 

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 70 Panorama Cybercriminalité, année 2012 Attribuer une attaque : est-ce vraiment possible ?

Un cas d’école : le CERT géorgien remonte la filière de GeorBot

Etape 3 : piégeage du pirate par un document infecté contenant les mots-clefs qu’il recherche en priorité

Etape 4 : combinaison OSINT avec autres informations obtenues par l’intrusion

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 71 Panorama Cybercriminalité, année 2012 Attribuer une attaque : est-ce vraiment possible ?

Attention aux revendications : le cas “Lords of Dharmaraja”

“Anonymous”, la bannière universelle pour toutes les opérations d’intoxication

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 72 Panorama Cybercriminalité, année 2012 Attribuer une attaque : est-ce vraiment possible ?

La recherche en statistiques appliquées au secours de la technique Chaos Computer Club 2012 : “Stylometry and Online Underground Markets”

Une avancée dans le suivi des communautés en ligne

Un champ de recherche également applicable au code assembleur

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 73 Panorama Cybercriminalité, année 2012 Attribuer une attaque : est-ce vraiment possible ?

Autre piste intéressante : le clustering DNS / IP / AS Le concept : chaque attaque fait appel à des domaines et des IP spécifiques -pour la diffusion de codes malveillants, -pour leur pilotage (“command-and-control”), -pour l’exfiltration des données dérobées, etc.

Dans beaucoup de cas, les criminels réutilisent tout ou partie de l’infrastructure d’une attaque pour une autre attaque

Extrait des travaux de Joe Stewart (Dell SecureWorks) sur l’identification des pirates chinois impliqués dans des APT CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 74 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

Une origine commune Une cible de même nature ? Un mode opératoire commun ? Des moyens techniques similaires ? Des objectifs proches ? Des contre-mesures convergentes ? Un traitement médiatique particulier ? Des conséquences communes ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 75 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

Une cible de même nature ? Une origine commune Un mode opératoire commun ? Des moyens techniques similaires ? Des objectifs proches ? Des contre-mesures convergentes ? Un traitement médiatique particulier ? Des conséquences communes ?

Illustration : victimes de Gauss, Flame et Duqu au Moyen-Orient Les incidents rapportés ont affecté : -Des Etats, des entreprises, des particuliers ; -Des cibles aux quatre coins de la planète ; -Des systèmes d’information de nature très différente (SI classiques, SCADA, satellites…) ;

Seul point commun : une corrélation entre ces attaques et des tensions préexistantes (géopolitiques, économiques, militaires, sociétales…) Illustration : GeorBot s’active seulement sur des machines en UTC+3 et +4

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 76 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

Une origine commune Une cible de même nature Un mode opératoire commun ? Des moyens techniques similaires ? Des objectifs proches ? Des contre-mesures convergentes ? Un traitement médiatique particulier ? Des conséquences communes ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 77 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

Un mode opératoire commun ? Une origine commune Une cible de même nature Des moyens techniques similaires ? Des objectifs proches ? Des contre-mesures convergentes ? Un traitement médiatique particulier ? Des conséquences communes ? Le “watering hole” : technique d’intrusion basée sur l’ingénierie sociale

Tous les coups sont permis -Des attaques brutales mais efficaces : scan, brute-force de mots de passe, SQLi… ; -Une ingénierie sociale peu évoluée : “S’il vous plaît, ouvrez cette pièce jointe !” ; -Un code malveillant planté sur une clef USB, sur un partage réseau, … ; -Certificats contrefaits, attaques par rebond, ingénierie sociale plus évoluée ; Lister les modes opératoires observés reviendrait à écrire un livre sur la sécurité

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 78 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

Une origine commune Une cible de même nature Un mode opératoire commun Des moyens techniques similaires ? Des objectifs proches ? Des contre-mesures convergentes ? Un traitement médiatique particulier ? Des conséquences communes ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 79 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

Des moyens techniques similaires ? Une origine commune Une cible de même nature Un mode opératoire commun Des objectifs proches ? Des contre-mesures convergentes ? Un traitement médiatique particulier ? Des conséquences communes ?

Illustration : liens de parenté entre des virus ciblés Une maturité technique aléatoire : -Des malwares codés à la va-vite et bourrés de problèmes (ex : Shamoon, Mahdi) ; -Des malwares “grand public” diffusés ouvertement sur Internet ; -Des malwares utilisés par la cybercriminalité ordinaire (ex : Mirage / JKDDOS) ; -Des malwares “sur étagère” produits par une industrie de cyber-armement émergente ; -Des malwares totalement privés et développés par des professionnels ; -Des codes d’exploitation inédits (les “0-days”), et d’autres très courants ; -Des attaques inédites et de haut vol (ex : Flame et le certificat Microsoft contrefait)

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 80 Panorama Cybercriminalité, année 2012 L’analyse des moyens techniques est une mine d’or Les codes malfaisants regorgent d’informations sur leurs auteurs

-PlugX : des métadonnées de compilation…

Sources : Alienvault.com, 13/09/2012

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 81 Panorama Cybercriminalité, année 2012 L’analyse des moyens techniques est une mine d’or

…qui nous mènent droit à une société de sécurité chinoise

Sources : Alienvault.com, 13/09/2012

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 82 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

Une origine commune Une cible de même nature Un mode opératoire commun Des moyens techniques similaires Des objectifs comparables ? Des contre-mesures convergentes ? Un traitement médiatique particulier ? Des conséquences communes ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 83 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

Des objectifs comparables ? Une origine commune Une cible de même nature Un mode opératoire commun Des moyens techniques similaires Des contre-mesures convergentes ? Un traitement médiatique particulier ? Des conséquences communes ?

Source : France24.com, 13/07/2012 Pas de trait commun dans les objectifs apparemment poursuivis : -Sabotage industriel (Stuxnet) ; -Destruction de systèmes (Shamoon & Saudi Aramco) ; -Vol d’informations classifiées (Flame, Georbot) ; -Vol d’informations bancaires (Gauss) ou sectorielles (Duqu) ; -Surveillance personnelle (ex : contre des activistes) Des codes hautement polyvalents dont l’action réelle est difficile à cerner

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 84 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

Une origine commune Une cible de même nature Un mode opératoire commun Des moyens techniques similaires Des objectifs comparables Des contre-mesures convergentes ? Un traitement médiatique particulier ? Des conséquences communes ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 85 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

Des contre-mesures convergentes ? Une origine commune Une cible de même nature Un mode opératoire commun Des moyens techniques similaires Des objectifs comparables Un traitement médiatique particulier ? Des conséquences communes ? Chaque attaque laisse présager une contre-mesure différente : -Nouvelles contre-mesures pour le poste de travail et terminaux mobiles (virtualisation, sandboxing, renforcement des systèmes et applications…) -Tendance : la surveillance en profondeur des réseaux (DPI, forensics…) -Nouvelles générations de pare-feux, d’IDS, de SIEMs -Organisation de la sécurité : mieux savoir répondre aux incidents ; sensibilisation Retour aux fondamentaux, ou innovation ?  retarder l’intrusion, accélérer sa détection et la réaction

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 86 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

Une origine commune Une cible de même nature Un mode opératoire commun Des moyens techniques similaires Des objectifs comparables Des contre-mesures convergentes Un traitement médiatique particulier ? Des conséquences communes ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 87 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

Un traitement médiatique particulier ? Une origine commune Une cible de même nature Un mode opératoire commun Des moyens techniques similaires Des objectifs comparables Des contre-mesures convergentes Des conséquences communes ?

La tentation du sensationnalisme ? -Relais de rumeurs non argumentées / invérifiables ; -Des sources rarement mentionnées, peu / pas d’éléments techniques concrets ; -Attribution quasi systématique à un petit groupe de suspects habituels ; -Exemple : source anonyme, conditionnel, attaque “qui ressemble à”, paroles d’experts… Préjudiciable au secteur de la sécurité : le contraire de la sensibilisation

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 88 Panorama Cybercriminalité, année 2012 Les chercheurs en sécurité ne sont pas exempts de critiques

Dancho Danchev puis Facebook dévoilent l’identité du pirate derrière Koobface Sources : DDanchev.blogspot.fr, 09/01/2012

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 89 Panorama Cybercriminalité, année 2012 Les chercheurs en sécurité ne sont pas exempts de critiques

Pour quel résultat ?

Source : DDanchev.blogspot.fr, 26/11/2012

11 mois plus tard, les affaires se poursuivent… Devinette : l’effet dissuasif a-t-il fonctionné ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 90 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 91 Panorama Cybercriminalité, année 2012 Qu’ont toutes ces attaques en commun ?

Des conséquences communes ? Une origine commune Une cible de même nature Un mode opératoire commun Des moyens techniques similaires Des objectifs comparables Des contre-mesures convergentes Un traitement médiatique particulier

Un impact sur la capacité des organisations à se protéger -Focalise l’attention des RSSI sur des menaces externes -La magnification de la menace fournit une mauvaise excuse d’impuissance -Le déficit d’informations officielles nourrit les rumeurs les plus folles Recherche du bouc émissaire : le BYOD, l’Iran, Huawei, la NSA…

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 92 Panorama Cybercriminalité, année 2012 Bilan

Ce que l’année 2012 nous apprend : • l’attaque ciblée est une menace comme les autres ; • la nature du commanditaire n’est pas un discriminant suffisant ; • le meilleur (seul?) discriminant : la détermination de l’attaquant ; • ne pas compter sur les faiblesses de la menace

Leviers :  Retarder l’intrusion  Réduire la fenêtre d’opportunité  Se donner les moyens d’intervenir

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 93 Panorama Cybercriminalité, année 2012 Bibliographie

• Attaque contre l’agence spatiale japonaise : http://www.h-online.com/security/news/item/Data-stolen-from-Japanese- space-agency-1413520.html • Verisign admet avoir été piraté : http://www.theregister.co.uk/2012/02/02/verisign_hacking_attack/ • Attaques pour empêcher le rachat de Potash Corp : http://www.cyberwarzone.com/cyberwarfare/china-based- hackers-target-law-firms-get-secret-deal-data • La NASA avoue avoir été victime de 13 intrusions : http://www.zdnet.fr/actualites/la-nasa-admet-avoir-ete-victime-de- 13-intrusions-majeures-en-2011-39769256.htm • Nissan piratée : http://bits.blogs.nytimes.com/2012/04/24/nissan-is-latest-company-to-get-hacked/ • Le MoD britannique avoue des incidents de sécurité graves : http://www.lemonde.fr/technologies/article/2012/05/04/le-ministere-de-la-defense-britannique-reconnait-avoir-ete- pirate_1695702_651865.html • Virus ciblant les fichier AutoCAD au Pérou : http://www.theregister.co.uk/2012/06/21/autocad_worm/ • Le MI5 communique sur les attaques informatiques : http://www.net-security.org/secworld.php?id=13161 • L’Inde accuse la Chine de piratage : http://www.globaltimes.cn/content/718328.shtml • Nouvelles variantes de Sykipot : http://www.lemondeinformatique.fr/actualites/lire-nouvelles-attaques-de-sykipot-l- industrie-aerospatiale-visee-49606.html • L’Elysée victime de deux cyber-attaques : http://lexpansion.lexpress.fr/high-tech/l-elysee-victime-de-deux- cyberattaques-passees-sous-silence_313182.html • L’Elysée confirme une attaque : http://www.zdnet.fr/actualites/l-elysee-confirme-une-attaque-informatique-pas-les- deux-39774096.htm • Attaques ciblées via le virus Mirage : http://news.cnet.com/8301-1009_3-57517388-83/cyberspying-effort-drops- mirage-on-energy-firms/ • Adobe révoque un certificat utilisé dans des attaques ciblées : http://news.cnet.com/8301-1009_3-57521794- 83/adobe-to-revoke-code-signing-certificate/

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 94 Panorama Cybercriminalité, année 2012 Agenda du Panorama 2012

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 95 Panorama Cybercriminalité, année 2012

Hack As A Service Les offres pros enfin accessibles à tous…

Eric GROSPEILLER FSSI – Ministère du Travail, de l’Emploi et de la Santé

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 96 Panorama Cybercriminalité, année 2012 Rappel : 2010, l’année de l’essort…

Juillet 2010 : Des logiciels malfaisants se dotent d’un service d’assistance

Septembre 2010 : Un botnet à la demande

Octobre 2010 : Un moteur de recherche pour trouver des SCADA :

Novembre 2010 : Une université en ligne pour former des cybercriminels

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 97 Panorama Cybercriminalité, année 2012 2011

Une offre de service en voie de démocratisation sur l’informatique pure

2012: l’année de la maturité de l’offre ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 98 Panorama Cybercriminalité, année 2012 Les raisons : évolution de la surface d’attaque

Sur le plan technique : de l’ordinateur « lambda » au périphérique connecté…  Tous les systèmes sont concernés. Même les pompes à essence !  « Ainsi aux Etats-Unis a été reporté le cas d’une station essence qui s’est fait pirater, le hacker ayant fait passer le prix de l’essence à la pompe de 3.61 $ le gallon (un peu moins de 4 litres) à 2 centimes de $ »

Données ciblées : De la finance aux données personnelles…  Toute information susceptible d’avoir une valeur marchande est une cible potentielle…  “Only 31 percent say their management considers data security and privacy a top priority, and 29 percent say their breaches resulted in medical identity theft. "Cybercriminals are hunting for medical records," said Larry Ponemon, chairman and founder of Ponemon Institute.”

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 99 Panorama Cybercriminalité, année 2012 2012: une offre qui se structure… pour une demande qui se développe L’offre : louer un pirate, louer des ressources, louer des services… Un modèle commercial complet et opérationnel, du freelance au système mafieux.

La demande : multiplication des clients, systèmes mafieux, entreprises, particuliers

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 100 Panorama Cybercriminalité, année 2012 Le panel de l’offre

Des structures organisées permettent de développer une offre de service complète. Ces organisations sont souvent composées :  D’un système de management, pour superviser les opérations et définir la stratégie,  De ressources humaines, pour le recrutement,  D’opérateurs (internes, sous traitant ou affiliés), pour délivrer les services,  De services de R&D,  De moyens de communication,  …

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 101 Panorama Cybercriminalité, année 2012 Une communication ciblée

Les forums publics sont délaissés pour :  Favoriser la confidentialité,  Favoriser la fiabilité des offreurs et des demandeurs (trop de newbies ou d’arnaqueurs)  Eviter les négociations de tarif trop fréquentes

L’accès à l’offre évolue :  Espaces privés,  Forums privés payants,  Forums privés payants avec parrainage,  Boutiques en ligne, avec payement et livraison en ligne

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 102 Panorama Cybercriminalité, année 2012 Une offre qui sort de l’ombre…

Visibilité assurée par :  Le bouche à oreille,  Les campagnes de spam  Les moteurs de recherche

Bientôt des sociétés « légales » ?  Sous couvert d’offre de service légale à destination d’acteurs gouvernementaux ou « sensibles », ne doit-on pas s’interroger sur une possible utilisation moins « honnête » ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 103 Panorama Cybercriminalité, année 2012 Publicité et commande en ligne pour tous…

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 104 Panorama Cybercriminalité, année 2012 Kit de piratage et offre de service

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 105 Panorama Cybercriminalité, année 2012 Le best off : les 0-days

Multiplication des attaques 0-Days Attaques non détectées pendant une durée moyenne d’une année… Attaques discrètes pour ne pas être découvertes Dès la publication, les attaques se multiplient par un facteur 100. Au mieux... 100 000 au pire !

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 106 Panorama Cybercriminalité, année 2012 0-days: le navigateur en première ligne

Faille Google Chrome :  Ucha Gobejishvili, un pirate géorgien, indique avoir découvert une faille critique dans Chrome en juillet 2012. Google demande la preuve… Qui n’est pas fournie, malgré la prime de 60 000 $ Microsoft confirme une faille 0-Day sur Internet Explorer  Versions 6,7 et 8 concernées  Permet de prendre le contrôle de la mémoire

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 107 Panorama Cybercriminalité, année 2012 0-Days: des paquetages pour tous

1 heure :$5 (2011 : 5 à 10)

24 heures: $40 (2011 : 40 à 50)

1 semaine : $260 (2011 :350 à 400) 1 mois : $900 (2011 : 1200)

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 108 Panorama Cybercriminalité, année 2012 Tarifs de 0-day logiciels et systèmes

Des tarifs qui dépendent :

 De la complexité de la cible et de sa surface,  De l’acheteur…

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 109 Panorama Cybercriminalité, année 2012 Développement des offres à destination de la téléphonie

Hausse des offres de service visant la téléphonie des entreprises.

Des publicités proposent une offre de service à partir de 20$ par jour pour la téléphonie fixe ou mobile…

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 110 Panorama Cybercriminalité, année 2012 L’implication des mafias

Le numérique est une source importante de la diversification des revenus des mafias, qui possèdent des structures rodées

VorVzakone, déclare la guerre aux banques Américaines et prépare l’opération « Blitzkirek » Le FBI enquête sur 230 cas de fraude…

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 111 Panorama Cybercriminalité, année 2012 Blackmarket, la guerre fait rage…

Les sites de « blackmarket » de plus en plus sécurisés Car de plus en plus attaqués….

Développement d’une offre « légale » de sécurité

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 112 Panorama Cybercriminalité, année 2012 Des enquêtes complexes…

Disparité des législations

Multiplication des acteurs

Multiplications des cibles

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 113 Panorama Cybercriminalité, année 2012 Baisse des prix, l’offre s’étend

 Embaucher un pirate est à portée de tous :  Un milliardaire koweïtien, qui se dispute le partage de la fortune familiale avec son frère, a embauché des pirates chinois pour récupérer les données confidentielles de ce dernier. Le tout pour… 400 dollars  Les prix baissent  Déni de services :  Embaucher un pirate pour mettre en place une attaque sous forme de déni de service (DDoS). Coute de 5 dollars par heure , ou 900 dollars pour un mois  Plusieurs autres sites proposent leur service de piratage de données, à partir d'une centaine de dollars.  Les pirates appliquent une dégressivité au volume .  Pour 200 dollars, on vous livre un réseau de zombies de 2 000 ordinateurs.  Pour les bricoleurs chevaux de Troie sont à disposition… Pour tous les goûts : vol de mots de passe (8 dollars), porte dérobée (25 dollars), Keylogger (50 dollars)  Tous les systèmes sont ciblés :  Terminaux de paiement, téléphonie fixe ou mobile, pompes à essence, …

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 114 Panorama Cybercriminalité, année 2012 HAAS: Follow me…

Des vocations ? En 2010, une entreprise lance un tweet “How To Become A Hacker In 15 Minutes -- Or In 140 Characters Or Less”

En 2012,devenez un Ethical hacker certifié !

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 115 Panorama Cybercriminalité, année 2012 Liens utiles Page 98 : http://www.rsa.com/products/consumer/whitepapers/11634_CYBRC12_WP_0112.pdf

Page 99 : http://www.nikopik.com/2012/01/un-nouveau-type-de-hacking-la-modification-des-prix-du-carburant-a-la- pompe.html http://www.darkreading.com/database-security/167901020/security/news/232601045/most-small-healthcare- practices-hacked-in-the-past-12-months.html http://spectrum.ieee.org/riskfactor/computing/it/1800hack4me

Page 100 : http://www.hiretohack.net/ http://online.wsj.com/article/SB10001424052970203471004577145140543496380.html?google_editors_picks=tru e

Page 101 : http://www.fortinet.com/sites/default/files/whitepapers/Cybercrime_Report.pdf

Page 103 : http://owni.fr/2012/09/14/lespion-etait-dans-le-doc/

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 116 Panorama Cybercriminalité, année 2012 Liens utiles Page 104 : http://www.hiretohack.net/

Page 105 : http://www.undernews.fr/malwares-virus-antivirus/blackhole-exploit-kit-la-version-2-du-kit-de-piratage-arrive- encore-plus-dangereuse.html http://dvlabs.tippingpoint.com/blog/2011/04/26/blackhole-exploit-kit

Page 106 : http://www.undernews.fr/reseau-securite/des-attaques-0-day-plus-nombreuses-et-plus-durables-selon- symantec.html

Page 107 : http://www.generation-nt.com/google-chrome-telecharger-mise-jour-ucha-gobejishvili-actualite-1661482.html http://www.malcon.org/ucha-gobejishvili/ https://threatpost.com/en_us/blogs/chrome-zero-day-presentation-gives-way-mandatory-military-service-112612 http://www.gnet.tn/net-informatique/navigateurs-microsoft-confirme-une-faille-0-day-sur-internet-explorer/id- menu-473.html

Page 108 : http://blog.webroot.com/2012/06/06/ddos-for-hire-services-offering-to-take-down-your-competitors-web-sites- going-mainstream/ CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 117 Panorama Cybercriminalité, année 2012 Liens utiles Page 109 : http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-price-list-for-hackers- secret-software-exploits/

Page 110 : http://www.scmagazine.com/easily-available-tools-botnets-contribute-to-ddos-rise/article/253382/

Page 111 : http://krebsonsecurity.com/2011/08/digital-hit-men-for-hire/#more-9793

Page 112 : http://www.zataz.com/news/22581/vente--exploit.html

Page 113 : http://www.interpol.int/Crime-areas/Cybercrime/Cybercrime http://www.fbi.gov/wanted/cyber

Page 114 : http://bigbrowser.blog.lemonde.fr/2012/01/26/web-embaucher-un-hacker-a-la-portee-de-tous/ http://www.01net.com/editorial/579503/grande-promo-sur-les-outils-de-piratage-en-russie/

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 118 Panorama Cybercriminalité, année 2012 Liens utiles Page 115 : http://www.darkreading.com/security/news/224701521/how-to-become-a-hacker-in-15-minutes-or-in-140- characters-or- less.html?cid=SBX_dr_related_mostpopular_default_database_security&itc=SBX_dr_related_mostpopular_defaul t_database_security http://www.esecurityplanet.com/hackers/how-to-become-a-certified-ethical-hacker.html http://www.eccouncil.org/courses/certified_ethical_hacker.aspx

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 119 Panorama Cybercriminalité, année 2012 Agenda du Panorama 2012

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 120 Panorama Cybercriminalité, année 2012

Les Botnet à toutes les sauces

Eric FREYSSINET Chef de la division de lutte contre la cybercriminalité – Gendarmerie Nationale \ STRJD

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 121 Panorama Cybercriminalité, année 2012 Les botnets

• Introduction • Les rançongiciels • Autres cas concrets marquants • Opérations de lutte / Arrestations

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 122 Panorama Cybercriminalité, année 2012 Botnets – Principe général

Panneau de contrôle

Spam

Système de commande et de contrôle

Données DDoS confidentielles

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 123 Panorama Cybercriminalité, année 2012 Catégories de botnets Autres…

Spam Vol de données RAT DDoS Bancaires

Rançongiciels

Espionnage Rançongiciels policiers

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 124 Panorama Cybercriminalité, année 2012 Les rançongiciels policiers « Les rançongiciels sont une catégorie particulière de logiciels malveillants qui bloquent l’ordinateur des victimes et réclament le paiement d’une rançon. » … Vidéo d’une infection (01/2013)

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 125 Panorama Cybercriminalité, année 2012 Les rançongiciels policiers (par première apparition)

Certaines versions sont issues de kits Les visuels sont Nouvelles versions à configurer… souvent copiés de chaque famille d’une famille à l’autre parfois tous les 2 mois

Déc | Jan | Fév | Mar | Avr | Mai | Jui | Jul | Aoû | Sep | Oct | Nov | Déc | Jan

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 126 Panorama Cybercriminalité, année 2012 L’ère des plateformes d’exploit Web

Blackhole, Nuclear Pack, Sweet Orange, Phoenix, …

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 127 Panorama Cybercriminalité, année 2012 Acteurs potentiels Développeurs de logiciels malveillants Attaquants de sites Web Gestionnaires de plateformes d’exploits Traffers

Développeurs/vendeurs Spammers de plateformes d’exploits

Clients / Collecte des Autres tickets de paiement botnets utilisés comme mode de distribution

Blanchiment

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 128 Panorama Cybercriminalité, année 2012 Prévention – http://stopransomware.fr/

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 129 Panorama Cybercriminalité, année 2012 Autres cas concrets marquants

• Sality scannant tout l’IPv4 pour cartographier les serveurs VoIP (02/2011, publié en 12/2012)

• XDocCrypt/Dorifel cible les Pays-Bas, diffusé via un autre botnet: Citadel Image: Kaspersky (08/2012)

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 130 Panorama Cybercriminalité, année 2012 Autres cas concrets marquants (suite)

• Sykipot cible les certificats d’identification stockés sur carte à puce

Image: Alienvault

• L’impact de ZeroAccess cartographié par Sophos (09/2012) • Gozi Prinimalka: une campagne massive contre les banques US (10/2012)

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 131 Panorama Cybercriminalité, année 2012 Arrestations / Opérations de lutte

• Carberp, Russie (arrestations en mars et juin 2012, mais ça continue)

• Nitol, Opération b70, Microsoft (09/2012)

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 132 Panorama Cybercriminalité, année 2012 Arrestations, opérations de lutte

• DNS Changer (9 juillet 2012)

• AC DC, Advanced Cyber Defence Centre (début: 01/2013)

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 133 Panorama Cybercriminalité, année 2012 Bibliographie

• « L'écosystème des botnets : une nouvelle forme de criminalité organisée », Éric Freyssinet, MISC n°65, Janvier 2013 • Rançongiciels: http://stopransomware.fr/, https://www.botnets.fr/index.php/Police_lock • Sality scannant l’adressage IPv4: http://www.caida.org/publications/papers/2012/analysis_slash_zero/analysis_slash_zero. pdf • XDocCrypt/Dorifel: http://www.securelist.com/en/blog/208193776/Dorifel_is_much_bigger_than_expected_ and_its_still_active_and_growing, http://hitmanpro.wordpress.com/2012/08/11/joint- strike-force-against-dorifel/ • Sykipot: http://labs.alienvault.com/labs/index.php/2012/when-the-apt-owns-your-smart- cards-and-certs/ • ZeroAccess: http://nakedsecurity.sophos.com/2012/09/19/zeroaccess-botnet-uncovered/ • Gozi Prinimalka: http://blogs.rsa.com/cyber-gang-seeks-botmasters-to-wage-massive- wave-of-trojan-attacks-against-u-s-banks/, http://blog.trendmicro.com/trendlabs-security- intelligence/us-banks-targeted-by-fraud-campaign/ , http://blog.trendmicro.com/trendlabs-security-intelligence/probing-the-gozi-prinimalka- malware/

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 134 Panorama Cybercriminalité, année 2012 Bibliographie (suite)

• Carberp: http://threatpost.com/en_us/blogs/carberp-it-s-not-over-yet-032712 • Nitol: http://blogs.technet.com/b/microsoft_blog/archive/2012/09/13/microsoft- disrupts-the-emerging-nitol-botnet-being-spread-through-an-unsecure-supply- chain.aspx, http://news.cnet.com/8301-1009_3-57512703-83/microsoft-finds- malware-hidden-in-new-computers-in-china/ • DNS Changer: http://www.dcwg.org/, http://dns-ok.fr/ • ACDC: http://ec.europa.eu/information_society/apps/projects/factsheet/index.cfm?project _ref=325188

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 135 Panorama Cybercriminalité, année 2012 Agenda du Panorama 2012

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 136 Panorama Cybercriminalité, année 2012

Mobilité: la ruée vers l'or version 3G

Fabien COZIC Consultant en cybercriminalité - CERT-LEXSI

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 137 Panorama Cybercriminalité, année 2012 Agenda 1. Explosion du nombre de malware sur Smartphone 1. Croissance inédite des logiciels malveillants sur mobile 2. L’iOS n’est plus épargné 3. Android reste la plateforme de prédilection des cybercriminels 4. La R&D de Cybercrime Co. fonctionne à plein 2. A la frontière de la légalité et de la criminalité 1. La ruée vers les informations personnelles est en cours 2. Affaire des applications électorales très indiscrètes 3. Projet « Contextual Awareness » d’Intel 3. Les problématiques de la technologie NFC se font plus pressantes 1. Vulnérabilité des puces MiFare 2. Les transactions bancaires par NFC sont insuffisamment sécurisées Conclusion

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 138

Panorama Cybercriminalité, année 2012 1. Explosion du nombre de malware sur Smartphone

1.1 Croissance inédite des logiciels malveillants sur mobile

Source FPaget/McAfee Labs

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 139 Panorama Cybercriminalité, année 2012 1.2 L’iOS n’est plus épargné

Finfisher peut prendre le contrôle d’un Windows Phone, d’un Android, d’un Symbian et d’un iOS - Possibilité à l’attaquant d’écouter les conversations et de localiser l’appareil - Installation de l’application via un lien compromis - La société de sécurité à l’origine du programme dénonce le vol d’une de ses copies de démonstration

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 140 Panorama Cybercriminalité, année 2012 1.3 Android reste la plateforme de prédilection des cybercriminels FakeInst SMSZombie NotCompatible Découverte de SpamSoldier sur Android - Le botnet de spam se sert des appareils infectés pour envoyer des sms surtaxés par vagues de 100 toutes les minutes - Il dissimule son activité en masquant l’envoi des messages - Il bloque tous les messages entrants pendant la campagne pour empêcher les opérateurs de prévenir la victime Et ce n’en est qu’un parmi d’autres ! LuckyCat Marketpay Android.Bmaster Message incitant à l’installation de SpamSoldier

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 141 Panorama Cybercriminalité, année 2012 Infiltration courante des plateformes officielles

Infection via applications pour l’installation de jeux populaires (une version gratuite du jeu est installée pour tromper l’utilisateur)

- « Repack » d’applications légitimes sur les marchés officiels, spécialement Android.

- 23 applications du top 500 de Google Play classées comme dangereuses

-Le marché d’applications Android ne dispose pas encore d’un système efficace de vérification -> Google Bouncer est vulnérable (Jon Oberheide & Charlie Miller, Juin 2012)

- La politique de vérification systématique sur l’Apple Store semble porter ses fruits jusqu’à aujourd’hui

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 142 Panorama Cybercriminalité, année 2012 1.4 La R&D de Cybercrime Co. fonctionne à plein

Infection via QR Code

Infection via drive-by Développement download des ransomware sur Smartphone

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 143 Panorama Cybercriminalité, année 2012 2. A la frontière de la légalité et de la criminalité 2.1 La ruée vers les informations personnelles est en cours Le nombre d’Adware visant à recueillir les informations personnelles des utilisateurs d'Android a progressé de 583 % sur trois mois.

30 000 175 000 Juin 2012 septembre 2012

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 144 Panorama Cybercriminalité, année 2012 2.2 Affaire des applications électorales très indiscrètes Obama / Romney

Application pour fédérer autour du candidat - Mais aussi récupérer la localisation GPS, information sur l’identification de l’appareil, contenus des cartes SD, accès au carnet d’adresse et même accès aux matériels audios et vidéos

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 145 Panorama Cybercriminalité, année 2012 2.3 Projet « Contextual Awareness » d’Intel

• Application installée « volontairement » avec un accès total au mobile et à son contenu • Détection des activités de l’utilisateur du Smartphone • Recoupement des données environnementales et des données d’utilisation

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 146 Panorama Cybercriminalité, année 2012 3. Les problématiques de la technologie NFC se font plus pressantes 3.1 Vulnérabilité des puces MiFare (Septembre 2012) • Exploitation via une application Android • Réécriture des blocs de données (rewrite) • Voyages gratuits et illimités !

3.2 Les transactions bancaires par NFC sont insuffisamment sécurisées • Les standards bancaires ne sont pas prévus pour une utilisation sans fil •Probable incompatibilité avec le standard PCI-DSS • Possibilité de concevoir un appareil pour lire les flux de données lors des phases actives de la puce •Pas de chiffrement du container NFC •Pas de chiffrement des communications • Possibilité de pousser un malware sur Android par tag NFC

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 147

Panorama Cybercriminalité, année 2012 Conclusion

• Un cap décisif a été franchi par les cybercriminels: un filon a été découvert et c’est une véritable ruée sur le mobile qui est en cours

• L’absence de définition de règles claires dans la collecte d’informations personnelles même acceptées permet la dérive des pratiques commerciales

• On assiste à l’application stricte des modes opératoires connus sur Internet et employés pour la fraude sur un nouveau terrain de chasse

• L’année 2013 devrait confirmer cette tendance avec une accélération des infections grâce entre autre à l’amélioration des procédés d’ingénierie sociale

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 148 Panorama Cybercriminalité, année 2012 Ressources 1/3 Analyses et statistiques des évolutions du malware sur mobile : http://www.bullguard.com/bullguard-security-center/mobile-security/mobile-threats/mobile-security-what-you- need-to-know.aspx http://www.securelist.com/en/analysis/204792239/IT_Threat_Evolution_Q2_2012 http://www.zdnet.com/trend-micros-q3-threat-report-mobile-malware-surged-from-30k-to-175k-7000006074/ http://news.cnet.com/8301-1009_3-57506159-83/apples-ios-and-android-are-new-favorite-malware-victims/ http://www.darkreading.com/mobile-security/167901113/security/news/240006056/top-5-deadliest-mobile- malware-threats-of-2012.html http://readwrite.com/2011/12/13/6_mobile_malware_predictions_for_2012 http://techcrunch.com/2012/05/23/mcafee-mobile-malware-explodes-increases-1200-in-q1-2012/ http://thenextweb.com/google/2012/10/15/fbi-issues-mobile-malware-warning-specifically-discusses-android- and-offers-safety-tips/ http://www.wired.com/opinion/2012/10/from-spyware-to-mobile-malware/ http://www.securelist.com/ru/analysis/208050747/Mobilnaya_virusologiya_chast_5 : excellent rapport de Labo Kaspersky du mars 2012 avec des statistiques et graphiques (en russe); http://www.anti-malware.ru/news/2012-12-19/10825 virus dans les jeux gratuits pour Android ; http://www.pcadvisor.co.uk/news/security/3416944/android-botnet-abuses-peoples-phones-for-sms- spam/?olo=rss http://www.pcadvisor.co.uk/news/mobile-phone/3416917/trade-group-objects-proposed-nist-mobile-security- guidelines/?olo=rss http://www.checkpoint.com/press/2012/120512-media-alert-cp-versafe-eurograbber-attack.html http://www.francaisenouvelles.com/outil-google-bouncer-malware-hacked/

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 149 Panorama Cybercriminalité, année 2012 Ressources 2/3 Les Applications intrusives http://www.theledger.com/article/20121216/news/121219464 ; intéressant http://belgium-iphone.lesoir.be/2012/12/17/lapplication-google-maps-est-trop-intrusive/ intéressant http://www.proximamobile.fr/article/des-sanctions-pour-les-applications-mobiles-intrusives-en-californie très intéressant http://news.techworld.com/security/3417014/android-botnet-abuses-peoples-phones-for-sms- spam/?olo=rss http://www.networkworld.com/news/2012/080112-google-play-apps-261324.html http://www.infos-du-net.com/actualite/18645-branchout-facebook.html http://www.fiercemobilecontent.com/story/google-tightens-android-app-policies-bans-intrusive-ads/2012- 08-01 http://www.androidpolice.com/2012/07/31/google-updates-play-store-developer-policy-puts-the-smack- down-on-intrusive-advertising-say-goodbye-to-airpush-and-its-cohorts/ https://hackmoney.wordpress.com/2012/09/06/trop-intrusive-lappli-est-desinstallee/

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 150 Panorama Cybercriminalité, année 2012 Ressources 3/3 NFC http://www.globalsecuritymag.fr/Les-nouvelles-cartes-de-paiement,20121011,32948.html http://www.linformaticien.com/actualites/id/24630/les-cartes-bancaires-nfc-bonnes-pour-la-poubelle.aspx http://www.generation-nt.com/faille-securite-carte-bancaires-sans-contact-nfc-actualite-1571041.html http://www.lemondeinformatique.fr/actualites/lire-nfc-une-app-android-utilise-une-faille-pour-utiliser- gratuitement-les-transports-urbains-americains-50541.html http://www.secuobs.com/news/18042012-hackito-cartes-nfc.shtml http://www.zdnet.fr/actualites/nfc-une-faille-dans-google-wallet-39768497.htm http://www.zdnet.fr/actualites/le-nfc-fragilise-par-une-faille-critique-de-securite-39771086.htm http://www.mag-securs.com/News/tabid/62/id/29545/Un-malware-partage-les-cartes-a-puces-par- Internet.aspx http://www.tomsguide.fr/actualite/Samsung-GalaxyS3-NFC,18413.html http://korben.info/les-cartes-bancaires-sans-contact-nfc-ne-sont-pas-securisees.html http://money.cnn.com/2012/07/26/technology/nfc-hack/index.htm http://www.androidauthority.com/hackers-can-exploit-nfc-chrome-browser-to-take-over-your-android-phone- 104130/ http://vimeo.com/49664045 UltraReset - Using a smartphone for free subway rides http://www.bloomberg.com/news/2011-03-31/amazon-com-said-to-be-considering-mobile-payment-service- for-smartphones.html

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 151 Panorama Cybercriminalité, année 2012 Agenda du Panorama 2012

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 152 Panorama Cybercriminalité, année 2012

Polémiques et tendances émergentes: la sécurité fait parler d'elle

Nicolas CAPRONI Consultant en Sécurité des Systèmes d'Information chez BSSI Conseil & Audit

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 153 Panorama Cybercriminalité, année 2012 Intox, polémiques et nouvelles tendances

Une intervention en deux temps

 Intox et polémiques en 2012

 Les nouvelles tendances

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 154 Panorama Cybercriminalité, année 2012 Intox, polémiques et nouvelles tendances

Infos, intox et polémiques

 La sécurité fait toujours autant parler

 Les médias s’emparent du sujet

 (Mauvais) exemple emblématique de la « cyberguerre »

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 155 Panorama Cybercriminalité, année 2012 Intox, polémiques

Mais le FUD (Fear Uncertainty and Doubt) est toujours là

 La sécurité alimente toujours les fantasmes

 Exagération et manipulation (plus que de la désinformation)

 Parasite et décrédibilise la réalité des cyber menaces

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 156 Panorama Cybercriminalité, année 2012 Désinformation et Anonymous / Antisec

3 « fausses » revendications

 Exemple de Facebook

 Exemple de GoDaddy

 Exemple des UDID Apple

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 157 Panorama Cybercriminalité, année 2012 Les Anonymous menacent Facebook ?

Plusieurs rumeurs de cyber attaques contre

 En janvier 2012, une vidéo mise en ligne par un « Anonymous » annonçait une future attaque.

 Anonymous menace d’attaquer Facebook et Zynga pour le 5 novembre 2012

 Toujours en novembre 2012, Facebook.com est indisponible pendant quelques minutes.

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 158 Panorama Cybercriminalité, année 2012 Les Anonymous menacent Facebook ?

Mais tout s’est révélé faux

 Les menaces font pschitt…

 Anonymous dément sur Twitter

 Des membres « isolés » seraient à l’origine de ces rumeurs dont un certain « AnonymousOwn3r »

 Un test sur ses DNS a rendu Facebook.com indisponible en novembre 2012.

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 159 Panorama Cybercriminalité, année 2012 GoDaddy piraté par un Anonymous ?

Il était une fois sur Twitter…

 Le même AnonymousOwn3r affirme qu’une attaque par DDoS a été lancé sur le site GoDaddy (qui est indisponible pendant quelques heures)

 Certains sites hébergés par GoDaddy connaissent également des problèmes d’accès

 L’information est reprise rapidement sur Internet

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 160 Panorama Cybercriminalité, année 2012 GoDaddy piraté par un Anonymous ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 161 Panorama Cybercriminalité, année 2012 GoDaddy piraté par un Anonymous ?

Attaque ou simple incident technique ?

 GoDaddy explique sur Twitter que le problème est en train d’être résolu.

 GoDaddy dément l’attaque. Selon la société, la panne serait due à des problèmes techniques

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 162 Panorama Cybercriminalité, année 2012 Imbroglio et mensonges entre Antisec / Apple / FBI

Des millions d’identifiants iOS volés sur un portable du FBI ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 163 Panorama Cybercriminalité, année 2012 Imbroglio et mensonges entre Antisec / Apple / FBI

Polémique : que faisait le FBI avec ces données personnelles ? Apple a-t-il fourni ces données au FBI ?

 Le FBI dément catégoriquement

 Apple aussi…

 Et Blue Toad, un éditeur de publications, déclare à la presse que les données volées lui appartiennent…  Mais finalement peut on croire cet obscur éditeur ? Quelle crédibilité donner à son annonce brute avant une réelle analyse ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 164 Panorama Cybercriminalité, année 2012 Polémiques

« Doxage »

 Les Anonymous traquent des pédophiles et font fuiter leurs données personnelles.  Positif ou négatif ?  Perturbe le travail des forces de police ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 165 Panorama Cybercriminalité, année 2012 Polémiques « Doxage »

 Des cybercriminels (Koobface) démasqués par Facebook

 Les auteurs n’ont pas été arrêtés et ils ont supprimé tous leurs profils

 Mais leurs activités sur Facebook se sont arrêtés

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 166 Panorama Cybercriminalité, année 2012 Polémiques

Quelle légitime défense numérique pour les entreprises ?

Vers une sécurité offensive ?

Une défense active ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 167 Panorama Cybercriminalité, année 2012 Polémiques

Un nouveau créneau pour les sociétés de cybersécurité ?

 L’exemple emblématique de Crowdstrike "You don't have a malware problem. You have an adversary problem“

 Fondée par des anciens de McAfee et qui compte dans ses rangs l’ancien directeur de la division cyber du FBI (et un juriste du FBI)

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 168

Panorama Cybercriminalité, année 2012 Polémiques

Des méthodes offensives

 Ils promettent une nouvelle approche offensive

 « Doxage », Honeypot, attribution, « contre espionnage », perturbation des infrastructures des attaquants…

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 169

Panorama Cybercriminalité, année 2012 Polémiques

Est-ce qu’on a le droit de pirater un hacker ?

 Une question juridique… et éthique.

 La légitime défense se prête mal au contexte cyber

 Une nouvelle fois se pose le problème de l’attribution

 Pas vu, pas pris ? Mais pour quel résultat ?

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 170

Panorama Cybercriminalité, année 2012 Tendances

Les tendances à suivre en 2013

 Retour en force des ransomwares o 5 millions de $ par an (Symantec) o Sur les smarphones et tablettes en 2013 ?

 De nouvelles vagues de chantage / extorsion o Piratage de base de données o Menaces de publier les données et demandes de rançon o Plusieurs cas en Europe et en France : le groupe de hackers « Rex Mundi » s’en est pris notamment à Dexia et CrediPret.

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 171

Panorama Cybercriminalité, année 2012 Tendances QR Code et malwares Android

 Les QR Codes s’imposent enfin en France ? o Plus de 2,8 millions d’individus ont flashé des QR codes au mois de juillet 2012 soit 71% de plus qu’en juillet 2011 (12,5% des mobinautes français selon ComScore) o Mais attention aux liens malveillants

 Les malwares sur Android arrivent également en France ? o Un malware Android développé par un jeune français qui a été arrêté et jugé à Amiens => 1 an d’emprisonnement o 17 000 smartphones infectés et préjudice estimé à 500 000 euros

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 172

Panorama Cybercriminalité, année 2012 Sources 1/2

GoDaddy http://www.bbc.co.uk/news/business-19549367 http://pro.clubic.com/it-business/hebergement-site-web/hebergement-dedie-internet/actualite-510229-godaddy-attaque.html http://www.ubergizmo.com/2012/09/godaddy-attacked-millions-of-sites-down/

UDID Apple http://blog.eset.com/2012/09/05/confusion-abounds-in-apple-fbi-antisec-ios-udid-pii-breach http://www.lemondeinformatique.fr/actualites/lire-12-millions-d-identifiants-ios-subtilises-au-fbi-par-antisec- 50274.html

Doxage http://www.franceinfo.fr/societe/anonymous-traque-les-pedophiles-sur-internet-674307-2012-07-12 http://www.francetvinfo.fr/laction-danonymous-contre-des-sites-pedophiles-va-t-elle-trop-loin_117801.html

Exploit kits http://nakedsecurity.sophos.com/2012/12/05/web-exploit-kits-whitehat/

Koobface http://www.actualitte.com/acteurs-numeriques/facebook-affirme-avoir-demasque-les-hackers-du-gang- koobface-31326.htm

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 173 Panorama Cybercriminalité, année 2012 Sources 2/2 Légitime défense numérique http://www.zdnet.fr/actualites/des-entreprises-piratees-ripostent-si-tu-me-pirates-je-te-hacke-39773078.htm http://www.paperblog.fr/5955805/sur-quels-principes-baser-un-droit-de-legitime-defense-numerique/ http://www.cso.com.au/article/433128/crowdstrike_boss_explains_offensive_security_targeted_attacks/ http://www.reuters.com/article/2012/06/17/us-media-tech-summit-cyber-strikeback-idUSBRE85G07S20120617 http://www.darkreading.com/threat-intelligence/167901121/security/security- management/240001335/companies-see-business-in-doxing-the-adversary.html http://www.crowdstrike.com/ http://www.pcworld.com/article/2013289/georgia-outs-russia-based-hacker-with-photos.html Tendances http://www.01net.com/editorial/571501/hacking-la-societe-creditpret-victime-de-maitres-chanteurs/ http://blogs.lecho.be/buzness/2012/09/rex-mundi-fait-chanter-300-assureurs- belges.html?itm_campaign=floorteaser http://www.zdnet.fr/actualites/qr-code-flashcode-la-sauce-commence-a-prendre-en-europe-39782682.htm http://www.itespresso.fr/malware-android-jeune-pirate-fute-damiens-condamne-an-prison-58597.html http://www.silicon.fr/sogeti-marsh-securite-yves-le-floch-79225.html http://fr.finance.yahoo.com/actualites/eads-cassidian-cybersecurity-sassocie-%C3%A0-151300993.html http://www.latribune.fr/entreprises-finance/banques-finance/industrie- financiere/20120920trib000720469/cyber-attaques-faut-il-s-assurer-.html http://leplus.nouvelobs.com/contribution/514280-axa-assure-votre-e-reputation-ou-comment-faire-commerce- sur-la-peur.html http://owni.fr/2012/03/27/axa-le-reputation-assure-son-industrialisation/

CLUSIF > Conférence > Panorama de la Cybercriminalité > Paris 17 janvier 2013 174