La menace de la cybercriminalité Ali EL AZZOUZI, PCI QSA, Lead Auditor ISO 27001, CISA ITIL Président du chapitre marocain de l’AlLCC 27 Juillet 2010 Démystification de la cybercriminalité Les multiples visages de la cybercriminalité L’écosystème de la cybercriminalité Agenda Les ripostes juridiqu Vers la confiance nu Conclusion Questions 2 or 17 Snipxto DÉMYSTIFICATION DE LA CYBERCRIMINALITÉ La cybercriminalité est une activité en pleine croissance Quelques caractéristiques L’arrivé du Web 2. (réseaux sociaux sont devenus les vecteurs d’espionnage par des employés, comme es vols de secrets de fabrique chez DuPont (condamnation à 18 mois de prison et une amende contre l’ancien chercheur reconnu coupable) ou chez Duracell (copie et téléchargement de documents sur les piles AA) La cybercrimnalité est une activité facile Activité facile La compétence n’est pas un pré-requis pour lancer les opérations cybercriminelles (vulgarisation des modes opératoires sur Internet) Location des réseaux Botnets Blanchiment d’argent via les canaux de jeux de paris en ligne et sites de l’enchère en ligne Recours aux « mules » 6 La cybercriminalité est une activité à faible risque Activité à faible risque L’internet est parfaitemen tivité frauduleuse Certains groupes proposent même un support client 24/24 et offrent même une garantie de non
Selon Symantec, 24% des demandes des « clients » des pirates orteraient en effet sur des informations détaillées relatives à des cartes de crédit, et 1 sur des informations relatives à des comptes bancaires. Le nombre de virus a progressé de 165% entre 2007 et 2008. Plus de 1 million de nouveaux programmes malveillants ont été détectés au cours de la seule année 2008. Depuis sa création, Symantec a recensé 2,6 millions de virus. Ceux apparus en 2008 représentent donc 60% de Pensemble de ces codes malveillants 10 cybercriminelles L’atteinte à la confidentialité / l’attaque virale / Maroc Une société d’assurance a vu son SI paralysé pendant plus de 2 emaines.
Elle était obligée de fonctionner en mode dégradé l_Jne banque a vu son activité interrompu pendant une journée entière, et ce sur l’ensemble du territoire suite à une attaque virale Début du mois de mai 2009 et après avoir changé son mode opératoire, Conficker a infecté plusieurs entreprises privées et organismes publiques au Maroc. Ainsi, plusieurs grandes structures ont vu leurs systèmes d’informations indisponibles pendant plusieurs heures. 14 L’atteinte à la confidentialité / le phishing Selon Symantec, l’activité de phishing est en hausse de 66% par rapport à 2008. Ces attaques visaient essentiellement les acteurs du secteur des services financiers. 2 % de tous les vols de données constatés en 2008 concernaient numéros de carte de crédit. Au Maroc, de nombreux cas ont été apportés: – www. atijariwafabank. com au lieu de www. attijariwafabank. com Meditel a découvert en 2007 qu’une tentative de piratage visait ses clients utilisant les cartes téléphoniques pré payées. La technique consistait à envoyer un courriel ui ropose d’acheter par cartes bancaires des recharges rs le faux site web 4 3 attaques DDOS croissent plus rapidement que la bande passante allouée à l’internet. Ainsi plus de 190 000 attaques par déni de service distribué ont été organisées en 2008, ce qui aurait rapporté aux cybercriminels plus de 20 millions de dollars.
De nos jours, le moyen le plus couramment utilisé pour lancer des attaques par dénis de services est l’utilisation des réseaux de zombies Selon un rapport publié en Novembre 2008 par Arbor Networks, attaques DDoS ont franchi durant l’année 2008 la barrière des 40 gigabits par seconde soit 64% de l’échelle des attaques par rapport à l’année 2007. Peu d’organisations peuvent y faire face. Avec la forte augmentation du nombre d’échanges commerciaux ‘internet, le nombre de chantages au déni de service est lui aussi très farte progression. Toute entreprlse réallsant un chiffre d’affaire important dans une activité en ligne à fort effet de levier, est potentiellement vulnérable aux attaques par dénis de service. 6 L’atteinte à la disponibilité/ DOS et DDOS 17 disponibilité/ DOS et DDOS/ Les botnets Les botnets sont considérés même par certains analystes comme phénomène géopolitique. Il est important donc, d’examiner la production des ordinateurs zombies par pays. 19 L’atteinte à la disponibilité/ DOS et DDaS/ Les botnets Le nombre de pourriels en provenance d’un pays par rapport à la quantité globale de pourriels détectés donne une indication du nombre de machines zombies d’un pays par rapport à l’ensemble des machines connectées sur le réseau. 20 L’atteinte à l’intégrité / Défacement des sites Web Le phénomène de défacement des sites web gouvernementaux a atteint un niveau insupportable en 2010.
En effet, après plusieurs attaques contre les sites de la primature, du ministère de l’énergie et de la justice, la cellule de la lutte contre la cybercriminalité de la Sûreté Natlonale a multiplié les cou s de filet. lusieurs groupes ont Défacement des sites Web Date Attaquant Domaine Système 2009/05/28 Dr. Anach www. marocainsdumonde. gov. ma/i Linux 2009/04/27 Hmei7 wv ». habous. gov. ma/sidishiker/i… Win 2003 2009/01108 GANG hackers ARABS Docs. justice. gov. ma/ang. txt 2008/1 1/21 diffusion des dites photos sur l’internet 23 L’ordinateur comme facilitateur d’attaques cybercriminelles La fraude à la carte bancaire Selon le CMI, le nombre de cartes bancaires contrefaites au Maroc passé de 1. 694 cartes en 2. 000 à plus de 6. 000 en 2008. Soit le triple. En parallèle, le montant des sommes détournées connaît lui aussi ne hausse vertigineuse.
De 4,4 millions de dirhams en 2000, ce montant est passé à 20 millions en 2008 2005 : La gendarmerie royale a arrêté 7 personnes soupçonnées d’avoir détourné 4,6 millions de DH en copiant des cartes bancaires ? l’aide de matériel informatique. 2008 : Deux employés d’un centre d’appel basé à Casablanca, ont interpellés par les agents de la brigade centrale de police. Ils ont détourné d’importantes sommes d’argent en utilisant les données porteur de cartes (nom de titulaire de carte, PAN, date d’expiration, etc… ) qu’ils enregistraient lors des conversations téléphoniques vec les clients français et transmettaient par la suite à une complice basée en France qui se chargeait d’acheter des biens sur l’internet et de composé notamment d’un encodeur qui sert à falsifier les cartes bancaires et de plusieurs caméras. Ainsi, 1. 00 cartes falsifiées ont été saisies. Le procédé est le même. Insérer une minuscule camera et un appareil type skimmer dans des guichets automatiques des quartiers aisés de la métropole économique 25 Les marques restent très discrètes sur les montants globaux. On parle plutôt de « coût par no de CC volé » ou « par incident » Coût de la fraude Coût de re-émission des cartes (—20-30 $ par carte) $197 36,3 MS 3182 34,8 MS 2006 2007 coût total moyen par incident* *Ponemon Institute, 3138 2005 paradis fiscaux. Par conséquent, les diverses mafias se sont logiquement tournées vers la Toile pour l’activité de blanchiment de l’argent.
Le recours aux caslnos en ligne Le recrutement des mules 28 La pédopornographie en ligne Grâce à la diffusion des technologies assurant l’anonymat, notamment le chiffrement des courriels et rutilisation du proxy, il est devenu extrêmement difficiles de surveiller les activités des réseaux pédophiles. La prolifération des contenus pédophiles sur l’internet est telle qu’en 2006, le nombre de sites contenant des images ou des vidéos de pornographie juvénile a dépassé 3000 sites web selon Internet Watch Fondation, Selon un chiffre désormais largement diffusé, un mineur sur cinq a été confronté à des avances sexuelles sur l’Internet Selon les résultats d’une enquête réalisée par Center for Media Freedom in the Middle East and North Africa (CMF-MENA) auprès 106 enfants de la ville de Casablanca, plus des deux tiers des enfants interviewés auraient reçu des offres de voyages, des cadeaux ou
