Spécial sécurité : Gumblar / Vieilles gloire du hacking / Carder, un métier qui rapporte

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères évoquent Gumblar, un injecteur de code Javascript, l'initiative de McAfee en matière de sensibilisation à la sécurité, ainsi que les chiffres de la fraude à la carte de crédit aux Etats-Unis.

Sommaire:

- 1 - Gumblar, le poison qui nage de domaine en domaine

- 2 - Les vieilles gloires du hacking ont-elles des remords ?

- 3 - Carder, un métier qui rapporte

1 - Gumblar, le poison qui nage de domaine en domaine

Ce malware est un injecteur de code Javascript utilisé dans le cadre d’attaques en « drive by download ». Il n’est en aucun cas particulièrement plus dangereux que d’autres malwares de ce type, mais il semblerait que la virulence de ce vecteur soit nettement supérieure à la« normale ». A tel point que le Cert US –pourtant rarement alarmiste- commence à pousser quelques cris d’inquiétude.

Gumblar, pour se propager, profite des faiblesses de crédence dans les accès ftp servant à gérer les sites Web. Une fois installé dans la place, le virus exploite les failles Flash Player et Adobe de chaque visiteur qui aurait eu l’imprudence de ne pas mettre à jour les logiciels installés. Les principaux domaines « port d’attache » de Gumbar, situés en Chine, ont été fermés dans un premier temps. Peine perdue, l’infection a derechef changé de base opérationnelle et s’est rabattue sur l’infrastructure d’une autre infection connue : Martuz –également d’origine Chinoise. Le Sans en écrit quelques lignes et répercute une statistique de Sophos, pour qui 42 % des sites web infectés de nos jours le seraient par ce Gumblar là.

2 - Les vieilles gloires du hacking ont-elles des remords ?

L’initiative de McAfee est, sinon édifiante, du moins très distrayante : l’équipe marketing de l’éditeur a commandé la réalisation de petits films de sensibilisation à la sécurité. Mais des films tournés par des professionnels, avec un découpage précis, un fil conducteur rédigé… on est très loin des vidéo-blogs du monde bidouillant de la sécurité. L’aventure a pour nom Stop H*Commerce, The Business of Hacking You, une série de court-métrages qui compte déjà quelques épisodes haletants. L’on y traite du danger du Wardriving –une chimère qui a toujours passionné les gourous du hacking- du vol d’identité, des botnets, des virus… Espérons que l’antenne française de l’éditeur en éditera une version postsynchronisée ou au moins sous-titrée, pour que les équipes de sensibilisation puissent y puiser quelques séquences utiles

Quelques, mais pas toutes. Car sans aucun doute, l’un des tournages les plus passionnants –et les moins moraux- est celui qui traite de l’origine du hacking informatique, avec l’apparition des premiers phreakers, ces hackers du téléphone. Avec, comme guest star, Cap’n Crunch (aka John Draper) et Steve Wozniak, fondateur d’Apple, qui raconte avec des trémolos de nostalgie dans la voix l’époque où il « hackait » de conserve avec un certain Steve Jobs. Un moment d’anthologie et de véritable histoire, de moins en moins connue du public, et qui est régulièrement censurée sur les sites retraçant les débuts d’Apple.

3 - Carder, un métier qui rapporte

Actimize, un spécialiste de la « conformité dans le domaine du secteur financier », vient de publier une étude sur l’étendue des fraudes à la carte de crédit/débit principalement aux Etats Unis. Le communiqué de presse résumant ladite étude -et ce que pensent les banquiers- précise que (dito)

• approximativement 80% des sondés reconnaissent que le vol des données des cartes entraîne une baisse de la confiance des clients par rapport à ce mode de paiement.
• 57% indiquent également que ces vols génèrent une augmentation des frais généraux des institutions bancaires.
• 20% estiment que les centres d’appel reçoivent 10% de trafic en plus après qu’un vol ait été connu.
• Alors que la plupart des sondés estime que moins de 1% des comptes qu’ils hébergent seront exposés à la fraude, 15% d’entre eux renouvellent les cartes de plus de 20% de leur population de titulaires de cartes
• 70% des personnes interrogées constatent une augmentation des réclamations pour fraude en 2008, comparé à 2007. Parmi ces 70%, 58% ont détecté une croissance à deux chiffres.
• Plus de 80% s’attendent à ce que le nombre de tentatives de fraude à la carte et aux automates augmente en 2009 par rapport à 2008. 35% d’entre eux prédisent une augmentation entre 10 et 14%.
• 55% des sondés s’attendent à ce que les niveaux de fraude aux Etats-Unis augmentent fortement une fois que le Canada aura adopté les puces intégrées et le code PIN pour ses cartes, avec un point critique pour 2010. Cela sera l’effet de la migration des fraudeurs vers des systèmes opposant une résistance moindre à leurs attaques.
• 49% s’attendent à ce que les fraudes classées « first-party² » augmentent en 2009.
Est-il nécessaire de préciser que seuls les deux derniers points de ladite étude méritent une certaine attention ? Ils prouvent que, même avec un niveau de sécurité très faible (les cartes à puce n’existent pratiquement pas aux USA) le niveau de fraude demeure largement accepté par les établissements financiers américains. Le surcoût imposé par l’adoption d’une flotte de TPV, de supports CP8 et du réseau idoine semble encore trop élevé en regard des risques encourus.

L’on peut également, de manière plus générale, avoir une certaine idée de l’accroissement possible de la fraude à la carte de crédit sur Internet, là où les mécanismes de sécurité des transactions sont encore bien souvent sommaires. Il reste que l’étude ne porte que sur un vaste « sondage d’opinion » et non sur une quantification exacte des affaires de fraude ou une estimation chiffrée des pertes financières. A interpréter donc avec toute la prudence qui s’impose.

Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)