ICSS Cybersecurity Conference Louvain

  1. 17 mrt 2015
  2. 0 reacties

Le mois passé s'est tenu à Louvain l'International Cyber Security Strategy Congress (ICSS) autour du thème 'Cyber Security and Forensic Readiness'. Ce congrès organisé notamment par le Belgian Cybercrime Centre of Excellence for Training, Research and Education (B-CCENTRE) et la KU Leuven comme hôte, nous a valu quelques observations et perspectives parfois surprenantes, parfois plus attendues. Voici un aperçu des présentations les plus remarquées. 

1. Collaborer est indispensable

  • Koen Geens
  • Le discours inaugural du ministre belge de la Justice Koen Geens a d'emblée donné le ton. Après une énumération de quelques initiatives locales – comme un meilleur cadre législatif pour lutter plus efficacement contre la cybercriminalité et une formation plus adéquate des corps de police afin d'identifier et de s'attaquer plus rapidement au cybercrime, Koen Geens a souligné l'importance d'une collaboration internationale. "Les frontières physiques ou virtuelles n'arrêtent nullement les cybercriminels: ceux-ci peuvent exploiter les potentialités de l'internet mondial, généralement même en tout anonymat. Dès lors, les équipes de lutte contre le crime doivent opérer de manière transfrontalière si elles veulent avoir des chances raisonnables de succès."

Frederic Van Leeuw, magistrat fédéral au SPF Justice, a insisté sur une autre justification de la collaboration internationale: prises isolément, les équipes de lutte contre la cybercriminalité ne sont souvent pas armées contre les bandes organisées et contre les grandes entreprises qui s'appuient sur un monde virtuel et globalisé pour échapper à leurs obligations locales. Et de comparer à l'occasion de ce congrès la situation au Far West. "Comment le sherif local d'un petit village peut-il faire face à des bandes et organisations complexes dans une région largement hors-la-loi, comme c'est le cas chez nous?" La collaboration doit dès lors intervenir tant au niveau législatif que du respect de la loi, si nous voulons avancer dans le lutte contre les cybercriminels, a conclu Frédéric Van Leeuw.

2. Mais est aussi difficile

S'il est une réalité apparue clairement au cours d'un congrès comme ICSS2015, c'est que la collaboration, tant au plan national qu'international, est particulièrement complexe. Toute forme de collaboration fructueuse doit donc être considérée comme un succès remarquable. Permettez-nous de les aborder.

Dans chaque pays, nous retrouvons certes les services de police traditionnels, outre au niveau national et parfois même également fédéral et/ou local une cellule spécialisée en cybercriminalité. Par ailleurs, existe Europol, le service de police pan-européen qui a également mis sur pied son propre département de cybercriminalité (European CyberCrime Center, ou EC3). Et il ne faudrait pas oublier les services de police aux Etats-Unis et dans les pays de l'Est, sans parler d'Interpol et d'autres services. Chacun de ces départements dispose de ses propres compétences et contraintes, ce qui ne facilite souvent pas la collaboration.

De même, sur le plan législatif et judiciaire, la collaboration est souvent freinée par des restrictions ou entraves nationales, régionales ou autres. Pourtant, d'importants efforts sont déployés pour surmonter ces obstacles. C'est ainsi qu'Eurojust – l'unité de coopération judiciaire de l'Union européenne – a fait de la lutte contre la cybercriminalité l'une de ses neuf priorités. L'objectif est notamment d'assurer une meilleure collaboration entre les Etats membres, de faire office de conseiller juridique et de promouvoir les échanges d'informations. Une ambition pas évidente, concède volontiers la présidente d'Eurojust, Michèle Conisx, mais pas non plus impossible. C'est ainsi que grâce à la collaboration interne et en concertation avec le FBI et Europol, le réseau Blackshades a été démantelé, réseau qui opérait à l'échelle internationale.

Mais le paysage est plus complexe encore: outre la police et la justice, on retrouve en effet encore l'EDA (l'agence de défense de l'Union européenne), le département de cybercrime de l'OTAN, plusieurs CERT nationaux (Cyber Emergency Response Teams) et l'ENISA (European Union Agency for Network and Information Security).

Chacun de ces organismes effectue un travail remarquable dans son domaine et dispose sans conteste d'informations très utiles. Mais il semble pratiquement impossible de partager efficacement l'ensemble des informations utiles entre tous, ne serait-ce que parce que chacun n'a même pas toujours conscience de l'existence de l'autre. La pertinence d'une super-base de données regroupant la totalité des informations nationales, régionales et transfrontalières sur les malwares, la cybercriminalité et les cybercriminels connus semble plus que jamais d'actualité. Mais dans l'attente d'un organe de coordination susceptible de porter ce projet – un rêve qui mettra sans doute des années à se réaliser -, il faut se contenter de la bonne volonté des acteurs présents à partager les informations et les bonnes pratiques selon une approche ponctuelle ou structurelle.

3. Les dimensions supplémentaires du cybercrime

Ceux qui se seront rendus à l'Aula Pieter De Somer situé rue Beriot à Louvain auront certainement été confrontés à une situation inattendue: des agents de sécurité armés à l'entrée et une sécurité renforcée à l'intérieur du bâtiment. Peut-être ce déploiement de forces était-il justifié par les récents attentats terroristes, mais il illustre en tout cas parfaitement à nos yeux une réalité flagrante: le cybercrime ne se limite plus depuis longtemps au monde numérique et virtuel.

Rik Ferguson

L'intérêt croissant pour la criminalité située à la frontière entre les mondes numérique et virtuel s'est ainsi démontré dans l'exposé de Rik Ferguson, vice president security research chez Trend Micro. Celui-ci a attiré l'attention de son auditoire sur un phénomène malware sans doute sous-estimé et qui gagnera certainement en importance au fil des années: le malware PoS (Point-of-Sale). Par le passé, la fraude à la carte de crédit dans les magasins et les automates de paiement était limitée au 'key capture' et au 'screen scraping', deux techniques connues de récupération des données d'une carte. Mais désormais, l'attention se focalise sur les fameux 'RAM scrapers', des malwares qui 'effacent' les informations de la mémoire RAM des caisses et terminaux de paiement. "En 2014, nous avons recensé autant de nouveaux 'RAM scrapes' qu'au cours de l'ensemble des dernières années", a expliqué Rik Ferguson pour illustrer ce nouveau risque.

Reste que d'autres évolutions estompent la frontière entre les mondes analogique et numérique. C'est le cas des 'lampes intelligentes' qui se commandent à l'aide d'un smartphone. "Ces lampes stockent des informations sur votre mot de passe WiFi, informations qui sont en général à la portée des pirates", avertit Gorazd Bosic, responsable de l'équipe CERT de Slovénie.

4. Toujours plus personnalisé

Au cours de l'année écoulée, les attaques sur les entreprises ont généralement suivi le même schéma de type 'kill chain', dixit Ronald Prins, CTO de Fox-IT: reconnaissance en quête d'un exploit, construction d'armes pour réaliser cet exploit, livraison des armes via e-mail, USB ou autres portes dérobées, exploitation de la faille pour installer le malware, et commande à distance de ce malware à des fins criminelles. "Mais cela ne signifie pas pour autant qu'il faille en conclure que ce schéma est désormais immuable", avertit Prins.

Prins met en garde contre le fait qu'il faut s'attendre à des attaques bien plus complexes et plus virulentes. "Ce qui est aujourd'hui considéré comme sophistiqué et réservé aux attaques les plus importantes sera dans quelques années monnaie courante. Et les malwares seront toujours plus difficiles à détecter et à tracer. Et, last but not least, le malware est toujours plus personnalisé: pas seulement ciblé, mais vraiment conçu sur mesure pour votre entreprise. Il faut tous s'y attendre, d'ici trois ans environ."

Que faire dès lors pour combattre ce phénomène? "Tout d'abord, partir du principe que l'on sera tôt ou tard victime d'une attaque. Un point de départ qui constitue déjà une base solide. Ainsi, il est possible d'adapter en conséquence sa défense. Avec des 'honeypots' par exemple, pour attirer le pirate et en savoir davantage sur lui. Ainsi, vous pouvez commencer un jeu sophistiqué afin de mieux connaître votre assaillant et d'avoir toujours une longueur d'avance."

Mais d'autres 'bonnes pratiques' peuvent s'appliquer, poursuit Ronald Prins. "Veillez à une segmentation suffisante entre les différents éléments de votre réseau, de façon à limiter les risques en cas d'attaque réussie. Limitez les possibilités de communication interne au strict nécessaire afin de réduire le champ d'action potentiel du pirate. De même, protégez autant que possible les droits des administrateurs face aux personnes non-autorisées. Faites appel à des services d''antivirus file reputation' pour rester informé des tout derniers malwares, une solution plus performante que de faire appel à un éditeur d'antivirus particulier. Implémentez et optimisez les Host Intrusion Prevention Systems (HIPS) pour détecter plus rapidement le comportement des pirates et ainsi prévenir toute attaque. "Ces bonnes pratiques ont d'ailleurs été inspirées d'une source particulièrement bien informée: la NSA, connue pour des techniques de piratage.

5. Big data, à la fois malédiction et bénédiction

Comme nous l'écrivions ci-dessous, tout devient numérique et un volume croissant d'informations sont désormais accessibles aux cybercriminels. Songeons aux réseaux sociaux où un peu d'ingénierie sociale suffit à mettre en lumière un trésor d'informations. Dans ce contexte, les big data constituent donc une malédiction: des flux de données sont déversés quotidiennement  et permettent aux criminels d'extraire des informations utiles.

"Mais les big data peuvent également être une bénédiction", estime Thomas Clemente Sanchez de PwC. "Les équipes de lutte contre la cybercriminalité peuvent par exemple utiliser les big data pour identifier des comportements suspects et, sur cette base, imaginer de meilleurs défenses." Sanchez met toutefois en garde contre un recours débridé aux big data. "Il convient en effet de respecter certaines règles relatives à la vie privée, un élément dont il faut tenir compte dans la collecte de données. C'est donc toujours plus une question d'équilibre, afin de peser les intérêts de chaque partie – citoyen, administration, police, entreprise -  et de défendra au mieux l'intérêt commun."

2014 en chiffres

  • 19% des utilisateurs Android ont été victimes d'une attaque mobile
  • 38% des ordinateurs des utilisateurs finaux ont été victimes d'au moins une attaque web
  •  La cybercriminalité coûte 445 milliards de dollars à l'échelle mondiale, soit 1 pour cent du produit mondial brut
  •  Dans le monde, 15.577.912 applis mobiles malveillantes ont été recensées, dont 12.100 chevaux de Troie en mobile banking
  •  Chaque seconde au cours de l'année écoulée, plus de 5 nouvelles cybermenaces ont été détectées
  • Faut-il ajouter que l'on s'attend à une croissance sensible en 2015, tant au niveau du nombre que de la portée des attaques numériques

(Source: Europol)

Stef Gyssels, rédacteur en chef Infosecurity Magazine

 
Dossiers