avril 19th, 2011

Verizon Databreach Report : disparition du bouc émissaire « insider », retour du RSSi négligeant

Posté on 19 Avr 2011 at 10:57

Annoncé en grandes pompes sur le blog de l’opérateur/fournisseur de services, le « databreach investigation report 2011 » de Verizon vient de sortir. De tous les rapports du genre édités par les éditeurs, c’est probablement l’un des plus mesurés et des plus sérieux. Cette année, outre les statistiques des Services Secrets US particulièrement riches dans le domaine des fraudes financières, le rapport 2011 intègre les données fournies par la brigade anti cybercrime Hollandaise. Ce rééquilibrage des données criminalistiques ne fait toutefois pas disparaître un certain éclairage américano-américain.

Première et principale constatation, les statistiques de ces fameux US Secret Services font apparaître une baisse drastique des « pertes de données » au cours de l’année 2006 : de 144 millions d’enregistrements volatilisés en 2009 à 4 millions « seulement » en 2010. Les conjectures vont bon train. Certains y voient un meilleur renforcement progressif des défenses des entreprises et surtout des grandes organisations gouvernementales et financières. D’autres expliquent ce phénomène par le fait que les attaques les plus fructueuses deviennent de plus en plus ciblées, se concentrant sur des données à très haute valeur ajoutée (ce serait donc l’une des origines de ces fameuses « APT », Advanced Persistant Threats). Bien sûr, lorsque des données ciblées échappent au contrôle d’une entreprise, l’on peut se demander à qui profite le crime. Et l’on est bien obligé de se rendre compte que ce ne sont pas toujours les Chinois qui sont derrière ces « APT ». De là à dire qu’il commence à se développer une forme de criminalité du monde du business qui ne serait que la traduction NTIC de l’espionnage industriel de papa, il n’y a pas loin à parcourir. Cette impression est d’ailleurs renforcée par les chiffres liés à l’analyse « qualitative » vs « quantitative » des vols : le « gros » des disparitions d’information (89%) est du fait d’un volume d’attaque très faible (27% des intrusions). Les 70% des attaques restantes ne sont responsables que de 11% des pertes de données. Il se dégage donc bien deux types de « datacrime », l’un très « old school », relativement extensif, ratissant large et rapportant peu, l’autre plus consciencieux et offrant un retour sur investissement appréciable.

A noter que si le volume des pertes de données a fortement diminué, le nombre des brèches de sécurité constatées n’a jamais été aussi élevé. Probablement en raison d’une systématisation des méthodes de tentative d’intrusion et de vol et au recours à des outils peu sophistiqués. Côté cibles, 94% des victimes faisaient partie des services financiers et 85% des attaques émanent de groupes criminels connus. Les techniques d’exploitation n’appellent que très peu de commentaires, tant elles sont classiques : infection du poste ciblé par une attaque genre « drive by download », puis installation d’un logiciels espion (backdoor, keylogger etc.) chargé de fouiller et récupérer des donnés financièrement intéressantes. Là encore, deux « vérités éternelles » sont napalmisées par le rapport Verizon. En premier lieu, 92% des pertes de données ont été provoquées par des « outsiders », les fuites internes ne représentant que 16% des vols d’information. Et tant pis pour les vendeurs de logiciels de flicage. Côté techniques d’extraction, 97% des fuites l’ont été par le biais de virus (portes dérobées, keyloggers etc. encore) « bidouillés », soit développés pour les besoins de la cause, soit modifiés par l’initiateur de l’attaque. Or, contre un malware original, point de signature, donc aucune chance pour que le programme voleur de données soit découvert par un antivirus. Et tant pis pour les vendeurs d’A.V. . Dernier détail relativement déprimant : la complexité des attaques ne risque pas de provoquer un nervous brèkedonne ou une commotion cérébrale aux cybertruands. Le rapport Verizon précise que 13% d’entre elles ne nécessitaient aucune connaissance technique, 28% plafonnaient au niveau « script kiddie » et 44% n’exigeaient qu’un niveau de connaissances minimum.

L’interprétation de ces chiffres peut donner naissance à des théories assez amusantes. Les pertes de données dans le secteur bancaire (France exceptée, cela va sans dire) a fait que la valeur du numéro de carte de crédit sur les places de marché mafieuses s’est fortement écroulée. La carte gold ne vaut presque plus un kopek, provoquant une sorte de dévaluation des cyber-butins, tout comme l’afflux massif de métaux précieux au début du XVIème siècle avait entrainé une crise économique mondiale sans précédent. Le recentrement des vols de données vers des cibles à haute valeur ajoutée et sur une plus faible envergure pourrait donc également résulter d’un réajustement socio-économique dans le monde de la cybertruanderie. Car les grands délinquants ont en commun avec les banquiers un formidable instinct de survie et un flair inné pour tout ce qui touche les flux monétaires et les moyens de les capter.

Publicité

MORE_POSTS

Archives

avril 2011
lun mar mer jeu ven sam dim
« Mar   Mai »
 123
45678910
11121314151617
18192021222324
252627282930