Spécial Sécurité - Vol d’identité en Europe : plus noir que prévu
Régulièrement, LeMagIT ouvre ses colonnes à ses partenaires de CNIS Mag, magazine sur la sécurité des systèmes d’information. Dans cette édition, nos confrères reviennent sur l'ampleur que prend le vol d'identité en Europe. Nouveau rapport et nouvelles statistiques.
Il existe deux manières de considérer ce grave fléau qu’est le vol d’informations personnelles : La Britannique et la Germaine. Mais prévenons les âmes sensibles : ce qui s’est passé en Grande Bretagne est de loin la nouvelle la plus dramatique : La Duchesse d’York, Fergie, s’est faite dérober un ordinateur portable contenant des photos de famille prises durant ses dernières vacances. Un « scoop » du Telegraph. Les instantanés numériques en question dévoileraient les actes quotidiens du Prince Andrew et des Princesses Béatrice et Eugénie. Derrière ce drame abominable se dresse le spectre hideux d’une hypothétique publication dans une feuille à scandale.
Outre Rhin, en revanche, les nouvelles semblent un peu plus supportables. Trois universitaires de Mannheim ont établi ce qui semble être la toute première étude sérieuse sur la volumétrie des attaques en usurpation d’identité, fruit de sept mois de « cyberplanque » s’étalant d’avril à octobre de cette année.
Jusqu’à présent, les analyses effectuées principalement par les RSA, Symantec et autres spécialistes du milieu se contentaient de tirer des extrapolations statistiques en se basant sur l’activité d’une seule « place de marché », voire d’une ou deux « bases de données » mafieuses découvertes au gré des scans réseau. Messieurs Thorsten Holz, Markus Engelberth et Felix Freiling ont procédé tout autrement. Ils ont tout d’abord infiltré un botnet constitué de machines infectées. Une opération sous couverture reposant notamment sur CWSandbox, outil d’analyse de malware. Une fois les machines-leurres infectées soit avec Limbo, soit avec ZeuS, les chercheurs ont tenté de remonter la filière pour aboutir aux réseaux collecteurs de données, ou « drop zones ». Ce n’est donc pas un ou deux serveurs qui ont ainsi été examinés, mais près de 70 points de récupération sur un échantillonnage de 300, un reflet exact de la réalité. Au total, les trois universitaires ont recensé plus de 164 000 machines infectées, 28 Go de données, stockées majoritairement en Chine et en Malaisie, mais également en Russie et Estonie. L’on constate d’ailleurs à ce sujet que le nombre de « drop zones » est inversement proportionnel au volume de données récupérées… une conséquence indirecte des risques de rétorsion policière et de la nécessité de disperser les ressources en Europe notamment ?
L’analyse temporelle de l’infrastructure est, elle aussi, riche d’enseignements. Si, dans certains cas exceptionnels, certains postes de travail peuvent abriter un keylogger durant plus de 100 jours, la moyenne d’infection ne dépasse pas 2 jours. Ce qui implique un incessant travail de chasse à la machine vulnérable. Le temps moyen de durée de vie d’une « drop zone » chargée de la collecte des données volées se situe, quant à lui, aux alentours de deux mois.
Et tout ça pour récolter quoi ? 10 700 crédences de comptes bancaires, 149 000 mots de passe de messageries « webmail », 5 682 numéros de cartes de crédit, 5 712 crédences eBay. Dans la course à la « plastic money », c’est Visa qui décroche le pompon : 3 764 vols, suivi de MasterCard (environ 1 500) et AmEx 406. Pour ce qui concerne les détournements d’argent « en ligne », Paypal arrive premier : 2 263 comptes piratés, 851 comptes détournés des banques appartenant à l’espace du Commonwealth, 5 709 appartenant à HSBC. De tous ces comptes en ligne, 25 d’entre eux étaient couverts à plus de 130 000$. Sur les quelques 5 682 cartes de crédit valides, et en se basant sur le montant moyen des fraudes constaté par l’Internet Crime Complaint Center américain (298 $), les pertes affectant les victimes frisent les 2 millions de dollars.
Mais si les cartes de crédit et numéros de compte se négocient parfois jusqu’à 1000 $ pièce, les simples accès email garantissent également un solide retour sur investissement. Entre 4 et 30 $ l’unité, selon le sérieux du fournisseur, l’on comprend aisément que la « moisson » de mots de passe Windows Live ou Yahoo atteigne des volumes quasi industriels. Durant leur campagne, les chercheurs allemands ont dénombré 66 500 comptes Live, 28 000 crédences Yahoo, 18 000 accès Mail.ru, 5000 sésames Google. Idem pour les réseaux sociaux, avec 14 500 identités Facebook… rappelons que cette récolte n’est le fruit que de 200 jours d’examen d’activité.
Bien sûr, ce n’est là que la première étude chiffrée du genre. Il en faudrait encore d’autres, utilisant les mêmes méthodes empiriques, pour obtenir une projection objective de l’ampleur des dégâts. Mais déjà, ces chiffres parlent d’eux-mêmes : En 7 mois, grâce à deux racines virales, 10 000 comptes en banque, 5 500 numéros de cartes de crédit ont été compromis. Un instantané assez évocateur qui laisse aisément comprendre que les chiffre « officiels » -tels que ceux du CSI-FBI- sont loin, très loin de la réalité, car ne s’appuyant que sur les vols ayant fait l’objet d’un dépôt de plainte.