Le 2008 Data Breach Investigations Supplemental Report de Verizon s’est focalisé sur quatre secteurs d’activité très précis : industries et entreprises du secteur alimentaire, technique/technologique, financier et distribution. Domaines tertiaires par excellence, fortement utilisateurs d’ordinateurs et convoités par les pirates du monde entier. La densité du rapport est telle qu’il serait vain de tenter d’en faire un résumé fiable. Mais l’on peut extraire quelques chiffres « hors normes ». A commencer par l’impunité probable des auteurs des compromissions constatées, puisqu’en grande majorité, la nature des données échangées, des connexions effectuées, des niveaux de privilèges exigés sont totalement inconnus des utilisateurs dans les secteurs alimentaire, de la distribution et même technique. Le « comment fonctionne mon système informatique » ne semble réellement concerner que les professionnels de la finance, qui maîtrisent en général leurs flux d’information et les droits nécessaires à leur accès. Même constatation pour ce qui concerne l’alerte lancée en cas de compromission. Dans le secteur agroalimentaire, c’est une tierce partie étrangère à l’entreprise qui prévient dans 88% des cas la victime. 79% des alertes proviennent également de l’extérieur dans le domaine de la distribution. A comparer aux 53 et 50% des industries techniques et de la finance.
L’origine des compromissions (fuites de données, vol d’information, intrusions etc) est une fois de plus clairement identifiée : de l’extérieur dans 70 % des cas en moyenne (80 et 84% dans l’alimentaire et la distribution). Le mythe de l’employé indélicat, « principal vecteur de criminalité » peut aller se rhabiller. Le taux d’attaques provenant de collaborateurs « ripoux » ne dépasse pas 4% dans l’agroalimentaire. Les « cols blancs », plus sujets à la tentation, ne constituent que 38 à 39% des fraudes (finance et technique). Un taux qui lorsque ramené en probabilité de risques fait que le « traître interne » est surtout à craindre dans les banques et assurances. Dans les autres milieux, ce sont les partenaires qui présentent le taux de risques le plus élevé. De tous les métiers examinés, l’impact du risque, en terme de « volume d’enregistrement » est très nettement le plus élevé dans les industries de types technique et technologique. Résultat logique si l’on considère que ce sont là que sont concentrés ou sous-traités les plus gros travaux de traitement de fichiers.
Sur l’origine technique des sinistres, là encore, les métriques de Verizon peuvent étonner. En tête des menaces, l’on trouve… les keyloggers étonnamment associés aux spywares. Si les spywares constituent indiscutablement un fléau dont la volumétrie est importante, la proportion des malwares intégrant un enregistreur de frappe clavier est considérablement plus faible (les outils de vol de crédences utilisant le plus souvent soit des attaques en phishing, soit des scanners de ressources locales). Le reste du classement est en revanche presque sans surprise : portes dérobées et/ou zombies et leurs C&C associés, injections SQL, abus ou élévations de privilège, intrusions grâce à des mots de passe par défaut, intrusions profitant d’un défaut de protection des ACL, espionnages par packet sniffer, intrusions par crédences volées et autres usurpations et ingénierie sociale. Voilà pour le « top ten » des hacks noirs. A noter, à la 14ème place, l’arrivée d’un nouveau venu : le RAM Scraping, ou vol de données en mémoire vive. Voilà qui va relancer le débat sur les « cold boot memory attack » et les péripéties des chambrières diaboliques.
Depuis un peu moins d’une semaine, les clients de l’opérateur Free sont victimes d’une attaque en phishing remarquablement bien conduite. Pas de « charset » exotique, texte rédigé dans un Français aussi convaincant qu’administratif, logo tout aussi crédible et pages de hameçonnage fabriquées avec un art consommé digne des meilleurs « boulangers »…
L’un des courriels d’incitation est d’autant plus accrocheur qu’il utilise comme prétexte une modification de contrat par « accord tacite », tout refus devant se traduire par une résiliation d’abonnement. Les pratiques des FAI étant parfois cavalières, ces mesures léonines risquent de ne choquer personne.
Extrait du courriel :
Nous allons prochainement modifier notre contrat d’utilisation. Voici comment prendre connaissance des modifications à venir :
1. Connectez-vous à votre compte Free.fr depuis la page www.free.fr .
2. Dans les Notifications depuis l’aperçu de votre compte, cliquez sur « Mises à jour du règlement ».
Si vous acceptez nos nouvelles conditions, vous n’avez aucune action à entreprendre. Vous pouvez continuer à profiter pleinement de votre compte Free.fr . (ndlr : lien doté d’une url étrangère)
Si vous refusez ces nouvelles conditions, vous pouvez faire part de votre refus en clôturant votre compte Free.fr au cours de la période de préavis de 2 mois, qui commence aujourd’hui. La fermeture de votre compte est sans frais. Vous pouvez également décider de ne plus utiliser votre compte.<br>
Courriel qui, bien sûr, conduit tout droit à une page demandant dans un premier temps l’identifiant de l’abonné et son mot de passe. Déjà à ce stade, les conséquences sont potentiellement dramatiques : accès à la console d’administration du client, possibilité de détournement de son compte téléphonique SIP, changement du mot de passe, récupération du RIB de l’abonné, de son adresse, résiliation de la ligne…
La suite est plus classique et conduit tout droit à une page demandant dans un premier temps l’identifiant de l’abonné et son mot de passe. Déjà à ce stade, les conséquences sont potentiellement dramatiques : accès à la console d’administration du client, possibilité de détournement de son compte téléphonique SIP, changement du mot de passe, récupération du RIB de l’abonné, de son adresse, résiliation de la ligne…
Chez Free, les « lignes chaudes » techniques se bornent à ressasser inlassablement le même couper-coller : « Nous vous invitons à ne cliquer sur aucun lien présent dans le contenu du message et à tout simplement effacer ces mails. En revanche, si vous avez été abusé et avez communiqué ces renseignements à l’auteur du mail frauduleux (phishing), connectez-vous immédiatement sur « Mon compte » (http://subscribe.free.fr/login) en saisissant vos identifiants et mot de passe, puis modifiez votre mot de passe afin d’empêcher le détournement de votre compte ». Encore faudrait-il que la victime ait eu conscience de s’être fait voler son identité…
Conseils d’autant plus dangereux que la procédure de changement de mot de passe semble propice à faciliter les attaques par dictionnaire : « Caractères minuscules et alphabétiques uniquement »… Chiffres et signes de ponctuation strictement prohibés. Lorsque l’on sait que la moitié de la crédence est une information publique (numéro de téléphone de l’abonné), on peut se poser des questions sur le réel niveau de protection ainsi proposé …
Hameçonnage 100% français
Mais là où l’affaire devient presque ubuesque, c’est lorsque l’on se rend compte que l’escroc à l’origine de la campagne d’hameçonnage est très probablement Français (la qualité du mail d’incitation donnerait à penser dans ce sens …) et que le registrar-hébergeur du faux site Free possède une filiale en France, par laquelle semble avoir été effectué l’enregistrement. Un whois du domaine frelaté montre une incohérence des noms entre le responsable légal et technique, le téléphone indiqué est un faux (appartenant d’ailleurs à une personne ne possédant pas même un abonnement Internet). Quant à l’adresse postale du possesseur du site, elle est édifiante au possible : « amm b lr 4 paris 75004 ». Rarement autant d’indices prouvant la nature douteuse d’un dépôt de nom de domaine n’ont été aussi clairement réunis … Comment les procédures automatiques du registrar n’ont pas pu déclencher une alarme à la vue d’une telle accumulation de preuves ? Comment les filtres de l’hébergeur n’ont-ils pas réagi en voyant passer, parmi les requêtes html aboutissant sur ses routeurs, une url manifestement « spoofée » d’un confrère et néanmoins concurrent ?
Et surtout pour quelle raison la cellule sécurité de Free n’a-t-elle envoyé le moindre courrier de demande d’enquête ou de suspension du site frauduleux à son homologue hébergeur ?
Ndlr : Tant que le domaine en question n’aura pas été supprimé, la rédaction de CNIS ne publiera ni le nom du registrar utilisé par l’escroc, ni le nom de domaine utilisé, afin de préserver au moins la tranquillité de la personne dont le numéro de téléphone a été détourné.