Le vol de données bancaires protégé par certains états
Chaque semaine dans l’œil des experts, retrouvez l’avis personnel d’un professionnel high-tech en poste dans une des sociétés qui font notre actualité.
François PAGET
François PAGET est l’un des membres fondateurs du groupe de recherche Avert au sein de McAfee. Il mène diverses études prospectives et fait de la veille technologique pour sa société et certains de ses clients. Il s’attache particulièrement aux divers aspects du crime organisé et de la fraude financière en ligne. Secrétaire général du Clusif, c'est un conférencier régulier lors des diverses manifestations françaises et internationales dans le domaine de la Sécurité Informatique.
Depuis bientôt quatre ans, le logiciel malveillant Torpig (alias Sinowal) fait épisodiquement son apparition dans la presse. Très répandu, ce voleur de données bancaires s’introduit dans les ordinateurs accompagné du rootkit StealthMBR (alias Mebroot).
Dans ses premières versions, Torpig interceptait des données sensibles via la technique du API hooking (détournement de fonction API décrite en détail ici par le CERT-IST). Dans ce cas, le malware modifiait quelques instructions de saut afin d’exécuter son propre code avant celui de certaines fonctions légitimes fréquemment utilisées par les applications communiquant sur Internet telles que HttpSendRequestA(). Pour cet exemple, le malware analysait le référant HTTP (HTTP referrer – URL de la précédente page consultée) et, en fonction de celui-ci, provoquait l’affichage d’une fenêtre pop-up contextuelle demandant à l’utilisateur d’entrer les détails de sa carte de crédit. Ceci fait, il redonnait la main à la fonction appelée.
Les nouvelles générations de Torpig cherchent aussi les informations bancaires directement sur le disque et s’attaquent à de nombreuses applications (Microsoft Outlook, Eudora, Mozilla Thunderbird, VanDyke SecureCRT, WinSCP, PuTTY, etc.).
Toutes sortes de données personnelles entrées dans les boîtes de dialogue sont maintenant dérobées à l'aide d'une technique moins suspecte que les fonctions d'interception du début. Une tâche en arrière-plan parcourt le Bureau, à la recherche de fenêtres spécifiques appartenant aux applications financières prises en charge par le cheval de Troie. Les données sensibles sont alors interceptées avant d’être renvoyées à la boîte de dialogue (pour plus de détails, voir le document McAfee : « L'économie du vol de mots de passe : tenants et aboutissants de l'usurpation d'identité ». Le mécanisme fonctionne aussi pour les données cachées par une suite de caractères tels que l’astérisque. Sachant récupérer les informations avant qu'elles ne soient chiffrées, ou juste après qu'elles n’aient été déchiffrées, Torpig contourne aussi les mécanismes cryptographiques incorporés dans les protocoles HTTPS et SSH.
Les informations dérobées sont ensuite cryptées avant d'être envoyées vers des adresses IP codées en dur dans le code du cheval de Troie. Comme beaucoup d’autres, elles aboutissent à l’Est auprès d’individus préalablement liés au groupe disparu RBN (« Russian Business Network »).
Les variantes actuelles de Torpig s’appliquent aussi à transformer chaque ordinateur infecté en un proxy ouvert à même d’accepter des connexions HTTP, SOCKS4 et SOCKS5 en entrée. Les machines vulnérables forment ainsi un botnet qui permet de lancer d’autres types d’attaques, en utilisant abusivement la situation géographique et la réputation de chaque hôte infecté.
En France, et dès 2006, des clients d’une vingtaine de banques de l’hexagone en ont subit les conséquences (CIC-Crédit Mutuel, Société Générale, Crédit Agricole, HSBC, AXA, BNP Paribas, etc.). Depuis cette date, les policiers de l’OCLCTIC et le juge Roger de Loire enquêtent sur les individus se cachant derrière Torpig. Il s’agit d’abord d’une centaine de mules, des individus dont le seul travail consiste à renvoyer vers l’Ukraine et la Russie, via des systèmes anonymes de paiement en ligne, et après prise d’une commission, les sommes qui ont été préalablement détournées vers leurs comptes. C’est là-bas, à l’Est, que résident les chefs de gang. Ils sont, quant à eux, bien plus difficilement appréhendables.
A ce sujet, le 1er octobre 2009, un bien étrange article paraissait sur le site du journal Valeurs Actuelles. Fuite volontaire ou impair journalistique, on y apprenait le nom de certains bénéficiaires supposés, identifiés par la police française et annoncés comme protégés par les autorités politiques russo-ukrainiennes. Sans langue de bois, l’article expliquait pourquoi nous avions peu de chance de les voir extrader sur notre territoire. L’article se terminait en effet de la manière suivante : « les autorités politiques de Kiev et du Kremlin préfèrent, c’est la thèse développée du côté des enquêteurs, garder leurs mafieux au chaud, quitte à les utiliser pour qu’ils mettent leur nez dans certaines banques de Géorgie, pas forcément amies… ».
Alors que les rumeurs de guerre informatique alimentent les discours des experts en sécurité informatique, on voit ici un exemple de ramification possible entre le cybercrime et la cyberguerre ou comment certains états considèrent les organisations criminelles comme des alliés utiles qu’il faut parfois protéger.
Dernières Actualités Juridique
Derniers dossiers Juridique
-
Dernières Actualités McAfee
- La plus grosse attaque pirate de tous les temps
- McAfee explique son partenariat avec Intel
- Intel évoque un mystérieux antivirus...
- L'UE autorise le rachat de McAfee par Intel
- L'UE inquiète du rachat de McAfee par Intel
-
Derniers dossiers McAfee
- Le vol de données bancaires protégé par...
Les USA ont, par l'intermédiare de Charles « Lucky » Luciano, passé des accords avec les mafias sicilienne et napolitaine pour préparer l'invasion de l'Italie en 1943, tout comme les gouvernements français avec les mafieux de l'OAS, puis du SAC pour casser du "gauchiste" ou du "coco" pendant la guerre d'Algérie et après.
Au Japon règne une sorte de gentlemen agreement entre police et yakuzas, en Italie c'est un potentiel condamné à de lourdes peines qui gouverne tout comme en France un certain J.C. va (peut-être) enfin devoir répondre de ses actes devant une justice de plus en plus impuissante. En attendant de voir ce que nous réserve son successeur en la matière.
Si on remonte plus loin dans l'histoire, pas très loin, juste au 19ème siècle, on retrouve l'exemple de Vidocq, truand devenu chef de la Sûreté, service de police composé d'anciens condamnés.
Plus loin encore on retrouve des preuves de collusion entre le crime organisé et la police du roi tout au long de l'histoire.
La Rome de César était tout aussi familière de ce genre de méthode.
Les gouvernements n'hésitent jamais à s'allier à la pègre quand il s'agit de se maintenir en place ou de renforcer leur position.
Inutile alors d'évoquer d'autres collusions, plus souvent visibles, comme celles avérées entre le "milieu" et le "milieu des affaires", dans tous les pays du monde et à toutes les époques.
M'enfin... ça fait toujours causer au comptoir du bistrot.
D'une certaines manière c'est plus intelligent que de s'acharner à envoyer en prison le gars qui a découvert une faille dans le cryptage des cartes et qui pensait que ça pourrait lui assurer du boulot.
Ce n'est pas très moral, mais au moins ils savent reconnaitre le savoir faire des pirates.
Encore une fois cela montre que la vrai faiblesse ce ne sont pas les protocoles utilisés pour communiquer sur internet, mais plutôt les postes utilisateurs.
Il suffit d'un appel d'API pour rendre visible les caractères masqués par des astérisques dans Windows. Il est à la portée de n'importe quel développeur de créer un soft capable de lire le nom des fenêtres et d'enregistrer le contenu de celles comportant des caractères masqués. La plus grosse difficulté est de ne pas se faire repérer trop vite par les antivirus (et ensuite par la police).
D'une certaines manière c'est plus intelligent que de s'acharner à envoyer en prison le gars qui a découvert une faille dans le cryptage des cartes et qui pensait que ça pourrait lui assurer du boulot.
Ou pas, ils ne veulent pas tous du boulot (parfois c'est gratuit mais ça leur offre un scoop ...)
[citation]La plus grosse difficulté est de ne pas se faire repérer trop vite par les antivirus (et ensuite par la police).[/citation]
Par les antispywares !
Et tant que ce n'est pas à grande échelle la police elle s'en fiche (sauf s'il y a une plainte de déposée par une personne influente)
Très bon article, qui montre bien que les auteurs de virus et spywares ne sont plus des ados qui s'ennuient.
Je rajouterait que si la loi française protège les particuliers, c'est quand même eux qui installent les rootkits&co lorsqu'ils essayent de mater des vidéos porno...
" Je rajouterait que si la loi française protège les particuliers ..."
non justement, puisque l'article cite le cas de cyberpirates des pays de l'est qui sont protégés de la justice française.
Bonjour: j'utilise bit defender total sécurity 2010, cela est il sufissant, pour ce protéger, que conseil vous pour une protection éficasse de l'ordinateur
Sérieusement : un firewall, matériel ou logiciel, ce qui est important c'est de bien le configurer pour être à l'abri des intrus sans être gêné soi-même quand on utilise sa connexion.
Pour vérifier qu'on est un tant soi peu "invisible" faire le test ici ou là par exemple.
Si tu as une box avec fonction routeur (le cas général) il y a un firewall matériel intégré qu'il faut configurer (par défaut il est sûrement trop permissif).
Un antivirus que l'on sait configurer sera toujours meilleur que celui dont on nous a dit qu'il est le meilleur mais qu'on ne sait pas configurer.
Un anti-adware/malware, avec la même problématique concernant les réglages.
Des extensions adaptées à ses navigateur, logiciel de courrier/news/IM/chat, bref tout ce qui sert à se promener dans le cyberespace.
Une compréhension des risques encourus conduisant à une attitude réfléchie et responsable.
De bonnes habitudes : sauvegardes régulières (et pas sur le disque interne !), séparation des données et du système (au minimum sur deux partitions, voire deux disques), un choix judicieux de ses mots de passe, ne pas surfer en mode administrateur, etc...
Toutes sortes de conseils qu'on répète depuis des années (voire décennies
Le site Secuser est un bon point de départ pour trouver tout ce qui est nécessaire en matière de logiciels et de conseils. Il y en a d'autres mais celui-ci est assez complet.
La sécurité ça se mérite, il faut faire quelques efforts de compréhension et mettre en oeuvre des solutions simples.
Je n'ai jamais perdu de données suite à une attaque virale ou autre, les seules fois où j'en ai perdu c'était suite à négligence ou grosse connerie de ma part, surtout au début de ma pratique de l'informatique, ce qui est un peu normal quand on se démerde tout seul pour apprendre.
Faire des erreurs est inévitable, ça fait partie de l'apprentissage, les répéter est inexcusable.