MELANI Rapport Semestriel 2011-II

Unit de pilotage informatique de la Confdration UPIC Service de renseignement de la Confdration SRC Centrale denregistrement et danalyse pour la sret de linformation
MELANI www.melani.admin.ch
Sret de linformation Situation en Suisse et sur le plan international

Rapport semestriel 2011/II (juillet dcembre)
MELANI Rapport semestriel 2011/II
Table des matires

1 2 3 Temps forts de ldition 2011/II ................................................................................... 3 Introduction .................................................................................................................. 4 Situation en Suisse de linfrastructure TIC ................................................................ 5 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 4 Appels de prtendus employs du service la clientle de Microsoft ............. 5 Toujours plus de comptes de messagerie pirats ........................................... 6 Carte de vux conue pour drober les mots de passe ................................. 7 Attaques dhameonnage: progrs techniques................................................ 9 En Suisse aussi: maliciel bloquant le PC et exigeant un paiement ................ 10 Le monde politique dans le viseur des pirates ............................................... 11 Attaques massives de sites Web marchands ................................................ 12 Faux sites immobiliers recrutant des agents financiers ................................. 13 Systmes de contrle relis Internet ncessit dune sensibilit accrue aux enjeux de scurit ......................................................................................... 14
Situation internationale de linfrastructure TIC ........................................................ 16 4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 Attaque contre un organisme de certification nerlandais ............................. 16 SCADA maliciels, cyberattaques et vulnrabilits ...................................... 17 Anonymous ................................................................................................... 20 Un acteur tatique aurait espionn pendant des annes des systmes informatiques, dont ceux de lONU Genve et du CIO ............................... 21 Cyberattaques diverses ................................................................................ 22 Dsactivation du rseau de zombies DNS-Changer...................................... 23 Chevaux de Troie des autorits de poursuite pnale..................................... 23 Ventes de logiciels de surveillance et dinvestigation montres du doigt par WikiLeaks ..................................................................................................... 25 Stratgies et exercices .................................................................................. 27
Analyses approfondies et tendances ....................................................................... 29 5.1 5.2 5.3 5.4 5.5 SmartGrid et domotique ................................................................................ 29 Anonymous avantages et inconvnients dune structure ouverte ............... 30 Bonne et mauvaise surveillance dInternet ............................................ 31 Scurit lre de la communication mobile comment protger son smartphone? ................................................................................................. 32 Consquences des attaques de fournisseurs de services de certification ..... 34
Glossaire .................................................................................................................... 36
2/2
1 Temps forts de ldition 2011/II

Attaques contre des fournisseurs de services de certification et effets Une attaque lance contre DigiNotar, organisme de certification nerlandais, a permis aux escrocs dmettre abusivement plus de 530 certificats, notamment pour le domaine windowsupdate.com, qui hberge la fonction de mise jour de tous les produits Windows de Microsoft, et pour diffrents domaines de Google. Situation sur le plan international: chapitre 4.1 Tendances / Perspectives: chapitre 5.5 Cyberactivisme Lintrt des mdias pour Anonymous sest raviv ces derniers mois, la suite de diverses oprations menes dans le cyberespace. Qui se cache derrire Anonymous? Selon de nombreux tmoignages, Anonymous ne serait pas une organisation proprement parler, mais un mode de vie. Aucune forme spciale de soutien nest exige, chaque activiste faisant, dans la mesure de ses moyens, ce qui lui parat juste. Do parfois des actions auxquelles une bonne partie du mouvement nadhre pas et qui aboutissent des dclarations contradictoires. Situation sur le plan international: chapitre 4.3 Tendances / Perspectives: chapitre 5.2 Bonne et mauvaise surveillance dInternet Lanalyse faite par le Chaos Computer Club du cheval de Troie appartenant aux autorits de poursuite pnale allemandes a soulev en Allemagne comme en Suisse des dbats anims sur son utilisation possible. En outre, WikiLeaks a commenc publier, le 1er dcembre 2011, de nombreux documents censs prouver que des entreprises de scurit prives vendent des solutions TIC des Etats autoritaires qui bafouent les droits de lhomme. Le vieux dbat relanc cette occasion met en lumire un rel problme li Internet, la socit en rseau et aux TIC. Lapparition de possibilits sans cesse nouvelles de communiquer, dchanger des informations ainsi que de consulter des donnes en tout temps et de partout, nest pas sans consquences: les mesures prises des fins de localisation et dacquisition de linformation, et plus gnralement le travail des autorits nationales charges de la scurit, sont toujours plus complexes. Situation sur le plan international: chapitre 4.7, 4.8 Tendances / Perspectives: chapitre 5.3 Hameonnage, escroqueries et ransomware en hausse Un nouveau phnomne est apparu en Suisse durant lt 2011, avec des appels tlphoniques descrocs se faisant passer pour des collaborateurs du service la clientle de Microsoft, afin daccder lordinateur des victimes. Lhameonnage a galement redoubl ces six derniers mois, aux dpens surtout des fournisseurs de messagerie et des socits de cartes de crdit. Les criminels recourent de nouvelles mthodes pour djouer la dsactivation des sites dhameonnage, afin de pouvoir svir le plus longtemps possible. Au dbut de novembre, des maliciels manant soi-disant du Dpartement fdral de justice et police (DFJP) ont t expdis comme moyen de chantage (ransomware). Situation en Suisse: chapitre 3.1, 3.2, 3.3, 3.4, 3.5
3/3
2 Introduction
Le quatorzime rapport semestriel (juillet dcembre 2011) de la Centrale denregistrement et danalyse pour la sret de linformation (MELANI) commente les grandes tendances et les risques lis aux technologies de linformation et de la communication (TIC), livre un aperu des vnements survenus en Suisse et ltranger, signale divers thmes de la prvention et rsume les activits des acteurs tatiques ou privs. Les termes techniques ou spcialiss (crits en italique) sont expliqus dans un glossaire (chapitre 6) la fin du rapport. Quant aux jugements ports par MELANI, ils figurent chaque fois dans des encadrs en couleur. Le chapitre 1 esquisse certains thmes du prsent rapport semestriel. Les chapitres 3 et 4 passent en revue les pannes et les incidents, les attaques, la criminalit et le terrorisme visant les infrastructures TIC. Des exemples choisis illustrent les principaux vnements des six derniers mois de lanne 2011. La situation nationale est analyse au chapitre 3 et la situation internationale au chapitre 4. Le chapitre 5 livre, sur des thmes actuels, des analyses dtailles avec les tendances.
4/4
3 Situation en Suisse de linfrastructure TIC

3.1 Appels de prtendus employs du service la clientle de Microsoft
Ces derniers temps, les appels tlphoniques descrocs se faisant passer pour des employs de Microsoft ou dautres entreprises de support informatique se multiplient au niveau mondial, en Suisse aussi. Leurs auteurs parlent gnralement anglais et prtendent venir des Etats-Unis, de Grande-Bretagne ou dAustralie. Ils signalent frquemment des messages derreur qui leur seraient parvenus des ordinateurs de lentreprise ou du particulier approchs. Les personnes appeles reoivent p. ex. des instructions pour appeler le logiciel Event-Viewer 1, permettant de visualiser tous les vnements survenus et les activits dployes par lordinateur. Or il faut savoir que mme un systme fonctionnant de manire irrprochable gnre parfois des messages derreur. Selon lge et la configuration de lordinateur, la liste des messages derreur publis dans le journal des vnements peut tre trs longue, sans que le systme prsente le moindre problme. Les auteurs de tels appels de support recourent typiquement ce programme afin de planter un dcor plausible et deffrayer leurs victimes. Ils visent ainsi convaincre la personne contacte de leur livrer accs leur ordinateur, en tlchargeant un programme daccs distance. Le cas chant, lescroc aura les mmes possibilits de manipuler lordinateur quen tant directement assis devant lui (duplication/modification/suppression de donnes, installation de programmes, mise en place dune porte drobe pour sintroduire volont dans le systme, etc.). Parfois, les auteurs de ces appels proposent galement de conclure un abonnement de support ou une garantie, et exigent cet effet les donnes dune carte de crdit ou une autre forme de paiement. Les escrocs reprent visiblement leurs victimes laide des rpertoires accessibles au public, comme le registre suisse du commerce ou les annuaires tlphoniques publics. Il convient de rappeler que Microsoft nappelle jamais spontanment pour rsoudre des problmes informatiques. Des prcisions ce sujet figurent sur le blog du responsable de la scurit de Microsoft Suisse. 2 Au cas o vous auriez laiss lauteur dun tel appel accder votre ordinateur, il est recommand de le faire examiner et ventuellement nettoyer par un spcialiste. Il nest pas pour autant garanti quun maliciel soit trouv, ou les manipulations effectues dcouvertes. La mthode la plus sre consiste effacer entirement le disque dur de lordinateur et rinstaller le systme dexploitation. Do limportance de procder rgulirement la sauvegarde de toutes les donnes importantes sur un support externe, afin quelles ne soient pas perdues le jour o lordinateur rencontrera un problme.
1 2
En franais Observateur dvnements, programme du systme Windows. http://www.retohaeni.net/2011/07/microsoft-does-not-call-you/ (tat: 23 fvrier 2012).
5/5
3.2 Toujours plus de comptes de messagerie pirats

La Centrale denregistrement et danalyse pour la sret de linformation MELANI est frquemment prvenue dintrusions survenues dans des comptes de messagerie. Les escrocs modifient typiquement le mot de passe et dautres donnes personnelles du compte (adresse alternative, numro de Natel, etc.), afin que le propritaire lgitime ny ait plus accs. Ils crivent ensuite tous les contacts du carnet dadresses, ou certains dentre eux. Ces courriels sont gnralement de faux appels au secours, expliquant que la personne se trouve bloque ltranger, aprs stre fait voler son argent et son passeport. Le destinataire est ensuite pri deffectuer un versement dargent.
Figure 1: Exemple de courriel envoy partir dun compte pirat.
Outre les dsagrments subis par le destinataire de tels courriels, le propritaire de ladresse lectronique est lui aussi expos bien des dboires, car il na plus le contrle de son compte et ne peut plus accder ses messages et ses contacts. Cela peut avoir des effets dvastateurs et crer des situations gnantes dans le monde rel, si les donnes et les contacts nont fait lobjet daucune sauvegarde externe (backup) et si tous les contacts professionnels passaient par cette adresse lectronique. Laccs au compte de messagerie dune tierce personne permet naturellement de commettre encore bien dautres escroqueries. De nombreux services Internet sont accessibles par simple introduction du nom dutilisateur et du mot de passe. En cas doubli ou perte de son mot de passe, le client peut en gnrer un nouveau en cliquant sur le lien Mot de passe oubli. Il reoit alors par courriel son nouveau mot de passe. Si un pirate parvient accder au compte de messagerie, il pourra aisment utiliser ce service afin daccder aux diverses prestations de service utilises par la victime et den abuser son profit. Les conseils qui suivent permettent de limiter les dommages en cas de piratage de compte. 1. Faire une sauvegarde (backup) des contacts, afin de pouvoir se rabattre sur une adresse lectronique alternative en cas dincident. Cette prcaution permet de prvenir trs rapidement les contacts du risque de recevoir un courriel darnaque. 2. Choisir soigneusement son fournisseur de messagerie, a fortiori si la messagerie est utilise dans un but professionnel. 3. En cas dincident, chercher immdiatement reprendre le contrle du compte. Dans de rares cas, ladresse alternative na pas t modifie: le cas chant, il est possible denvoyer un mot de passe de remplacement cette adresse lectronique. Mais si ladresse alternative a t modifie, il faut lancer un processus de rcupration
6/6
(recovery). La plupart des fournisseurs de messagerie mettent disposition un formulaire spcial. Le tableau qui suit, qui nest pas exhaustif, indique ce que proposent les principaux fournisseurs de messagerie: Google Hotmail/ Live Yahoo GMX www.google.com/accounts/recovery/ https://account.live.com/resetpassword.aspx https://edit.europe.yahoo.com/forgotroot www.gmx.com/forgotPassword.html
La meilleure solution consiste toutefois prvenir toute intrusion dans son compte. Veuillez lire ce sujet nos recommandations pour le choix dun mot de passe. 3 En outre, il faut garder lesprit quaucun prestataire srieux ninvite par courriel ses clients lui indiquer leur mot de passe. Ne cliquez par consquent jamais sur un lien figurant dans un courriel pour accder au site dun fournisseur daccs, dun prestataire de services financiers, dune socit mettrice de cartes de crdit, etc.. Voir aussi nos informations concernant lhameonnage (phishing) 4. Il faut toujours tre sur ses gardes quand un site Web exige un mot de passe (voir chap. 3.3). La prudence ne simpose plus seulement quand lexpditeur du courriel est inconnu, mais mme lorsquil sagit dune personne connue. En cas dvnement insolite surtout si une demande dargent est formule , MELANI recommande dessayer de joindre la personne par tlphone, de poser des questions dont elle seule connat la rponse, de vrifier son identit ou de discuter avec des connaissances communes de la plausibilit de son rcit. En outre, il faut se garder douvrir machinalement les annexes ou de suivre les liens de courriels dont lexpditeur est connu a fortiori si le courriel semble impersonnel et si son contenu nest pas caractristique des messages habituels de cet expditeur.
3.3 Carte de vux conue pour drober les mots de passe

Il est courant denvoyer et de recevoir des cartes postales lectroniques lpoque des ftes. Or toutes les cartes postales lectroniques expdies ne sont pas srieuses. Deux cas particulirement raffins descroquerie, visant expressment des victimes suisses, ont t dcouverts pendant les ftes de Nol. Dans le premier cas, des courriels ont t envoys au nom de Swisspostcard 5. Ils indiquaient un expditeur connu du destinataire, afin de linciter cliquer sur un lien. Tout tait fait pour lui donner limpression davoir reu une carte de Nol lectronique, quil pourrait tlcharger sur le site unsereweihnachtskarten.com.
3 4 5
http://www.melani.admin.ch/themen/00166/00172/01005/index.html?lang=fr (tat: 23 fvrier 2012). http://www.melani.admin.ch/themen/00103/00203/index.html?lang=fr (tat: 23 fvrier 2012). SwissPostCard (Service de la Poste Suisse) permet de crer des cartes postales lectroniques. Elles sont ensuite imprimes par la Poste, qui les achemine bon port.
7/7
Figure 2: Exemple de courriel dhameonnage prtendant que le destinataire a reu une carte de Nol.
Un clic sur le lien ouvrait en arrire-plan le site original de Swisspostcard. Le premier plan tait toutefois occup par un formulaire, o la victime devait indiquer son nom dutilisateur et le mot de passe de son compte de messagerie pour pouvoir tlcharger sa carte de Nol. Les donnes daccs saisies parvenaient directement aux escrocs, qui sempressaient daccder audit compte. Tous les contacts de son carnet dadresses recevaient par la suite un courriel dhameonnage du mme type, afin de crer un effet boule de neige.
Figure 3: Site de phishing affichant en arrire-plan le site de Swisspostcard et invitant au premier plan la victime saisir les donnes daccs son compte de messagerie.
Les escrocs rcidivaient une semaine plus tard. Mais cette fois, leur courriel dhameonnage tait envoy non plus au nom de Swisspostcard, mais de Fleurop.
8/8
Le premier cas a permis dtablir une statistique du nombre daccs. Quelque 25 939 personnes ont cliqu sur le lien, dont 4148 plusieurs fois, ce qui donne penser quelles ont au moins essay de communiquer leur nom dutilisateur et leur mot de passe. Ainsi, 16 % des personnes auraient mordu lhameon, sans quon sache toutefois combien ont rellement livr les donnes convoites par les escrocs.
Figure 4: Accs au site dhameonnage unsereweihnachtskarten.com. La ligne rouge indique le nombre de clics sur le site. La ligne bleue correspond aux utilisateurs ayant consult plusieurs fois la page et donc lui ayant potentiellement rvl leur nom dutilisateur et leur mot de passe.
Alors que les accs sont rests rares du 22 au 24 dcembre 2011, en raison trs certainement des festivits de Nol, leur nombre a augment en flche le 25 dcembre 2011 pour atteindre un pic le 27. Le site a t dsactiv du rseau le 29 dcembre. Il ne suffit plus de se mfier des courriels dexpditeurs inconnus. La prudence simpose mme lorsque le nom de lexpditeur est familier. En particulier, il faut tre sur ses gardes chaque fois quun site Web exige un mot de passe.
3.4 Attaques dhameonnage: progrs techniques

Des entits du secteur public, des organisations prives et des fournisseur de services Internet combattent contre les tentatives dhameonnage. La dsactivation des sites dhameonnage est la plupart du temps une opration bien rode. Entre-temps, ils sont presque tous neutraliss en temps utile, c.--d. dans un dlai allant de quelques minutes un jour. Les cyberpirates cherchent par consquent de nouvelles mthodes pour djouer autant que possible la dsactivation des sites dhameonnage. Ainsi, la tentative dhameonnage dcrite au chapitre 3.3 gnrait spcialement un lien par victime, et donc nagissait quune seule fois. Concrtement, ladresse lectronique tait encode en base64. Si lon cliquait une seconde fois sur le lien initial, un message derreur saffichait. De mme, la page daccueil se contentait dannoncer un message derreur. Cette prcaution a compliqu la dsactivation du domaine. Faute de preuve fournie par des tiers,
9/9
les autorits comptentes nont pas ragi, croyant de bonne foi quil ny avait pas de site dhameonnage sous ce domaine. La rponse suivante dun registraire le montre clairement:
Figure 5: Rponse du registraire une demande de MELANI visant bloquer le domaine du site dhameonnage.
Une autre variante utilise consiste introduire un filtrage IP (p. ex. restrictions gographiques). Un site dhameonnage nest ensuite joignable qu partir de certains domaines IP. Les visiteurs ayant dautres adresses IP obtiennent un message derreur. Quiconque consulte le site avec la mauvaise adresse IP aura ainsi limpression que le site a dj t dsactiv dInternet. Il faut toutefois savoir que la plupart des pages dhameonnage se dissimulent derrire des sites Web tout fait normaux, sur un serveur Web qui a t compromis. A la diffrence des domaines exclusivement utiliss dans un dessein criminel, tant le propritaire du site que le fournisseur dhbergement ont ici la possibilit deffacer le site. Mais comme les hbergeurs se contentent gnralement de contrles en ligne et nexaminent pas les rpertoires des serveurs la recherche des pages infectes, ils voyaient jusquici dans le message derreur 404 Not Found un indice sr dlimination de telles pages par le propritaire.
3.5 En Suisse aussi: maliciel bloquant le PC et exigeant un paiement

Un maliciel mis en circulation au dbut de novembre en Suisse bloquait toutes les fonctions de lordinateur des fins de chantage. Une fentre saffichait lcran, avec un message semblant provenir du Dpartement fdral de justice et police (DFJP). Lutilisateur y tait invit sacquitter dune amende de 150 francs, sous prtexte que de la pornographie infantile et dautres contenus illgaux auraient t retrouvs sur son ordinateur. Le message nmanait bien entendu pas dune autorit suisse.
10/10
Figure 6: Capture dcran dun ordinateur infect par un ransomware.
Ds mars et avril 2011, un maliciel affichait sur les ordinateurs infects une mise en garde prtendument envoye par lOffice fdral de la police criminelle dAllemagne. Il exigeait le versement dune amende de 100 euros, en faisant valoir que des donnes illgales auraient t trouves sur lordinateur infect. En cas de non-paiement, lordinateur serait verrouill et le disque dur reformat. Des variantes de ce ransomware adaptes aux usages locaux ont t observes dans dautres pays galement. En cas dapparition de ce message (ou dun message analogue), MELANI recommande de faire analyser lordinateur infect par un antivirus jour en version live CD et dliminer le maliciel, ou de sadresser une entreprise dinformatique. Il est galement conseill de changer tous les mots de passe de lordinateur infect.
3.6 Le monde politique dans le viseur des pirates

Plusieurs cyberincidents survenus au deuxime semestre 2011 ont concern de prs ou de loin des politiciens ou des partis politiques. Comme personnes publiques, les politiciens prtent le flanc ce genre dattaques. Pendant les lections au Conseil fdral du 14 dcembre 2011, un message publi sur Twitter au nom du conseiller national Andrea Caroni a annonc la rlection dEveline Widmer Schlumpf avant mme que le rsultat officiel du scrutin ne soit connu. Mme sil navait rien voir avec ce compte Twitter, Andrea Caroni a d rendre vraisemblable quil ntait pas lauteur du micromessage (tweet). Il sest ainsi rapidement cr un compte Twitter et a envoy des informations sur lincident. Cet exemple montre que dans Internet, chacun peut revtir le rle de son choix pour mettre en circulation toutes sortes de propos. Le site Web de lUDC a de nouveau t victime, le 3 aot 2011, dune attaque par dni de service distribu. En 2009 dj, les sites des partis gouvernementaux avaient t attaqus et paralyss peu avant le scrutin populaire du 29 novembre 2009 contre la construction de minarets. Ce nouvel incident a toutefois pargn les autres partis politiques. La conseillre nationale Chantal Gallad a t confronte un tout autre problme. Faute davoir renouvel temps son domaine chantal-gallade.ch, celui-ci a t acquis par une
11/11
tierce personne qui y a plac de la publicit. Toutes les tentatives dentrer en contact avec le nouveau propritaire du site ont chou. Celui-ci na pas daign rpondre. Entre-temps, Madame Gallad a enregistr un autre domaine. 6 Quant lancien domaine, il naccueille plus de publicit et a t mis en vente. Un autre politicien avait montr sa carte didentit la camra, lors dune interview tlvise. Un inconnu en a fait une copie partir de son ordinateur et a tent de lutiliser comme preuve didentit pour crer un profil sur un portail de rencontres pour homosexuels. Mais le portail a pris contact avec le politicien pour lui demander sil avait vraiment cr un tel profil. Le profil a t effac aussitt aprs sa rponse ngative. Le bon travail et les prcautions prises par le portail de rencontres ont permis dtouffer laffaire dans luf.
3.7 Attaques massives de sites Web marchands

MELANI a constat en aot 2011, en Suisse aussi, une recrudescence dinfections de sites web aux dpens de boutiques en ligne. Les victimes taient des sites Web marchands utilisant le logiciel de gestion osCommerce. Les attaques ont t lances via une interface Admin mal scurise. Les anciennes versions du logiciel renonaient par dfaut au contrle classique des accs. Au lieu dutiliser un mot de passe, le logiciel attribuait au rpertoire du panneau dadministration un nom obscure ou/et il fallait scuriser le rpertoire laide dun fichier htaccess. Celui-ci (en anglais: hypertext access) peut tre plac dans nimporte quel rpertoire dun site Web et sert grer les paramtres de configuration. De nombreux utilisateurs ont hlas nglig cette pratique. Pour y remdier, un contrle des accs en tant quadministrateur a t mis en place dans la version 2.2RC2 afin damliorer a posteriori le niveau de scurit. Or en cas dinstallation incorrecte, il tait ais de contourner cette mesure de scurit sur un serveur Web Apache, par une manipulation dURL. 7 Le pirate pouvait ainsi sintroduire dans ladministration et y installer le code de son choix. Cest ce qui sest souvent produit en juillet/aot 2011. Les boutiques Web pirates ont ensuite t utilises pour propager des infections de sites Web. Selon le portail spcialis gulli.com, les pirates auraient compromis 90 000 sites Web marchands. 8 Dans le cas despce, il tait possible de se protger en scurisant tout le rpertoire admin par le biais dun fichier .htaccess. Un tel contrle des accs, ralis par le serveur Web luimme, est indpendant de linvite douverture de session (login prompt) du logiciel de la boutique en ligne. Une marche suivre dtaille est publie sur le site heise.de 9. De faon gnrale, il faut actualiser non seulement les logiciels des serveurs, mais galement les applications installes, en loccurrence celle de la boutique en ligne, et installer toutes les mises jour de scurit disponibles.
http://www.tagesanzeiger.ch/zuerich/region/Warum-Chantal-Gallad-fuer-Bikinis-wirbt/story/15004208 (tat: 23 fvrier 2012). http://www.oscommerce.info/confluence/display/OSCOM23/%28A%29+%28SEC%29+Administration+Tool+ Log-In+Update (tat: 23 fvrier 2012). http://www.gulli.com/news/16740-zahlreiche-online-shopping-websites-kompromittiert-2011-08-01 (tat: 23 fvrier 2012). http://www.heise.de/security/artikel/Schnellhilfe-fuer-osCommerce-Admins-1323536.html (tat: 23 fvrier 2012).
12/12
3.8 Faux sites immobiliers recrutant des agents financiers

Aprs une fraude le-banking, il faut blanchir largent dtourn. A cet effet, des agents financiers sont recruts, par exemple via des bourses de lemploi. Des sites Web spcialement crs limage de sites dentreprises ordinaires comportent une rubrique emplois vacants. Le profil demploi est toujours le mme: la personne se fait envoyer de largent dorigine inconnue, quelle transfre sur des comptes dsigns lavance. Ces postes vacants sont chaque fois annoncs par pourriel. Une forme particulirement honte de recrutement dagents financiers svit aujourdhui en Suisse. Elle repose sur les donnes dentreprises inscrites au registre du commerce mais absentes dInternet. Les sites publis leur nom par les escrocs prtendent appartenir des entreprises actives au Tessin dans le secteur immobilier et rechercher des reprsentants rgionaux pour transfrer de largent de clients. Ces sites lapparence trs professionnelle sont gnralement des copies fidles de sites existants. Le problme ici tient ce que le mobile criminel nest pas demble visible contrairement p. ex. aux sites dhameonnage. Les hbergeurs dsactivent normalement trs vite les sites criminels. Mais dans le cas despce, il est trs difficile de les convaincre dagir. Et mme quand ils le font, un site identique ne tarde pas rapparatre sous un autre nom de domaine. Un groupe descrocs semble stre fait une spcialit dassurer la survie de ce genre de sites Web, afin de recruter un maximum dagents financiers.
Figure 7: Exemple de site de recrutement dagents financiers.
De telles offres ne sont pas seulement diffuses par pourriel ou sur des sites spcialement crs, mais se glissent aussi sur des portails demplois srieux. Par principe, la prudence simpose avec les transferts en espces, des inconnus, dargent que lon a reu auparavant (volontairement ou par erreur). Dans tous les cas, il faut se mfier des offres
13/13
faisant miroiter des gains levs. Le principe selon lequel il ny a pas denrichissement lgal sans effort vaut galement dans le cyberespace. Do la ncessit de ne jamais mettre son propre compte bancaire disposition de tiers.
3.9 Systmes de contrle relis Internet ncessit dune sensibilit accrue aux enjeux de scurit
Les moteurs de recherche de sites Web font partie du quotidien des internautes. Mais jusqu peu, on ignorait lexistence de moteurs de recherche permettant de trouver les serveurs, routeurs, pare-feu, imprimantes et autres appareils connects Internet. Lun deux, appel SHODAN, existe depuis plusieurs annes mais a acquis une grande notorit suite la publication de travaux de recherche consacrs aux systmes SCADA relis Internet. Des chercheurs de lUniversit de Cambridge ont voulu estimer le nombre de systmes de contrle industriels (SCI) relis Internet et particulirement vulnrables. Leurs recherches 10 visaient rfuter le mythe voulant que les systmes de contrle industriels ne soient pas connects Internet, et donc que la scurit des infrastructures sensibles soit audessus de tout soupon. Les chercheurs ont ainsi dcouvert que des dizaines de systmes Siemens Simatic (proies recherches par Stuxnet), de systmes SCADA et de systmes de gestion dimmeuble (building management system, BMS) sont relis Internet.
Figure 8: Analyse quantitative et visualisation des systmes de contrle industriels prtant le flanc des attaques 11 (source: Eireann Leverett) . Les systmes marqus en rouge sont ceux pour lesquels un exploit existe dj.
En Suisse, des recherches ont t menes pour identifier les 34 systmes vulnrables. Il sagissait gnralement dapplications intervenant dans des systmes de gestion dimmeuble (BMS). Leurs propritaires avaient simplement omis de modifier le mot de passe par dfaut des installations de commande. Do la possibilit dy accder et den prendre le contrle. MELANI a constat, lors de ses vrifications, que les systmes vulnrables ne faisaient pas partie dinfrastructures vitales, mais le plus souvent dentreprises htelires ou de bureaux.
10 11
http://www.wired.com/images_blogs/threatlevel/2012/01/2011-Leverett-industrial.pdf (tat: 23 fvrier 2012). http://cryptocomb.org/2011-Leverett-industrial.pdf (tat: 23 fvrier 2012).

14/14
Figure 9: Exemple dapplication du fabricant TAC (auj. Schneider Electric Buildings Germany GmbH) servant la gestion dimmeuble.
Les cibles potentielles ont beau ne pas tre vitales, le fait de ne pas modifier le mot de passe par dfaut lors de linstallation dun systme de gestion dimmeuble (building management system, BMS) reli Internet constitue une grave infraction aux prescriptions lmentaires de scurit informatique. La possibilit, p. ex., daccder de lextrieur au rseau de chauffage et de climatisation dune entreprise et de le manipuler pourrait entraner, le cas chant, des problmes majeurs. Le potentiel dabus est dautant plus grand quavec lintgration des systmes, lintrus est susceptible daccder dautres applications de gestion internes, aux logiciels de dcompte, etc. Par principe, les systmes de contrle industriels ne seront pas relis Internet. Si cela devait savrer indispensable, la prudence simpose au niveau de la procdure dfinie. Une analyse dtaille figure au chapitre 5.1.
15/15
4 Situation internationale de linfrastructure TIC

4.1 Attaque contre un organisme de certification nerlandais
Une attaque lance contre DigiNotar, organisme de certification nerlandais, a abouti lmission frauduleuse, selon ltat actuel des connaissances, de plus de 530 certificats. Dont p. ex. des certificats de domaines appartenant des services de renseignements: les pirates ont ainsi mis plusieurs certificats chaque fois pour www.sis.gov.uk, www.cia.gov et www.mossad.gov.il. Dautres domaines ont fait les frais de cette escroquerie, dont windowsupdate.com, qui hberge la fonction de mise jour de tous les produits Windows de Microsoft, et diffrents domaines de Google. DigiNotar est un organisme dlivrant des certificats numriques servant garantir lidentit des sites Web visits et la communication crypte (certificate authority, CA). Si de tels certificats ont t falsifis, un internaute simaginera p. ex. tre sur le site souhait alors quil est reli une infrastructure criminelle. Un pirate peut ainsi modifier le chemin daccs aux donnes, semparer de documents crypts et livrer la place des donnes errones. Lattaque lance contre DigiNotar a abouti la mise en circulation de certificats falsifis que les navigateurs et les ordinateurs croyaient authentiques. Do la possibilit de dcrypter la liaison scurise des comptes de messagerie lectronique, ou de falsifier les mises jour de Windows. Un certificat truqu ny suffit toutefois pas, il faut encore rediriger lenvoi sur un serveur spcialement prpar. DigiNotar a apparemment dcouvert la fraude ds le 19 juillet 2011; Google sest aperu fin aot que ses services de messagerie subissaient des attaques de lintermdiaire (man-in-the-middle) et a rendu lincident public. Microsoft a publi peu aprs, pour ses systmes dexploitation partir de Windows XP et pour Internet Explorer, des mises jour qui refusaient les certificats racine de DigiNotar et rangeaient lorganisme de certification compromis sur la liste des diteurs non fiables. Dautres exploitants de navigateurs, comme Mozilla (Firefox) et Google (Chrome), ont entretemps marqu comme non valables dans leurs programmes les certificats mis par DigiNotar. Les faux certificats mis ont t employs, selon lanalyse des donnes faite par lentreprise de scurit mandate, dont le rapport intermdiaire a t publi 12. Prs de 300 000 adresses IP auraient utilis le certificat Google falsifi. 99 % de ces adresses IP appartenaient des ordinateurs iraniens. Pour pouvoir capturer les donnes et les dcrypter, le pirate devait encore intervenir directement dans leur cheminement, p. ex. auprs des fournisseurs daccs Internet. Un cyberpirate iranien a revendiqu entre-temps cette agression et prtend avoir attaqu dautres organismes de certification. On ignore jusquici si ces attaques peuvent rellement lui tre attribues ou sil sagit, le cas chant, dun acteur tatique menant des activits despionnage. La cyberattaque lance contre DigiNotar a t fatale cette entreprise. Selon sa socitmre Vasco, elle a cess toute activit commerciale et a t liquide. Peu aprs la rvlation de lincident, lEtat nerlandais a repris le contrle des activits oprationnelles de DigiNotar.
12
http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2011/09/05/diginotar-public-report-version1.html (tat: 23 fvrier 2012).

16/16
Car outre ses propres certificats, DigiNotar tait fournisseur des certificats PKI Overheid de lEtat, et des indices laissaient croire que les systmes de gestion utiliss cet effet avaient aussi t compromis. Le certificat racine PKI Overheid na toutefois pas t retir, pour ne pas compromettre la communication crypte entre les systmes informatiques. En outre, rien ne prouvait que de faux certificats aient t mis laide de cette infrastructure. Tous les certificats dlivrs par DigiNotar en tant que fournisseur de certificats PKI Overheid ont nanmoins t remplacs, par prudence, par de nouveaux certificats manant dautres organismes de certification. Dans un autre cas, un cyberpirate a prtendu stre introduit dans les systmes de GlobalSign. Cet metteur de certificats belge a alors retir ses serveurs du rseau pendant une semaine et lanc une enqute. Il en est ressorti que le pirate ne stait pas introduit dans un serveur servant lmission de certificats, mais dans un serveur hbergeant les pages Web publiques destines au march nord-amricain. Selon GlobalSign, le serveur en question nhbergeait ni application Web, ni donnes de clients. 13 Lusage fructueux de systmes cryptographiques cl publique (public key cryptography) dpend de la fiabilit du fournisseur de services de certification choisi (certification service provider, CSP) et de linfrastructure cl publique (public key infrastructure, PKI) 14. Aussi la robustesse des CSP et des PKI a-t-elle toujours t au cur des proccupations des techniciens prposs la scurit informatique. Ils recherchent notamment des scnarios empchant toute contrefaon des certificats (par exploitation dune faible rsistance aux collisions des fonctions de hachage 15), ou encore lusage abusif de certificats de signature de code. Dans ce dernier cas comme la montr le ver Stuxnet , un certificat usurp permettrait p. ex. dintroduire dans un systme dexploitation des maliciels, sous forme de logiciels pilotes pourvus dune signature numrique. En outre, les vnements rcents prouvent que les CSP risquent eux aussi dtre compromis par des escrocs cherchant mettre de faux certificats. La tendance est apparemment de remonter la source, pour ne pas devoir pniblement traquer les failles dune procdure de cryptage en soi sre.
4.2 SCADA maliciels, cyberattaques et vulnrabilits

Les systmes SCADA (Supervisory Control And Data Acquisition) servent la surveillance et la gestion des processus techniques (p. ex. approvisionnement en nergie et en eau). Au dpart, ces systmes ne ressemblaient que de loin aux TIC usuelles, ils taient isols des rseaux informatiques, utilisaient du matriel et des logiciels propritaires et possdaient leur propre protocole de communication avec lordinateur central. Depuis quelques annes, la commercialisation dappareils relativement avantageux intgrant, comme technologie dinterface, le protocole Internet a chang la donne. Le recours aux TIC courantes et peu coteuses sest rpandu, le revers de la mdaille tant que les systmes SCADA sont exposs aux menaces bien connues prsentes sur Internet: les maliciels et les cyberpirates nont pas tard faire leur apparition.
13
14 15
http://www.zdnet.de/news/41558800/globalsign-comodohacker-hat-die-falschen-systeme-erwischt.htm (tat: 23 fvrier 2012). En ce sens, les CSP et les PKI constituent le talon dAchille de la cryptographie cl publique. Le secteur spcialis Scurit de lUPIC a approfondi ce point dans ses considrations technologiques du 4 aot 2010: Technologiebetrachtung: Kollisionsresistenz und Brechung kryptografischer Hashfunktionen: http://www.isb.admin.ch/themen/sicherheit/00530/01276/index.html?lang=de (tat: 23 fvrier 2012).
17/17
Symantec dmasque Duqu, maliciel apparent Stuxnet Lexistence du maliciel Duqu, charg despionner les ordinateurs des entreprises et des dveloppeurs de systmes de contrle industriels (systmes SCADA) a t rvle le 14 octobre 2011. Les donnes drobes par ce biais pouvaient ensuite servir lancer des attaques cibles. Les composantes de base (pilotes) de ce nouveau maliciel sont reprises de Stuxnet. 16 A ceci prs que le nouveau maliciel ne possde ni routine pour se propager, ni composantes SCADA pour manipuler p. ex. des systmes de gestion. Afin de ne pas attirer lattention, le maliciel ne sactive que 15 minutes aprs son installation. Son identification est dautant plus difficile quil quitte le systme infect au bout de 36 jours. Diffrentes variantes de Duqu ont t observes. Dans un cas, un certificat drob une socit tawanaise a servi son installation; l encore, un parallle peut tre fait avec Stuxnet. Les autres variantes taient apparemment dpourvues de signature numrique. Les fonctions du maliciel comprennent lenregistrement des frappes du clavier, lanalyse des informations changes avec le rseau et des captures dcran. Les informations recueillies sont dissimules dans un banal fichier graphique en vue de leur transmission. Le pirate peut toutefois moduler sa guise les fonctions susmentionnes, qui ne sont pas lies au maliciel. Duqu communique sous forme crypte avec un serveur command & control possdant une adresse IP indienne: lordinateur infect lui livre les donnes recueillies et prend auprs de lui de nouvelles instructions. Une variante antrieure aurait circul en dcembre 2010, les variantes rcentes remontant septembre et octobre 2011. Duqu aurait t localis sur des ordinateurs de sept ou huit entreprises europennes, dont une adresse IP suisse. Rumeurs dattaques contre lapprovisionnement en eau Une prtendue attaque lectronique lance au dbut de novembre 2011 contre le systme dalimentation en eau potable de Springfield/Illinois aux Etats-Unis a suscit tout un dbat parmi les milieux spcialiss. Un pirate serait parvenu sinfiltrer dans lapprovisionnement en eau et saboter une pompe, force de lenclencher et de la dclencher. Comme peu de temps avant un ordinateur possdant une adresse IP russe avait semble-t-il accd au rseau en question, les ragots allaient bon train. Quelques jours plus tard, le FBI et le Dpartement de la scurit intrieure (Department of Homeland Security, DHS) ont rfut les comptes rendus de lincident de Springfield. Il ny avait aucun indice de cyberattaque. Le passage dun rapport publi par la cellule danalyse de la menace terroriste de lEtat dIllinois, partir duquel de telles spculations avaient t chafaudes, reposait sur des donnes non vrifies. Rien nindiquait que des donnes daccs au systme aient t drobes, et lon navait dtect aucune trace dintrusion. Les accs partir de la Russie provenaient dun technicien dment autoris qui se trouvait en dplacement en Russie et qui se connectait au rseau distance (conformment aux rgles). La pompe connaissait des problmes depuis longtemps et stait plusieurs fois enclenche et dclenche, avant de cesser dfinitivement de fonctionner. Un pirate probablement encourag par ce fait divers sest introduit le 18 novembre 2011 dans le service dalimentation en eau potable de South Houston/Texas et a publi titre de preuve des captures dcran (screenshot) du systme de gestion infiltr. Une personne ayant pour pseudonyme pr0f a expliqu sur le site pastebin.com les motifs de cette attaque: Lheure est venue de montrer que les systmes sensibles ne doivent pas tre relis Internet. On ne doit pas craindre une vaste cyberguerre, mais plutt les actes isols dindividus qui, pour toutes sortes de motifs et sans tres verss en informatique, sont susceptibles de sen prendre de tels systmes.
16
Voir rapport MELANI 2010/2, chapitre 4.1: http://www.melani.admin.ch/dokumentation/00123/00124/01122/index.html?lang=fr (tat: 23 fvrier 2012).
18/18
Piratage en 2007 et 2008 dun satellite dobservation amricain Selon un article du magazine Bloomberg Businessweek 17, des attaques rptes auraient t dceles en 2007 et en 2008 contre les systmes de gestion de deux satellites dobservation amricains. De tels satellites servent observer la terre, comprendre le climat et tablir des cartes. Les pirates auraient pris le contrle des oprations pendant plusieurs minutes. Bien quon ignore le droulement exact des oprations, il se peut que des donnes aient t falsifies. En thorie, il aurait t possible de modifier la trajectoire des satellites et mme de les faire scraser au sol. Proccupations pour la scurit du rseau du Dreamliner de Boeing Selon un rapport de la FAA 18, le raccordement au rseau du nouveau Dreamliner de Boeing soulve des questions de scurit. Apparemment, le rseau permettant aux passagers daccder Internet en vol serait reli physiquement au rseau de contrle et de navigation de lavion, qui gre les fonctions relevant de la scurit. Boeing a tenu prciser que le document de la FAA tait trompeur et que le rseau destin aux passagers ntait pas entirement reli aux autres rseaux. A la sparation physique des rseaux sajoutaient des logiciels pare-feu et dautres solutions ne pouvant tre voques sur la place publique. Mme sil serait concevable dchanger des donnes entre lesdits rseaux, les mcanismes de protection installs linterdisaient absolument, en vitant que le service Internet du passager puisse accder aux rseaux de contrle et de navigation. Toute liaison physique entre le rseau des passagers et le rseau de contrle de lavion rend le systme de contrle vulnrable aux cyberattaques. Boeing a reconnu le problme et souhaite tester et mettre en place une nouvelle solution. Les problmes rencontrs par les systmes SCADA ont une explication historique. Ctait lorigine des systmes propritaires et autonomes, fonctionnant en rseau ferm. A la rigueur, seul le fabricant pouvait y accder de lextrieur, via un modem composition automatique (dial-up modem), des fins de maintenance. Ces systmes ne comportent ds lors gure de fonctions de protection contre les attaques lectroniques. Or ces derniers temps, les systmes SCADA sont toujours plus en rseau, ils font appel des protocoles et des technologies standardiss, sont parfois accessibles via Internet, voire ont t reprs par des moteurs de recherche spciaux (voir moteur de recherche SHODAN au chapitre 3.9). Stuxnet a galement montr que mme un systme cloisonn ne suffit pas garantir la scurit. Ds lors que des donnes peuvent tre transfres, p. ex. via une cl USB, des maliciels risquent dy entrer clandestinement. La prsence de Stuxnet dans les mdias a veill lintrt de nombreux experts de la scurit pour les systmes de supervision industrielle et les solutions SCADA. Entre-temps, toute une srie de lacunes de scurit ont t identifies dans ces produits. Les recherches ont notamment montr des mthodes permettant de commander distance des systmes, den importer ou dy tlcharger toutes sortes de donnes, dy introduire et excuter des codes nuisibles, ou encore de les alimenter en fausses donnes auxquelles ils ragiront en donnant les commandes aberrantes voulues par les pirates.
17
18
http://www.bloomberg.com/news/2011-10-27/chinese-military-suspected-in-hacker-attacks-on-u-ssatellites.html (tat: 23 fvrier 2012). Federal Aviation Administration, autorit aronautique amricaine, http://www.faa.gov (tat: 23 fvrier 2012).
19/19
4.3 Anonymous
Le 27 juillet 2011, la police britannique a arrt sur larchipel cossais des Shetland un jeune homme de 19 ans, souponn dtre le porte-parole des groupes Anonymous et LulzSec. Dautres participants ce mouvement de cyberprotestation ont t interpells notamment aux Etats-Unis, en Grande-Bretagne, aux Pays-Bas, en Espagne et en Turquie. De telles arrestations sont chaque fois suivies dattaques diriges contre les sites Web des corps de police ou des gouvernements impliqus. Cest ce qui sest produit au dbut de juillet, aprs une action coordonne des polices italienne et tessinoise durant laquelle 15 personnes souponnes dactivisme ont t arrtes en Italie. De mme, un Italien de 26 ans considr comme le cerveau de la branche italienne dAnonymous a t arrt au Tessin o il rsidait. Le collectif Anonymous avait notamment attaqu les socits italiennes Eni, Finmeccanica et Unicredit. Dautres institutions comme la Poste italienne, le Snat, la Chambre des dputs ou le site du ministre-prsident Berlusconi taient dans son collimateur. Suite ce coup de filet, des cyberactivistes ont annonc avoir drob et publi sur Internet des donnes de serveurs de la cyberpolice italienne (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastructure Critiche, CNAIPIC). Cette autorit tatique est charge de la protection de lintgrit et du maintien de la disponibilit des infrastructures informatiques vitales en Italie. Le groupe Anonymous a beau avoir rejet, en la qualifiant de faux, une lettre dcrivant lopration comme une mesure de rtorsion, il semble y avoir un lien entre ces deux vnements. En juillet 2011 galement, des cyberactivistes ont signal stre introduits dans un serveur de lOTAN et y avoir copi de nombreux documents. A titre de preuve, ils ont publi deux documents PDF de 2007 et 2008. Le vol aurait t commis laide dune injection SQL. Une autre action a consist publier le nom, ladresse et la date de naissance de 25 000 politiciens autrichiens. Cette action visait dnoncer lobligation de conservation des donnes relatives aux communications lectroniques, instaure en avril 2011 en Autriche. Mais laction qui a eu le plus grand retentissement est sans aucun doute lattaque lance en fin danne contre les donnes de clients de lentreprise amricaine Strategic Forecast (Stratfor). Cette socit spcialise dans les analyses internationales de la scurit livre ses clients des rapports sur des enjeux brlants de la scurit gopolitique, comme le terrorisme, les bouleversements politiques ou les changements de pouvoir dans des pays spcifiques. Cette cyberattaque a permis de drober des fichiers dadresses lectroniques, des donnes dutilisateur, des mots de passe et des informations sur des cartes de crdit. Laction visait notamment effectuer, avec les donnes de cartes de crdit voles, des versements des organisations de bienfaisance et, par l, redistribuer plus dun million de dollars au profit duvres charitables. Or des paiements non autoriss ont galement t raliss laide des cartes de crdit. Les activistes ont dailleurs rendu un mauvais service aux organisations de bienfaisance de tels paiements gnrant de lourds frais administratifs pour toutes les parties. Dans un premier temps, Anonymous a revendiqu cette action baptise LulzXmas, avant que paraisse sur Internet, en son nom, un dmenti quAnonymous a par la suite dsavou. Enfin, un communiqu a expos les vraies raisons de lattaque, soit rvler les contacts entretenus avec les services secrets et lindustrie darmement. Des cyberactivistes du monde entier militent, sous la bannire Anonymous, pour un Internet libre et exempt de tout contrle tatique. Anonymous a beau dire et rpter tre un collectif de militants gaux en droits, quelques personnes y tiennent le rle de meneurs. Il sagit probablement dutilisateurs verss en informatique, qui motivent leurs troupes en leur rvlant des possibilits daction. Quiconque le souhaite peut y exercer cette fonction court terme aussi. Une analyse de la structure des membres figure au chapitre 5.2.
20/20
4.4 Un acteur tatique aurait espionn pendant des annes des systmes informatiques, dont ceux de lONU Genve et du CIO
Lentreprise de scurit McAfee a publi le 3 aot 2011 des informations relatives une attaque coordonne visant des entreprises, des autorits publiques et des organisations. Elle avait dcouvert sur un serveur de contrle appartenant aux pirates, grce une erreur de configuration, des fichiers journaux (log file) rpertoriant toutes les intrusions commises depuis 2006. Lanalyse de ces fichiers a permis de savoir qui ces agresseurs sen taient pris et combien de temps leurs attaques avaient dur. McAfee parle de lune des plus grosses affaires despionnage ce jour. Depuis 2006, 72 entreprises, organisations et gouvernements, dont le sige genevois des Nations Unies et le sige lausannois du Comit international olympique (CIO), ont t pis de manire systmatique. La plupart des rseaux pirats se trouvent toutefois aux Etats-Unis. Il sagit de socits de communication par satellite, dentreprises de scurit et mme dun fabricant de panneaux solaires. Aucun nom concret dentreprise na filtr. Des services gouvernementaux amricains, canadiens, indiens, vietnamiens et tawanais sont galement concerns. Quant la nature des renseignements drobs, lentreprise de scurit sest contente de dire que les informations pilles constitueraient une grave menace conomique, si elles devaient tomber entre les mauvaises mains. 19 Pour cette opration, les pirates ont utilis des mthodes dinfection traditionnelles, comme lenvoi de courriels cibls et des liens spcialement prpars. Leurs victimes ont reu des courriels personnaliss comportant de fausses adresses dexpditeur. Il suffisait dun clic sur le lien indiqu pour quun maliciel se charge et sinstalle. En outre, un canal aboutissant au serveur de contrle tait mis en place. Il semble probable quun acteur tatique soit lorigine de cette cyberattaque, tant donn labsence de march pour ce genre dinformations. Le fait que le serveur de contrle nait pas t mieux protg montre soit que les pirates ne sont pas non plus irrprochables dans la scurisation de leurs infrastructures, soit quils sen moquent parce quils ont assez dautres alternatives. Cette attaque despionnage rappelle une fois de plus lintrt durable quveillent les donnes et informations, et les pressions croissantes que subissent chaque jour les donnes sensibles. Tout indique que dautres rseaux despionnage sont en cours de mise en place, voire sont oprationnels sans avoir encore t dcouverts. Ainsi lenvoi de courriels cibls se poursuivra. Cest ce que montre p. ex. lattaque lance en juillet 2011 contre des entreprises darmement. En loccurrence, les escrocs ont adress des collaborateurs tris sur le volet des courriels formuls de manire professionnelle, qui annonaient une confrence de lInstitut amricain daronautique et dastronautique (AIAA). Ce document class secret invitait ses destinataires transmettre jusquau 30 juillet une contribution scientifique pour cette manifestation. 20 Les escrocs se rfrent frquemment une confrence dans leurs courriels de subversion psychologique. Rappelons que les multinationales ne sont pas seules vises par lespionnage conomique, mais que les petites et moyennes entreprises novatrices constituent des proies recherches.
19 20
http://www.spiegel.de/netzwelt/web/0,1518,778126-8,00.html (tat: 23 fvrier 2012). http://www.heise.de/security/meldung/Gezielte-Angriffe-auf-Ruestungskonzerne-dauern-an-1282837.html (tat: 23 fvrier 2012).

21/21
La Chine est rgulirement souponne dtre lorigine de ce genre doprations, ce que le gouvernement chinois dment chaque fois. En effet, il est difficile de dterminer sans hsitation possible les auteurs dune cyberattaque, dont les seules traces sont gnralement les adresses IP. Si une adresse IP vient de Chine, cela ne prouve pas pour autant que le pirate soit lui aussi chinois. Il est relativement ais de louer dans nimporte quel pays des serveurs pour lancer des attaques, seule fin de dissimuler le pays dorigine de lagression. Et mme si lattaque venait rellement de Chine, on ne sait pas pour autant qui en est linstigateur. Selon un article du Wall Street Journal les services secrets amricains ont identifi une vingtaine de groupes pirates chinois, dont maneraient la plupart des cyberattaques lances contre les Etats-Unis. 21 Mme si selon un rapport douze dentre eux communiquent avec lArme populaire de libration de Chine, il sera trs difficile de prouver que le gouvernement chinois ait ordonn les attaques. A cela sajoute que plusieurs Etats seraient en mesure de lancer de vastes oprations de cyberespionnage.
4.5 Cyberattaques diverses

Au deuxime semestre aussi, des oprations concertes de piratage et despionnage informatique ont t menes ou rendues publiques. La liste dexemples qui suit na aucune prtention lexhaustivit: Attaque despionnage contre la Chambre amricaine du commerce Selon le Wall Street Journal, des pirates chinois auraient amnag au moins six portes drobes dans le rseau informatique de la Chambre amricaine du commerce. Cest ainsi que lorganisation fatire de lconomie amricaine base Washington a peut-tre fait lobjet dun espionnage systmatique pendant des mois entiers. La faille de scurit a t dcouverte et comble ds mai 2010, mais ce nest quau premier semestre 2011 que lincident a t rendu public. 22 Nouvelle attaque visant les services en ligne de Sony Aprs lattaque lance au semestre prcdent contre des donnes de clients de Sony, des pirates se sont nouveau introduits, en octobre 2011, dans les comptes dutilisateurs des services en ligne PlayStation Network (PSN) et Sony Entertainment Network (SEN). Ils auraient ainsi accd 93 000 comptes, mais Sony les aurait verrouills et les donnes des cartes de crdit nauraient couru aucun danger. Contrairement au premier cas, lattaque navait pas t lance directement contre Sony: la tentative daccs aux comptes reposait sur des informations obtenues dune autre manire. Lexplication est simple: beaucoup dutilisateurs se servent du mme mot de passe pour plusieurs services, voire pour tous. Prvenus par courriel, les titulaires des comptes nont pu rutiliser leur compte qu lissue dun processus dauthentification. Sony sest engag rembourser les personnes lses, au cas o des achats auraient t raliss frauduleusement sur son rseau.
21
22
http://online.wsj.com/article_email/SB10001424052970204336104577094690893528130lMyQjAxMTAxMDEwMjExNDIyWj.html; voir aussi le rapport complet du service de contre-espionnage des Etats-Unis (Office of the National Counterintelligence Executive, NCIX): www.ncix.gov/publications/reports/fecie_all/Foreign_Economic_Collection_2011.pdf (tat: 23 fvrier 2012). http://www.spiegel.de/netzwelt/netzpolitik/0,1518,805052,00.html (tat: 23 fvrier 2012).
22/22
Cyberattaques contre des rseaux sud-corens Les donnes de 35 millions dinternautes ont t drobes lors dune cyberattaque mene en Core du Sud. Les autorits nationales ont rvl fin juillet que lagression manait dordinateurs ayant une adresse IP chinoise et avait pris pour cibles la plate-forme en ligne Nate et le rseau social Cyworld. Entre autres donnes obtenues illgalement figuraient des numros de tlphone, des numros de scurit sociale ainsi que des adresses lectroniques et des mots de passe. La police sud-corenne a expliqu que les investigations dureraient probablement plusieurs mois. 23
4.6 Dsactivation du rseau de zombies DNS-Changer

Une infection provoque par le maliciel DNS-Changer manipulait le systme DNS afin que le navigateur redirige leur insu les internautes sur des pages spcialement prpares, lorsquils voulaient consulter des sites Web populaires. Le FBI a arrt en novembre 2011 les administrateurs criminels de ce rseau de zombies. Les serveurs de noms de domaine (DNS server) pirats ont t remplacs par des serveurs fonctionnant correctement et grs par le FBI, pour viter toute nouvelle manipulation. Ces serveurs auraient d tre dconnects le 8 mars 2012, mais le FBI a prolong le dlai jusquau 9 juillet 2012. A partir de cette date, les ordinateurs infects ne pourront plus rsoudre de nom de domaine et les utilisateurs concerns ne pourront par consquent plus consulter de site Web. Do de srieux problmes prvoir, selon lusage fait de lordinateur. SWITCH 24 et les autorits allemandes ont conu des tests en ligne permettant chacun de savoir en un instant si son ordinateur a t infect par le maliciel DNS-Changer 25. Selon les informations dont dispose MELANI, le FBI aurait notamment identifi en une semaine 20 500 adresses IP suisses. Cela ne signifie pas quil y ait autant de systmes infects, car il sagit le plus souvent dadresses IP dynamiques. Des milliers dordinateurs suisses pourraient nanmoins tre infects par le maliciel DNS-Changer.
4.7 Chevaux de Troie des autorits de poursuite pnale

Le 8 octobre 2011, le Chaos Computer Club (CCC) 26 a dclar stre procur le cheval de Troie utilis par les autorits de poursuite pnale allemandes. Ce cheval de Troie sert aux enquteurs allemands surveiller la source les tlcommunications. Il intercepte les communications tlphoniques par Internet, soit les conversations par voice over IP (VoIP), avant leur cryptage au niveau de lmetteur ou aprs leur dcryptage chez le rcepteur. Dans la discussion qui a suivi, ce cheval de Troie a souvent t assimil tort aux programmes despionnage des services de renseignements et aux oprations de mise sur coute grande chelle. Or il faut bien se garder de confondre les bases juridiques applicables aux diffrents types dinterventions.
23
24 25 26
http://www.tagesanzeiger.ch/digital/internet/Hacker-greifen-suedkoreanische-Netzwerke-an/story/31054597 (tat: 23 fvrier 2012). http://www.dns-check.ch (tat: 23 fvrier 2012). http://www.dns-ok.de (tat: 23 fvrier 2012). http://www.ccc.de (tat: 23 fvrier 2012).
23/23
Le CCC a reproch aux autorits de poursuite pnale, aprs avoir analys leur cheval de Troie, de ne pas avoir limit ses fonctions lenregistrement des conversations, mais davoir aussi prvu des possibilits de lecture et de transmission des donnes enregistres sur lordinateur. Il tait ainsi possible de connatre le contenu du navigateur Web laide de captures dcran. En outre, une possibilit daccs distance permettait de tlcharger toutes sortes de fonctions. Le CCC a galement critiqu le mode de cryptage: la communication sortante faisait lobjet dun simple cryptage symtrique, la communication entrante tant dpourvue de tout cryptage. Ce nest pas anodin, car apparemment les donnes et les instructions ne sont pas traites sur des serveurs allemands, mais sur des serveurs trangers. Le cheval de Troie comporterait en outre des failles de scurit dont des tiers seraient susceptibles de tirer parti pour accder eux-mmes lordinateur surveill. En Suisse aussi, lincident a lanc un dbat sur lutilisation de chevaux de Troie par les autorits de poursuite pnale. La Police judiciaire fdrale y a recouru dans quatre cas trois fois dans la lutte contre le terrorisme, une fois contre le crime organis. Le canton de Zurich sest servi dans au moins un cas dun cheval de Troie contre des trafiquants de drogue 27. En apprenant lexistence de ce cheval de Troie, le parti pirate suisse a saisi le Ministre public de la Confdration dune plainte contre lutilisation de logiciels despionnage dans la lutte contre le terrorisme et le crime organis. Le Ministre public de la Confdration a toutefois refus dentrer en matire. 28 Avant mme lre dInternet, les autorits de poursuite pnale pouvaient dj couter les conversations tlphoniques de personnes suspectes, avec lautorisation dun juge. Les fournisseurs de services de tlcommunication ont en effet lobligation lgale de laisser les autorits de poursuite pnale pratiquer cette forme de surveillance. 29 Lessor de technologies de communication alternatives confronte les autorits de poursuite pnale de nouveaux dfis. A linstar de la tlphonie par Internet (p. ex. Skype), o il ny a plus doprateur tlphonique classique pour acheminer les conversations par le rseau. La communication sy fait de manire crypte, et la surveillance nest possible quaux terminaux. La procdure pnale autorise lusage de dispositifs techniques des fins de surveillance. 30 Dans le cas de la tlphonie par Internet, il peut sagir dun programme qui sinfiltrera dans lordinateur de la personne suspecte, afin dy surprendre la communication avant son cryptage et de la transmettre aux autorits de poursuite pnale. Les bases juridiques actuelles 31 sont-elles suffisantes en Suisse pour ce genre de surveillance? La jurisprudence et les milieux politiques sont diviss sur la question. 32 Dautant plus que lors des dbats, les confusions sont frquentes entre poursuite pnale et service de renseignements, entre surveillance tlphonique et perquisitions en ligne dordinateurs. Dune part, il sagit dexaminer sous langle du droit les entits impliques et les diverses mesures en place. Dautre part, il convient de limiter les fonctionnalits des logiciels aux interventions admises, ainsi que dexclure toute modification de ces fonctions ou tout abus des mthodes prvues. Il nest pas acceptable quun logiciel dcoute dment
27
28
29
30 31
32
http://www.nzz.ch/nachrichten/politik/schweiz/trojaner_im_fall_stauffacher_eingesetzt_1.12994241.html (tat: 23 fvrier 2012). http://www.aargauerzeitung.ch/schweiz/anzeige-der-piratenpartei-zu-spionage-software-bleibt-ohne-folgen115718001 (tat: 23 fvrier 2012). Voir la loi fdrale du 6 octobre 2000 sur la surveillance de la correspondance par poste et tlcommunication (LSCPT): http://www.admin.ch/ch/f/rs/c780_1.html (tat: 23 fvrier 2012) et son ordonnance http://www.admin.ch/ch/f/rs/c780_11.html (tat: 23 fvrier 2012). Art. 280 du code de procdure pnale suisse: http://www.admin.ch/ch/f/rs/312_0/a280.html. er Le code de procdure pnale suisse nest en vigueur que depuis le 1 janvier 2011. Jusque-l, chaque canton ainsi que la Confdration avaient leur propre droit de procdure. Lusage de logiciels de surveillance nest possible en Suisse que dans le cadre dune poursuite pnale. Les services de renseignement ne sont pas autoriss sen servir titre prventif.
24/24
autoris pour enregistrer les conversations VoIP permette aussi, p. ex., de faire des captures dcran ou dintercepter des courriels. La situation devient rellement problmatique si lon ne peut exclure tout risque que des tiers non autoriss prennent connaissance des donnes collectes, voire procdent des manipulations des logiciels utiliss. Car la scurit doit primer en cas de recours ce genre de moyens. Il convient de rappeler enfin la prsence dobstacles de taille une surveillance tlphonique normale, voire une surveillance de la tlphonie par Internet: en Suisse, elle nentre en ligne de compte quavec lautorisation dun juge, pour certains dlits graves et si les mesures prises jusqualors dans le cadre de linstruction sont restes sans succs ou les recherches nauraient aucune chance daboutir ou seraient excessivement difficiles en labsence de surveillance. 33 Le principe de proportionnalit doit tre respect ici, comme chaque atteinte aux droits fondamentaux.
4.8 Ventes de logiciels de surveillance et dinvestigation montres du doigt par WikiLeaks

WikiLeaks a commenc publier le 1er dcembre 2011, en collaboration avec de grands journaux du monde entier, des documents censs prouver que les solutions de scurit, de surveillance et dinvestigation informatique ne sont pas seulement vendues aux Etats dmocratiques, mais que de juteuses affaires sont galement conclues avec des Etats bafouant le droit. La grande majorit de ces documents sont des brochures de vente, des prsentations publiques et des listes de prix dune centaine de socits spcialises dans les solutions globales de scurit, la scurit TIC et linvestigation informatique, dont DigiTask et Siemens en Allemagne, FoxIT aux Pays-Bas, Dreamlab Technologies SA en Suisse et Hewlett Packard aux Etats-Unis. Des documents rendus publics aprs la chute de plusieurs rgimes du monde arabe ont rvl lexistence doffres concrtes, soumises par certaines de ces entreprises aux anciens potentats. Aprs la chute du gouvernement gyptien, on a ainsi appris que le groupe angloallemand Gamma avait vant ses produits au rgime Moubarak. En Libye, le gouvernement Kadhafi aurait utilis pour son Public Safety System and Passport Network les solutions sur mesure de la socit franaise Amesys. 34 La Syrie emploierait elle aussi des logiciels de surveillance dvelopps par des entreprises TIC occidentales. Outre un logiciel du fabricant allemand Utimaco, qui relie les lignes tlphoniques sous coute aux ordinateurs de son centre de surveillance, des logiciels darchivage de messagerie de la socit amricaine NetApp y sont utiliss. Quant aux techniques de surveillance des rseaux de communication, elles proviendraient de la socit franaise Qosmos. Aucun de ces fabricants naurait toutefois directement approvisionn la Syrie. 35 Dans ce nouveau scoop, WikiLeaks et divers groupes de dfense de la libert de linformation rappellent quun tel transfert technologique au profit dEtats non dmocratiques est non seulement rprhensible sur le plan moral et thique, mais quen plus la participation fournie la surveillance et donc loppression de la population de ces pays a cot des vies humaines. Il est vrai quils dnoncent de manire gnrale la vente de tels produits aux autorits de poursuite pnale, aux services de renseignement et aux armes des pays occidentaux. WikiLeaks souligne clairement dans son ditorial que lusage de telles solutions
33 34
35
Art. 269 du code de procdure pnale suisse: www.admin.ch/ch/f/rs/312_0/a269.html (tat: 23 fvrier 2012). http://online.wsj.com/article/SB10001424053111904199404576538721260166388.html (tat: 23 fvrier 2012). http://www.bloomberg.com/news/2011-11-03/syria-crackdown-gets-italy-firm-s-aid-with-u-s-europe-spygear.html (tat: 23 fvrier 2012).
25/25
de surveillance des TIC et le march qui en rsulte sont fondamentalement destructeurs, et quil manque des dispositions lgales permettant de contrler de telles armes numriques. Les entreprises critiques par WikiLeaks sont actives dans la surveillance informatique et la sauvegarde des donnes (computer forensics, lawful interception, data retention; voir aussi chapitre 5.3). Il est rvlateur que les documents publis sous ltiquette Spy Files ne concernent que des fournisseurs occidentaux. On ny trouve pas une seule mention des entreprises asiatiques montantes dont les programmes sont destins une surveillance totale, des missions de renseignement ou plus gnralement la scurit intrieure, et qui se sont spcialises dans lidentification des utilisateurs, dans les mesures de censure et la surveillance des rseaux sociaux ou des liaisons cryptes (HTTPS). Or ces nouveaux venus sur le march de la scurit nont gure de scrupules vendre des logiciels de scurit aux Etats intresss, sans se soucier de lordre public qui y rgne.
26/26
4.9 Stratgies et exercices

Nouvelle stratgie europenne pour la scurit des rseaux LUnion europenne a annonc pour lanne prochaine une grande stratgie europenne pour la scurit des rseaux europens. Une lettre aux ministres comptents des Etats membres invite dans un premier temps passer en revue les capacits de scurit de chaque pays. LUE estime devoir renforcer son action politique dans ce domaine et entend confrer lAgence europenne charge de la scurit des rseaux et de linformation (ENISA) 36 un rle-cl dans llaboration de sa stratgie. 37 Exercice de cyber-crise allemand Le 30 novembre et le 1er dcembre 2011, le Ministre fdral de lintrieur dAllemagne a test pour la premire fois la gestion dune crise nationale dclenche par des cyberattaques, avec les Lnder de Hambourg, Thuringe, Saxe, Hesse et Basse-Saxe notamment. Lopration sest droule dans le cadre de lexercice LKEX (Lnder bergreifende Krisenmanagement-bung/EXercise), organis tous les deux ans sur un thme diffrent afin dentraner la collaboration entre plusieurs services fdraux, les tatsmajors de crise des Lnder ainsi que des entreprises choisies. Le scnario imagin cette anne a confront les tats-majors de crise de lEtat fdral et des Lnder une srie dincidents affectant tant les administrations que le secteur priv (attaques massives de pourriels, programmes malveillants, saturation intentionnelle des systmes). Au total, 2500 personnes provenant de douze Lnder se sont prtes au jeu. Lexercice visait tester la coordination entre lEtat fdral et les Lnder en matire danalyse des causes des attaques informatiques, ainsi que les mesures de prvention aux chelons tant politique quadministratif. En outre, il sagissait de vrifier la coordination des mesures de protection de la population et des rseaux tant commerciaux qutatiques, de mme que la collaboration entre les organisations publiques et non gouvernementales, lchelon fdral comme dans les Lnder. Lexercice fera lobjet dune valuation dtaille au cours des prochains mois, avec tous les participants. Le but est doptimiser la planification de crise et les processus de gestion. 38 La Suisse, reprsente en particulier par des acteurs de la chancellerie fdrale et de la Stratgie nationale pour la protection de la Suisse contre les risques cyberntiques, participait avec un statut dobservateur lexercice LKEX. Des exercices de conduite stratgique similaires LKEX sont raliss en Suisse. Le prochain aura galement pour thme une attaque cyberntique contre la Suisse. Le Conseil fdral veut pouvoir vrifier la stratgie nationale de dfense cyberntique et, notamment, son concept dapplication. Lexercice se droulera en quatre parties, entre septembre 2012 et mai 2013. Il est destin
36 37
38
http://www.enisa.europa.eu (tat: 23 fvrier 2012). http://www.heise.de/security/meldung/Neue-EU-Strategie-fuer-Sicherheit-in-den-Netzen-angekuendigt1394814.html (tat: 23 fvrier 2012). Communiqu de presse du Ministre fdral de lintrieur dAllemagne: http://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2011/12/luekex.html?nn=109632 (tat: 23 fvrier 2012). Aperu des exercices prcdents: https://www.bsi.bund.de/DE/Themen/IT-Krisenmanagement/ITKrisenreaktionszentrum/Uebungen/Beispiele/beispiele_node.html (tat: 23 fvrier 2012).
27/27
aux tats-majors de crise des dpartements fdraux ainsi qu dautres organes ad hoc au sein de ladministration fdrale. 39 Cyber Atlantic Le premier exercice conjoint de cyber-scurit entre lUE et les Etats-Unis a t ralis le 3 novembre 2011 Bruxelles. Dune dure dun jour, cet exercice sur table intitul Cyber Atlantic 2011 avait pour but de dterminer comment lUE et les Etats-unis coopreraient en cas de cyberattaques sur leurs infrastructures dinformation critiques. Deux scnarios prvoyaient une cyberattaque furtive et cible (advanced persistent threat, APT) et une perturbation dun systme SCADA dans le secteur nergtique. Plus de 20 Etats membres de lUE ont t impliqus dans cet exercice, dont seize activement. Cyber Atlantic 2011 sinscrit dans le cadre dun engagement de lUE et des Etats-Unis en matire de cyberscurit, dclar le 20 novembre 2010 au sommet de Lisbonne. 40 La Suisse a particip, avec le statut dobservateur, lexercice Cyber Atlantic 2011, qui lui a permis dacqurir des connaissances utiles pour la coordination internationale des efforts en cas de cyberincident.
Figure 10: Logo de Cyberatlantic 2011.
39 40
http://www.news.admin.ch/message/index.html?lang=fr&msg-id=43517 (tat: 23 fvrier 2012). http://www.enisa.europa.eu/media/press-releases/le-premier-exercice-conjoint-de-cyber-securite-entre-lueet-les-etats-unis-a-ete-realise-aujourdhui-le-3-novembre-2011 (tat: 23 fvrier 2012).

28/28
5 Analyses approfondies et tendances

5.1 SmartGrid et domotique
Comme indiqu aux chapitres 3.9 et 4.2, les systmes SCADA (supervisory control and data acquisition) servent essentiellement la gestion des centrales lectriques ou des systmes de transport, mais semploient toujours plus dans les maisons, les bureaux ou les htels, des fins de gestion du chauffage, de la climatisation et des stores. Des logiciels dapplication (app) permettent mme de commander les installations rcentes partir de tablettes tactiles et de smartphones. Le dsir de sen servir non seulement dans le rseau local protg, mais de partout via Internet est bien lgitime. Dans les appartements de vacances notamment, un systme de commande distance est pratique, p. ex. pour enclencher le chauffe-eau ou rendre la temprature agrable avant son arrive, ou simplement pour contrler distance que la cuisinire et toutes les lumires aient t teints et que le chauffage fonctionne de manire irrprochable. Or l aussi, il faut penser aux questions de scurit. Les systmes sont directement relis Internet, et donc encourent en principe les mmes risques que les systmes informatiques. Comme indiqu au chapitre 3.9, diverses installations de commande dhtels ou dentreprises relies Internet avaient conserv leur mot de passe dorigine, par ngligence de leur propritaire. Do la possibilit pour des tiers dy accder et den prendre le contrle. Ce qui parat anodin premire vue peut avoir de graves consquences, p. ex. si une personne malveillante coupe le chauffage en plein hiver dans une maison vide, voire dsactive le systme dalarme gr par un systme domotique. Les contacts avec les systmes SCADA se dvelopperont dans un autre secteur galement. Les bouleversements lis la sortie long terme du nuclaire obligeront les entreprises dapprovisionnement nergtique rechercher des possibilits de garantir la stabilit nergtique, au fur et mesure que lnergie de bande dorigine nuclaire se rarfiera et que lapport irrgulier de courant olien ou solaire augmentera. Les rseaux de distribution intelligents (smart grid) aideront rsoudre le problme. Dans un premier temps, il sagira de dtecter la consommation dnergie directement auprs du consommateur, afin daccrotre la stabilit du systme. Ces donnes seront transmises une centrale. Alors quune part importante de la consommation de courant fait encore lobjet destimations et de valeurs empiriques, il deviendra possible de la cerner prcisment et de garantir une meilleure stabilit du systme. Or si ces donnes devaient tomber entre les mauvaises mains ou un compteur lectrique intelligent (smartmeter) tre pirat, une personne mal intentionne pourrait p. ex. dterminer, partir de la consommation de courant, si le propritaire des lieux est chez lui et mme manipuler sa facture. Dans un second temps, des appareils comme les lave-vaisselle ou les lave-linge pourraient tre relis au smart grid et contrls par lui. Ainsi, le consommateur final signalerait la centrale quil souhaite enclencher son lave-linge. La centrale de commande dciderait du moment le plus opportun pour le mettre en marche. Il est bien clair quun tel systme doit tre soigneusement protg, car de fausses manipulations pourraient entraner, le cas chant, de graves pannes de courant. Dans le pire des cas, lapprovisionnement nergtique risque un effondrement complet.
29/29
5.2 Anonymous avantages et inconvnients dune structure ouverte

Anonymous a refait parler de lui ces derniers mois, lors de diverses oprations menes dans le cyberespace. Sur la liste de ses victimes figurent de prestigieuses entreprises, linstar de Sony, de la Bank of America ou de la socit de scurit Stratfor (voir chapitre 4.3), et mme des organisations criminelles comme la mafia mexicaine de la drogue Los Zetas. En Suisse cest surtout lopration Payback (en fran. reprsailles) qui a fait des vagues. Mme Postfinance en a fait les frais, lors dune cyberattaque motive par le blocage du compte de Julian Assange, fondateur de WikiLeaks. Or qui se cache derrire Anonymous et ces attaques? Selon de nombreux tmoignages, Anonymous nest pas une organisation ou un groupe proprement parler, dot de statuts, dun rglement daffiliation et de cotisations payer. Anonymous reprsente plutt une ide ou un mode de vie 41. Aucune forme spciale de soutien nest exige, chaque anon faisant ce qui lui parat juste. Lavantage dune telle dfinition est que les inhibitions rejoindre Anonymous sont faibles et quainsi, des meneurs peuvent tirer parti dun mouvement dhumeur contre une entreprise ou un pays, avant mme que les participants de telles actions nen aient mesur les consquences. Mais ce genre de structure nest pas sans danger notamment pour la cohrence du mouvement. Comme chaque anon dcide lui-mme de ce quil considre appropri, il arrive que soient annonces ou ralises des actions auxquelles ne souscrivent pas la majorit, a fortiori la totalit des membres dAnonymous. Un exemple illustre bien ce risque de drive. Anonymous avait annonc son intention dattaquer Facebook le 5 novembre 2011 pour quun maximum dutilisateurs tournent le dos Facebook. 42 Les mdias en ont abondamment parl pourtant il ne sest rien pass le 5 novembre. Lannonce a lanc un vaste dbat non seulement dans la presse, mais aussi dans les rangs dAnonymous. Dautres anons y ont vu les divagations dun loup solitaire et ont qualifi le projet dimaginaire, alors mme quil y avait de bonnes raisons aux yeux dAnonymous de lancer une telle opration. Le nom de lauteur du projet a ensuite t publi, mesure constituant le pire chtiment au sein dAnonymous. 43 Les justifications, les dmentis et les contre-dmentis se sont galement enchan lors de lattaque visant Stratfor. Alors que dans un premier temps Anonymous avait revendiqu laction appele LulzXmas et invit faire des versements de bonnes uvres laide des donnes des cartes de crdit drobes, un dmenti a bientt circul dans Internet au nom dAnonymous, avant dtre lui-mme dmenti. Selon un communiqu ultrieur, lattaque visait rvler les contacts nous avec les services secrets et lindustrie darmement. 44 Le cas Stratfor met en lumire un aspect moins reluisant: des criminels mus par des mobiles purement financiers et sans visions gnreuses se servent dAnonymous comme dun cran de fume pour masquer leurs agissements. Les donnes des cartes de crdit nont pas seulement servi transfrer un million de dollars des organisations charitables. Elles ont aussi t publies en ligne, o elles taient librement accessibles tous les criminels (et au reste du monde) et utilisables toutes sortes de fins.
41
42 43 44
http://www.format.at/articles/1131/524/303276_s1/format-chat-anonymous-mitglied-tvxor (tat: 23 fvrier 2012). https://www.taz.de/!81221/ (tat: 23 fvrier 2012). http://www.golem.de/1111/87543.html (tat: 23 fvrier 2012). http://www.n-tv.de/technik/Hacker-Angriff-gibt-Raetsel-auf-article5086791.html (tat: 23 fvrier 2012).
30/30
Les liens informels au sein dAnonymous se sont traduits par une srie de cyberattaques non coordonnes, plus ou moins spectaculaires. Comme la structure dAnonymous ne prvoit ni affiliation ni porte-parole officiel, et que personne ne porte la responsabilit densemble de ce mouvement, un chacun peut en principe lancer des attaques ou publier des communiqus au nom dAnonymous. Il est par consquent vain de discuter, aprs une cyberattaque ou la publication de donnes, pour savoir sil sagit ou non dAnonymous. Et les lettres de revendication ou les dmentis nont gure de valeur probante non plus.
5.3 Bonne et mauvaise surveillance dInternet

Lanalyse qua faite le Chaos Computer Club du cheval de Troie appartenant aux autorits de poursuite pnale allemandes, y c. la publication de toutes ses fonctionnalits, a soulev des dbats anims sur son utilisation possible non seulement en Allemagne, mais en Suisse aussi. En outre, WikiLeaks a commenc publier, le 1er dcembre 2011, toutes sortes de documents censs prouver que des entreprises de scurit prives vendaient des solutions TIC des Etats autoritaires bafouant les droits de lhomme. Beaucoup de ces solutions, qui relvent de linterception lgale (lawful interception) et de linvestigation informatique, permettent aux autorits dcouter ou denregistrer les conversations des citoyens par Internet ou tlphone mobile, ou despionner les donnes enregistres sur leurs ordinateurs. Le vieux dbat relanc cette occasion met en lumire un rel problme li Internet, la socit en rseau et aux TIC. Lapparition de possibilits sans cesse nouvelles de communiquer, dchanger des informations ainsi que de consulter des donnes en tout temps et de partout, nest pas sans consquences: les mesures prises des fins de localisation et dacquisition de linformation et, plus gnralement, le travail des autorits nationales de scurit deviennent dautant plus compliqus. Cette volution implique par exemple, si un juge a ordonn lcoute des communications par Skype, lusage de solutions informatiques comme des programmes trangers sur lordinateur des suspects. Les Etats menant une politique rpressive lgard des opposants politiques nont pas tard ragir lessor des possibilits de communication tant nationales quavec ltranger, en renforant leurs contrles centraliss sur les rseaux internes et sur les liaisons internationales. A cet effet, ils utilisent en partie les mmes produits ou solutions informatiques que les Etats de droit respectueux des individus. La raison tient ce que sur le plan technique, tant Internet que les ordinateurs et les rseaux fonctionnent partout de la mme manire, et donc les solutions mises au point peuvent servir dans nimporte quel pays, indpendamment du contexte juridique. Les produits informatiques ne sont soumis aucun contrle des exportations sur le plan juridique, hormis certaines restrictions frappant le commerce des solutions de cryptage. Une telle mesure serait dailleurs difficilement ralisable. Dune part, les solutions logicielles montres du doigt par WikiLeaks sont presque toujours des biens double usage (dual use items), dautre part elles consistent en code de programme et peuvent donc tre transfres en tout temps dun endroit lautre, faute dexistence physique. Ironie du sort, un rgime dexportation obligerait un contrle systmatique dInternet et des flux de donnes. Comme toutes sortes doprations se font toujours plus en ligne, les autorits tatiques charges de la scurit sont logiquement la recherche de solutions informatiques sous une forme ou lautre. Cest pour elles lunique manire de continuer remplir leur mission dans le cadre de lEtat de droit. Il nexiste certes pas de ligne de sparation nette indiquant partir de quand lemploi de telles solutions est illgal selon la conception occidentale de lEtat. Mais chaque pays est libre ddicter, pour sa propre industrie des TIC, des rgles contraignantes sur le ngoce des solutions informatiques, ainsi que de prciser dans sa lgislation dans quels cas ses autorits peuvent recourir de tels produits. En Suisse, les travaux correspondants ont dj t entrepris voire mens terme, lors de la rvision de la
31/31
loi fdrale sur la surveillance de la correspondance par poste et tlcommunication (LSCPT) 45 et dautres lois.
5.4 Scurit lre de la communication mobile comment protger son smartphone?

Selon les dernires statistiques 46, plus de quatre millions de tlphones mobiles sont utiliss en Suisse, dont 1,5 million de smartphones 47. Deux systmes dexploitation dominent le march, au niveau mondial comme en Suisse: prs dun appareil sur deux vendu en Suisse est quip diOS dApple, alors quAndroid de Google dtient 27 % du march. Ces deux systmes dexploitation sont galement les plus rpandus parmi les tablettes tactiles. On observe dans ce contexte une convergence croissante entre les systmes dexploitation des appareils mobiles et les systmes dexploitation classiques des ordinateurs de bureau (desktop). Il suffit de penser au nouveau systme dexploitation Mountain Lion dApple, qui renferme diverses fonctions diOS, ou Windows 8, dont linterface graphique sera identique au bureau et en version mobile 48. Ces statistiques montrent quon est actuellement dans une phase transitoire, o les systmes desktop sont repris par les systmes mobiles. Une analyse diOS et dAndroid aidera mieux comprendre quel en est lenjeu pour la scurit: Le systme dexploitation dApple est un systme propritaire, ne fonctionnant que sur le matriel de cette socit. A moins davoir manipul son iOS 49, un utilisateur peut installer uniquement des applications provenant de liTunes-Store, ou la rigueur des applications internes 50, condition de participer au programme pour dveloppeurs iOS en entreprise. En effet, chacun peut laborer des applications pour le systme iOS. Avant toute mise sur le march 51, elles doivent dabord avoir t analyses et acceptes par Apple. Les applications porteront ensuite la signature dApple et seront proposes dans liTunes-Store. Lutilisateur nest toutefois pas habilit consulter les droits confrs une application. Le systme Android repose sur une plate-forme libre (open source) utilisant un noyau Linux, et convient au matriel de nimporte quel fabricant. Les applications sont principalement distribues par Google Play Store (Avant il sapplelait Android Market 52) un clic suffit pour leur installation partir de nimporte quel site 53. Tout un chacun peut galement dvelopper des applications pour Android. A la diffrence dApple, il nest pas prvu de processus dexamen, et le dveloppeur signe lui-mme ses applications. Lutilisateur final peut consulter les droits de lapplication ( condition de passer du site Google Play Store; il est caractristique que les
45 46 47
48
49 50
51 52 53
http://www.admin.ch/ch/f/rs/c780_1.html (tat: 23 fvrier 2012). http://weissbuch.ch/wb11press.html (tat: 23 fvrier 2012). Un smartphone est un tlphone mobile dot de fonctions avances comme la navigation Web ou le traitement des donnes personnelles. Les autres tlphones mobiles modernes ne disposent que de quelques fonctions supplmentaires (feature phone). Do leur moindre complexit. Le prochain systme dexploitation Windows 8 Metro semble avoir renonc au bouton Dmarrer cher aux utilisateurs de Microsoft: http://arstechnica.com/microsoft/news/2012/02/discoverability-windows-8-and-the-disappearance-of-thestart-button.ars (tat: 23 fvrier 2012). Dans lunivers iOS, lopration porte le nom de jailbreaking (dbridage). Une entreprise peut p. ex. mettre au point son propre App Store laide du programme iOS Developer Enterprise: https://developer.apple.com/programs/ios/enterprise/ (tat: 23 fvrier 2012). https://developer.apple.com/appstore/guidelines.html (tat: 23 fvrier 2012). Le Android Market a t modifi en Google Play le 7 mars 2012 Cette procdure porte le nom de sideloading, ou transfert local direct.
32/32
applications installes sur les smartphones ne signalent pas directement les droits requis). Symantec a rcemment publi un rapport 54 sur la manire dont les deux systmes dexploitation sy prennent pour garantir la scurit de lutilisateur final. Ce rapport sarticulait en cinq grands points: 1. Contrle traditionnel des accs: besoin p. ex. dun mot de passe pour accder au tlphone, ou possibilit pour lappareil de refuser tout accs aprs un certain temps dinactivit. 2. Provenance des applications: la signature numrique fait principalement foi ici. 3. Cryptage: cryptage des donnes en cas de vol ou perte de lappareil. 4. Bac sable (sandboxing): tentative disoler les applications afin quelles naient accs quaux processus requis et ne puissent modifier le systme. 5. Droits des applications: les applications nobtiennent que les droits dont elles ont absolument besoin pour remplir leurs fonctions. Selon le rapport de Symantec, les diffrences entre les systmes sont frappantes. Elles tiennent essentiellement la provenance des applications. Les deux philosophies diffrent radicalement ce sujet. Apple assume la responsabilit 55 des applications installer, sur le plan de la scurit. Le modle open source dAndroid permet par contre aux utilisateurs dinstaller nimporte quelle application, mais ni leur fonctionnement ni les droits requis ne sont soumis des contrles approfondis et des restrictions svres. Il suffit de se rendre sur lAndroid Market pour trouver ds la premire page des jeux qui exigent des autorisations superflues pour fonctionner. A linstar p. ex. du droit denvoyer ou recevoir des SMS, de faire des tlphones ou daccder aux donnes personnelles enregistres sur lappareil 56. Autre point sensible, la protection contre les maliciels offerte par les appareils mobiles diffre considrablement de celle qui nous est familire par les ordinateurs de bureau. Do la ncessite de revoir entirement la protection des appareils mobiles, ou de reprendre les bonnes vieilles solutions des systmes desktop: Antivirus: Le systme dexploitation des appareils mobiles nest pas quip par dfaut dune protection antivirus. Sur iOS, seul Apple est en mesure doffrir une telle protection, car un antivirus devrait avoir accs toutes les applications, ce qui nest pas le cas des applications installes. Elles en sont empches par un bac sable (sandboxing) et parce que les droits sont cds de manire restrictive. Sur Android, les seuls antivirus efficaces sont payants. Lapplication gratuite de Creative Apps a beau tre lantivirus le
54
55
56
http://www.symantec.com/podcasts/detail.jsp?podid=b-a-window-into-mobile-device-security (tat: 23 fvrier 2012). Dans un cas au moins, rvl par le chercheur amricain Charlie Miller, il a t possible de dsactiver le dispositif de scurit de lApp Store et dy publier une application potentiellement dangereuse: http://www.forbes.com/sites/andygreenberg/2011/11/07/iphone-security-bug-lets-innocent-looking-apps-gobad/ (tat: 23 fvrier 2012). Un exemple intressant vient dUloops, application permettant de composer des morceaux de musique. Dans la prsentation quils en donnent, les dveloppeurs signalent que cette application a accs au statut tlphonique et lidentit. Elle peut ainsi importer des informations comme le numro de srie du tlphone, le modle et la marque, le nom dutilisateur, le mot de passe et ladresse lectronique, sans oublier quantit de donnes personnelles. https://market.android.com/details?id=net.uloops.android&feature=featuredapps#?t=W251bGwsMSwxLDIwMywibmV0LnVsb29wcy5hbmRyb2lkIl0 (tat: 23 fvrier 2012).
33/33
plus rpandu, elle naurait reconnu aucun des 172 virus tests selon une tude ralise par AVTest 57. Pare-feu: A ce jour, aucune tude na t consacre aux pare-feu des appareils mobiles. Mises jour du systme dexploitation et des applications: seuls Apple et quelques fabricants de matriel proposant Android fournissent des mises jour rgulires pour les appareils dont le systme dexploitation na pas t modifi (donc sans dbridage [jailbreak] ni ajustement de la mmoire morte [ROM]). La plupart des producteurs de matriel utilisant Google ne sont pas en mesure doffrir cette prestation. Par consquent, les ventuelles lacunes de scurit persisteront jusqu ce que lutilisateur ait achet un nouvel appareil.
Lutilisateur est ainsi confront un dilemme: soit il dcide de faire confiance Apple et de faire partie dun systme ferm 58 noffrant gure de libert, soit il opte pour un systme open source avec ses avantages et inconvnients 59, son caractre ouvert et son peu de restrictions.
5.5 Consquences des attaques de fournisseurs de services de certification 60

Lusage en toute scurit de systmes de chiffrement cl publique (cryptographie cl publique) repose chaque fois sur la scurit offerte par les CSP et les PKI 61. Par consquent, la scurit des CSP et des PKI est un thme dont les techniciens de la scurit se sont toujours occups. Ils sintressent en particulier des scnarios qui comportent des certificats falsifis (via des failles de la rsistance aux collisions des fonctions de hachage cryptographique 62), ou qui se basent sur lutilisation abusive de certificats de signature de code. Dans le second cas, comme la montr le ver Stuxnet, un tel certificat permet p. ex. dintroduire des maliciels dans un systme dexploitation, sous forme de logiciels de pilotage porteurs dune signature numrique. Or les rcentes attaques contre des CSP ont rvl que le piratage dun CSP dans le but dmettre de faux certificats reprsente une relle menace. Il devient possible de lancer des attaques MITM (man-in-the-middle, attaque de lintermdiaire) de grande envergure, avec de faux certificats pour serveur SSL/TLS. Il aura ds lors le contrle complet des donnes transmises, quil dcryptera volont pour en prendre connaissance. Lmission comme dans les cas tudis ici de faux certificats amne un double constat:
57
58
59
60
61 62
http://www.av-test.org/fileadmin/pdf/avtest_2011-11_free_android_virus_scanner_english.pdf (tat: 23 fvrier 2012). Outre les avantages et inconvnients respectifs de larchitecture iOS et du modle de march, il convient de signaler dautres surprises, comme lenvoi des coordonnes GPS. Ces donnes sont transmises Apple lors de chaque copie de scurit, linsu de lutilisateur: http://www.wired.com/gadgetlab/2011/04/appleiphone-tracking/ (tat: 23 fvrier 2012). Mme dans ce cas, dautres facteurs que larchitecture et le modle de march doivent tre pris en compte. Android laisse aux fournisseurs de services Internet la possibilit de modifier le systme oprationnel ou dinstaller des applications avant la mise en vente. Cela vaut p. ex. pour un logiciel dvelopp par Carrier IQ, install par dfaut sur certains appareils Android. Il enregistre en dtail le comportement des utilisateurs et communique ces informations son concepteur: http://androidsecuritytest.com/features/logs-andservices/loggers/carrieriq/ (tat: 23 fvrier 2012). Extrait du rapport technique du mme nom tlchargeable sous http://www.melani.admin.ch/dokumentation/00123/01132/index.html?lang=fr En ce sens, les CSP et les PKI sont le talon dAchille de la cryptographie cl publique. Ce point est approfondi p. ex. dans les considrations technologiques du 4 aot 2010 intitules Technologiebetrachtung: Kollisionsresistenz und Brechung kryptografischer Hashfunktionen : http://www.isb.admin.ch/themen/sicherheit/00530/01276/index.html?lang=de
34/34
Premirement, tous les mcanismes en place de rvocation de certificats fonds sur des listes noires (interrogation dune CRL et/ou requtes OCSP) sont impuissants face de tels certificats. Un faux certificat (c.--d. mis de faon illgitime) nest pas ncessairement identifiable comme tel. Pour cela, il faudrait tre en mesure de distinguer les certificats autoriss (c.--d. mis lgitimement) des autres. Deuximement, il est apparu que le modle de confiance (centralis et hirarchis) bas sur la recommandation UIT-T X.509 pose problme. Car si dans ce modle un CSP ou une autorit de certification racine (Root CA) sont compromis, toutes les entits se rfrant cette CA en font les frais (au pire des cas tous les internautes). Du point de vue de la scurit, tout le monde est log la mme enseigne et la probabilit quune Root CA soit compromise est proportionnelle la longueur de la liste.
Les remarques qui prcdent montrent limportance des prcautions visant prvenir au mieux, dans ltat actuel des choses, les attaques MITM. Comme il nexiste que peu dapproches pour sen protger, on essaiera de rendre ce genre dattaque aussi difficile et coteuse que possible pour lagresseur. A cet effet, il importe de dterminer sil est possible ou non dapporter des changements au modle de confiance. A dfaut de pouvoir modifier le modle de confiance, il est recommand soit de travailler avec des listes vides de Root CA dignes de confiance, soit de ne slectionner que certaines Root CA. Google offre dj cette possibilit depuis la version 13 de Chrome (Public Key Pinning). Une liaison avec le serveur de noms de domaine (DNS) simpose ici, si lon souhaite gnraliser cette approche tous les domaines. Sil est possible dapporter des modifications au modle de confiance, de nouvelles approches entrent en ligne de compte. Il faudrait prvoir un modle de confiance o limpact de la compromission serait circonscrit localement. Un tel modle devrait imprativement tre rpandu large chelle et accepter les relations de confiance dynamiques . Des chercheurs de luniversit Carnegie Mellon ont par exemple montr que les attaques ont gnralement une porte locale. Do la possibilit de reconnatre les faux certificats selon la localisation gographique des services de notariat.
Comme tout systme socio-technique, un CSP a ses points faibles et ses vulnrabilits quexploitent (de manire plus ou moins cible) des attaques malveillantes. Les procds et mcanismes cryptographiques utiliss sont moins en cause ici que les interfaces avec les processus dmission et de dlivrance de certificats. Des agressions seraient envisageables et ralisables ce niveau, comme le prouvent les derniers incidents en date. La comparaison avec un faussaire est ici clairante: lescroc peut soit falsifier des billets de banque soit ce qui est plus compliqu sintroduire dans un centre dimpression de billets pour mettre de vrais billets avec les machines en place. Il va de soi que la seconde possibilit est plus difficile raliser, mais dautant plus lucrative. Une attaque analogue a abouti entre-temps dans le domaine des PKI et selon toute vraisemblance, ce genre dattaque se renouvellera. Il vaut donc la peine de tenir compte dune telle ventualit dans les rflexions sur lamnagement des futures PKI.
35/35
6 Glossaire
.htaccess .htaccess (en anglais: hypertext access) est un fichier pouvant tre plac dans tout rpertoire de site Web et servant grer les paramtres de configuration. Une page d'erreur s'affiche, par exemple, en cas de clic sur un lien Internet obsolte ou suite une requte portant sur une URL qui n'existe pas. La plupart des navigateurs affichent la page standard fournie par le serveur Web;. L'administrateur de site peut installer individuellement les pages derreur. Paramtre de configuration du serveur Web Apache. Interface graphique o ladministrateur peut grer et contrler les paramtres. Adresse identifiant l'ordinateur sur Internet (ou dans un rseau TCP/IP) (exemple : 172.16.54.87). Menace pouvant infliger de srieux dommages une organisation ou un pays. Lagresseur est dispos investir beaucoup de temps, dargent et de savoir-faire dans ce genre dattaque cible et furtive, et dispose dimportantes ressources. Un agent financier est un intermdiaire lgal effectuant des oprations de courtage en devises. Depuis peu, cette notion s'utilise aussi propos de transactions financires illgales. Logiciel de serveur libre, code source ouvert, produit par lApache Software Foundation; il sagit du serveur HTTP le plus populaire du Web. Une autorit de certification est une organisation dlivrant des certificats numriques. Un certificat numrique peut tre vu comme un passeport dans le cyberespace et sutilise pour identifier par une cl publique une personne physique ou morale. Il est sign par lautorit de certification, qui atteste ainsi du lien entre lidentit physique et lidentit numrique. Un backup (sauvegarde des donnes) dsigne la duplication de donnes, dont la restauration permettra de retrouver les donnes perdues. Base64 est un codage de linformation utilisant
36/36
404 Error Page
AcceptPathInfo
AdminPanel, interface dadministration Adresse IP
Advanced Persistent Threat, APT
Agent financier
Apache Web Server
Autorit de certification
Backup
Base64
64 caractres, choisis pour tre disponibles sur la majorit des systmes. Il permet de transmettre nimporte quel document binaire (application, vido, etc.) en pice jointe en le codant laide de caractres classiques. Biens double usage Produits, y c. les logiciels et les technologies, susceptibles davoir une utilisation tant civile que militaire (de langl. dual use); notion employe surtout lors du contrle des exportations. Un blog est un type de site Web cens donner rgulirement (web log signifie journal de bord sur le Web) le point de vue de son auteur sous forme de billets (courts textes) ou darticles (textes plus longs) sur une multitude de sujets. Du terme slave robota, signifiant travail. Programme conu pour excuter, sur commande, certaines actions de manire indpendante. Les programmes malveillants (malicious bots) peuvent diriger distance les systmes compromis et leur faire excuter toutes sortes dactions. Logiciel utilis essentiellement pour afficher les diffrents contenus du Web. Les navigateurs les plus connus sont Internet Explorer, Opera, Firefox et Safari. (en angl. screenshot) Copie graphique actuel de lcran. du contenu
Blog
Bot / Malicious Bot
Browser
Capture dcran Certificat numrique Certificat pour serveur SSL/TLS
Attestation quune entit (personne, ordinateur) possde une cl publique (PKI). Un certificat numrique est l'quivalent, dans le cyberespace, d'une pice d'identit et sert attribuer une cl publique spcifique une personne ou organisation. Il porte la signature numrique de l'autorit de certification. Certificat servant valider tous les certificats subalternes. Une autorit de certification est une organisation dlivrant des certificats numriques. Un certificat numrique est l'quivalent, dans le cyberespace, d'une pice d'identit et sert attribuer une cl publique spcifique une personne ou organisation. Il porte la signature numrique de l'autorit de certification. Voir Autorit de certification. Instructions donnant l'ordinateur les ordres
37/37
Certificat racine
Certificate Authority (autorit de certification)
Certification Service Provider (CSP) Code
excuter. Compteur lectrique intelligent Un compteur lectrique intelligent (en angl. SmartMeter) indique lutilisateur sa consommation effective dnergie tablie des intervalles suffisamment courts et transfre ces donnes lentreprise dapprovisionnement en nergie. En cryptographie symtrique, la mme cl sutilise pour chiffrer et dchiffrer les donnes, (contrairement la cryptographie asymtrique). Terme dsignant la conservation des donnes personnelles, requise par les autorits des fins danalyse de trafic et de surveillance des tlcommunications. Un desktop computer ou desktop est un ordinateur de bureau. Signifie "appeler un numro" et dsigne l'tablissement d'une liaison avec un autre ordinateur par l'intermdiaire du rseau tlphonique. (en angl. hard disk) Support magntique de stockage des donnes numriques, constitu de plusieurs plateaux de forme circulaire. systme de noms de domaine (Domain Name System). Le DNS rend les services Internet plus conviviaux, puisquau lieu de ladresse IP les utilisateurs composent un nom (p. ex. www.melani.admin.ch). Observateur dvnements: programme signalant les vnements significatifs relatifs au systme dexploitation Windows, classs comme erreur, avertissement ou informations. (Exploit) Programme, script ou ligne de code utilisant les failles de systmes informatiques. Un fichier journal (log file) regroupe de faon chronologique lensemble des vnements survenus sur un systme informatique. Une ligne est consacre chaque action. Un pare-feu (firewall) protge les systmes informatiques en surveillant et, ventuellement refusant, les connexions entrantes ou sortantes. Un pare-feu personnel (personal firewall ou desktop firewall) est en revanche install pour protger un ordinateur unique; il est directement install sur le systme protger, c'est--dire sur
38/38
Cryptographie symtrique
Data Retention
Desktop
Dial-Up
Disque dur
DNS-systme
Event-Viewer
Exploit
Fichier journal
Firewall
votre ordinateur. Infection par drive-by download Infection dun ordinateur par un maliciel, lors de la simple visite dun site Web. Les sites concerns contiennent dans bien des cas des offres srieuses, mais ont t compromis auparavant pour la diffusion de maliciels. Diffrents exploits, tirant parti des lacunes de scurit non combles par le visiteur, sont souvent tests cet effet. Systme de gestion des cls de chiffrement et des certificats numriques. (de langl. lawful interception) Terme dsignant la possibilit quont les Etats de surveiller la source les tlcommunications (conversations, correspondance, images, vidos, etc.). Le jailbreaking (de langlais: vasion), ou dbridage, est une opration consistant outrepasser une restriction lutilisation des produits Apple, laide de logiciels adquats. Un live CD (CD autonome) contient un systme dexploitation excutable sans installation, qui se lance au dmarrage de lordinateur. Programme malveillant. Terme gnrique employ pour tout logiciel excutant des fonctions nuisibles sur un ordinateur (comme p.ex. les virus, les vers ou les chevaux de Troie). Voir aussi malware Man-in-the-Middle attack, attaque de lintermdiaire Attaque o le pirate simmisce dans le canal de communication de deux partenaires pour lire ou modifier les donnes changes. Les manipulations dURL permettent un pirate damener un serveur Web lui dlivrer des pages auxquelles il nest pas cens avoir accs. Open Source est une palette de licences pour des logiciels dont le code source est accessible au public, dans une optique de dveloppement communautaire. Via l'hameonnage, des pirates tentent daccder aux donnes confidentielles dutilisateurs Internet ne se doutant de rien. Il peut sagir p. ex. dinformations concernant les comptes pour des soumissionnaires de ventes aux enchres en ligne (p. ex. eBay) ou des donnes daccs pour le e-banking. Les pirates font appel la bonne foi, la crdulit ou la serviabilit de leurs
39/39
Infrastructure cl publique (Public Key Infrastructure) Interception lgale
Jailbreak
Live CD
Malicious Code
Man-in-the-Middle attack
Manipulation dURL
Open Source
Phishing
victimes en leur envoyant des courriels avec des adresses dexpditeur falsifies. Pilote (informatique) Programme de contrle qui traduit les commandes dun logiciel afin de permettre lordinateur de communiquer avec un priphrique. Une porte drobe (en anglais: backdoor) dsigne une fonctionnalit inconnue de lutilisateur lgitime, qui permet un pirate daccder secrtement un programme ou un systme dexploitation, en contournant les mcanismes de scurit en place. Dsigne le courrier lectronique non sollicit, constitu surtout de publicit, envoy automatiquement. L'auteur de tels messages est qualifi de polluposteur (spammer) et ses envois de pollupostage (spamming). Maliciel utilis comme moyen de chantage contre le propritaire de lordinateur infect. Typiquement, le pirate crypte ou efface des donnes et ne fournit la cl ncessaire pour les sauver quaprs le versement dune ranon.
Porte drobe
Pourriel (Spam)
Ransomware
Recovery
Action de rgnrer des donnes qui ont t perdues ou contamines; rcupration de donnes. Filtre de go-blocage bas sur ladresse IP de linternaute et empchant daccder certains services en ligne depuis certains pays. Read Only Memory. Mmoire dans laquelle les donnes sont accessibles en lecture, mais pas en criture. Autorit de certification racine (AC racine), autorit de plus haut niveau dans linfrastructure cl publique, certifiant les autorits de certification subalternes. Dispositif intelligent assurant la connexion physique entre plusieurs rseaux (informatique, tlcommunication, Internet). Un router s'utilise par exemple dans un rseau domestique, o il optimise la transmission de l'information entre le rseau interne et Intranet. (de langl. sandbox signifiant bac sable) Mcanisme permettant lexcution de logiciels avec moins de risques pour le systme dexploitation. Souvent utilis pour du code non
40/40
Restrictions gographiques
ROM
Root CA
Router
Sandboxing
test ou de provenance douteuse. Server Systme informatique offrant des clients certaines ressources, telles que de l'espace mmoire, et des services (p.ex. courrier lectronique, Web, FTP, etc.) ou des donnes (serveur de fichiers). La plupart des rseaux de zombies reoivent des instructions de leur crateur, qui les surveille par un canal de communication. Le cas chant, on parle de serveur Command & Control (C&C). Mcanisme permettant de garantir lintgrit dun document lectronique et den authentifier lauteur, par analogie la signature manuscrite. Lexpression smart grid dsigne un rseau de distribution (dlectricit) intelligent, o les donne de diffrents appareils (compteurs des consommateurs, etc.) parviennent au producteur grce aux technologies informatiques. Des ordres peuvent aussi tre donns ces appareils, selon le rglage du rseau. Un smartphone est un tlphone mobile dot des fonctions dun assistant numrique personnel (agenda, calendrier, navigation Web, consultation du courrier lectronique, messagerie instantane, GPS, etc.). Short Message Service Service de messages courts. Service permettant d'envoyer des messages courts (max. 160 caractres) un (utilisateur de) tlphone mobile. Une injection SQL exploite une lacune de scurit lie aux banques de donnes SQL, ds lors que le concepteur du site Web nglige de contrler les variables utilises dans les requtes SQL. Le pirate cherche excuter des requtes non prvues, pour modifier les donnes voire contrler le server. Voir SCADA Technique ayant pour but de chiffrer un message, c.--d. de le rendre inintelligible pour ceux qui il nest pas destin. La cryptographie permet dassurer la scurit des transactions et la confidentialit des messages. (en angl. building management system, BMS) Application permettant de visualiser et grer diffrents circuits ou sous-rseaux (clairage, climatisation, intrusion, etc.) laide dune
41/41
Serveur Command & Control
Signature numrique
Smart grid
Smartphone
SMS
SQL-Injection
Systme de contrle Systme de cryptage
Systme de gestion dimmeuble
interface utilisateur unique. Systmes SCADA Supervisory Control And Data Acquisition Systmes servant la surveillance et la gestion de processus techniques (p. ex. approvisionnement en nergie et en eau). Court message transmis sur la plate-forme de communication Twitter. Universal Serial Bus Bus srie permettant (avec les interfaces physiques) de raccorder des priphriques tels quun clavier, une souris, un support de donnes externe, une imprimante, etc. Il n'est pas ncessaire d'arrter l'ordinateur pour brancher ou dbrancher un appareil USB. Les nouveaux appareils sont gnralement (selon le systme d'exploitation) reconnus et configurs automatiquement. Programme informatique dautorplication, dot de fonctions nuisibles, qui sinstalle en annexe dun programme ou fichier hte pour se propager. Voice over IP, tlphonie par le protocole Internet (IP). Protocoles souvent utiliss: H.323 et SIP. X.509 est une norme de cryptographie UIT pour les infrastructures cl publique, reposant sur un systme hirarchique dautorits de certification.
Tweet
USB
Virus
VoIP X.509
42/42

MELANI Rapport Semestriel 2011-II

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

MELANI Rapport Semestriel 2011-II

Enviado por

Direitos autorais:

Formatos disponíveis

Unit de pilotage informatique de la Confdration UPIC Service de renseignement de la Confdration SRC Centrale denregistrement et danalyse pour la sret de linformation

Sret de linformation Situation en Suisse et sur le plan international