Spécial Sécurité : détournement d’argent et ruses de russes
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, se sont interessés à la mutation du modus operandi ainsi que de business model de certains spammeurs, une activité encore très luvrative, à la fuite de données clients chez Shell avant de s'attarder sur les 10 commandements d'un RSSI en entreprise.
Sommaire:
1 - Détournement d’argent et ruses de russes
2 - 5 échecs de la sécurité, 7 règles pour RSSI
3 - Shell : fuites d’identité signées par des huiles
4 - Administration : + 3% de dépenses TIC par an
Détournement d’argent et ruses de russes
L’éditeur d’antivirus russe Dr Web vient de publier mi février, un bilan des attaques constatées dans les pays de l’Est. Plus que les métriques relatives aux infections du côté de la Volga (tiercé gagnant sans surprise : MyDoom, NetSky, Gavir), ce sont les méthodes de détournement d’argent pratiquées dans la Fédération qui sont les plus instructives. Ainsi, courant janvier, une vague de « Troyen Winlock » a touché près d’un million d’appareils. Ce troyen est un « ransomware » qui bloque l’usage d’un ordinateur ou l’accès à ses fichiers et qui ne se déverrouille que contre payement d’une rançon de 500 à 600 roubles dans le cas susmentionné. Autre méthode, la fraude via SMS. Le procédé est simple, et consiste à facturer par le biais des SMS surtaxés, des services et programmes totalement fantaisistes ou factices : logiciels prétendant filmer au travers des habits des personnes prises en photo via l’APN intégré du téléphone, prétendus programmes d’interception de SMS, antivirus miracles etc. Une variante légèrement plus subtile, apparue très récemment, prétend envoyer un programme sur simple indication du numéro de téléphone à « enrichir » via une page Web. Que le numéro soit donné par l’abonné lui-même, appâté par une proposition alléchante, ou par une tierce personne (qui elle-même succombe à une offre de « parrainage » rémunératrice), le résultat est toujours le même : la victime reçoit un lien d’activation dudit service, lequel déclenche automatiquement une facturation qui sera débitée sur le compte de l’usager. Il est important de garder à l’esprit que les proportions d’infections et d’attaques visant la téléphonie mobile sont pratiquement inconnues compte tenu de la quasi absence de « sondes » (antivirus ou logiciels d’administration/ contrôle d’intégrité) sur les terminaux mobiles en général. Tout juste peut-on constater un certain bourgeonnement de « malwares » sans la moindre précision volumétrique.
Cette tendance est également constatée par la très américaine équipe de SecureWorks, qui explique la baisse (relative) du spam par un changement de business-model et des mécanismes de récolte d’argent plus efficaces. Après avoir ratissé large, très large, tellement large les commandes de viagra frelaté et de logiciels moins chers qu’ailleurs s’avèrent de moins en moins rentables. Désormais, les spécialistes du pollupostage se reconvertissent dans l’email d’incitation alléchant : erreur des contributions directes en votre faveur, livraison miraculeuse de la part d’un transporteur et autres opportunités de travail très rémunératrices. Le but n’est pas de piéger le destinataire avec les ficelles un peu éculées du phishing à large spectre, mais de faire en sorte que la personne laisse installer, à son corps défendant, un spyware ou un troyen. Lequel ensuite viendra de manière très classique enrichir les réseaux de vols de crédences bancaires.
5 échecs de la sécurité, 7 règles pour RSSI
Lorsque l’actualité bat de l’aile, les experts soit se drapent dans un mutisme altier, soit s’amusent à écrire des petits billets provocateurs en utilisant des ficelles de présentation inusables. Et parmi les plus usitées, la technique du « top ten » du « décalogue de la sécurité » ou de la règle de trois pour apprenti-chasseur de failles. Ca évite de devoir penser aux transitions et offre l’avantage de pouvoir jeter pêle-mêle des idées sans réel lien, qui, prises indépendamment, n’auraient pas , justifiées un traitement de plus de trois lignes. Et parfois, le résultat est intéressant.
Ainsi sur ShackF00, le blog de Dave Shackleford, qui dresse la liste des 5 erreurs les plus communes commises lors de l’établissement d’un programme de sécurité. Des constats simples, presque des portes ouvertes : « pas de budget, pas de support de la part de la hiérarchie, pas de plan : les premières raisons d’un échec sont souvent politiques ». Viennent ensuite l’absence de ressources de monitoring (au sens administratif du terme), les carences de maîtrise technique ou de suivi des processus primordiaux (gestion des correctifs ou des configurations par exemple) et, enfin, un mauvais respect des règles de conformité.
L’autre article-listing est signé Adriano sur My Information Security Job. Il recense les 7 « choses qu’un homme sécurité devrait faire ». A commencer par communiquer, et remplacer le sempiternel « nonpaspossible » par un diplomatique « peut-être ». Simple question de rapports humains. Mais les points suivants sont moins classiques. « Utilisez les réseaux sociaux, c’est une source d’information comme un autre… et ne vous contentez pas de lire. Bloguez, que diable. Nous sommes dans un monde de liberté de parole ! ». Une attitude relativement britannique. En France, à une dizaine d’exceptions près, il est rare qu’un spécialiste sécurité s’épanche sur le Web. La « hiérarchie n’apprécie pas ». Surtout dans le domaine bancaire, ou l’omerta est valorisée à 15% net d’impôt. « Surveillez l’évolution des budgets sécurité, gardez un œil sur les niveaux de salaire »… et l’auteur d’expliquer qu’un CV avec une qualification CISSP, ISO 2700x ou PCI DSS, ça ouvre bien des portes et explique la raison pour laquelle les salaires de la profession ne sont pas particulièrement en baisse. Là encore, la hiérarchie ne va pas apprécier. L’administrateur du site, en revanche, n’espère que ça… My Information Security Job n’est pas un blog mais un site d’offres et de recherches d’emplois spécialisés dans la sécurité informatique.
Shell : fuites d’identité signées par des huiles
L’envoi de ce fichier était, précisent nos confrères d’IT Pro, accompagné d’une lettre prétendument émise par des employés de l’entreprise.
De son côté, Shell a annoncé ouvrir une enquête pour localiser l’origine de la fuite, et minimise l’affaire en précisant que cette perte de données ne pose aucun problème de sécurité. Pour les personnes dont le nom et les coordonnées téléphoniques ont été mises dans la nature, cela est nettement moins sûr. Si l’hypothèse avancée par le correspondant anonyme du site Royaldutchshellplc se confirme, la compagnie pourrait se voir infliger une amende au titre du
Data Protection Act
Administration : + 3% de dépenses TIC par an
Conséquence du « Grand Emprunt », les dépenses d’équipement des administrations nationales et locales devraient s’accroître sensiblement au moins jusqu’en 2011 , estime le
cabinet d’étude Markess. Les domaines clefs sur lesquels seront concentrés les efforts financiers les plus importants devraient être les applications décisionnelles et de pilotage (pour 39% des organisations), les outils collaboratifs (37%), la dématérialisation des documents (36%), les télé-procédures et l’archivage électronique (26% pour chacun des secteurs). Nulle mention n’est faite des investissements en matière de sécurité pure, mais il ne fait pas de doute que les enveloppes suivront. Notamment en raison du fait (sic) que «
la majorité des administrations centrales met en avant une hausse des budgets consacrés à l’hébergement externe et à l’open source.
»