Mise au point sur le contexte et les motivations autour des cyberattaques dont il est fait référence dans la presse. Audience: juridique (avocats, juristes, etc.) Niveau technique: faible Lieu: 2 décembre 2010, faculté de Droit à l'Université de Genève Infos: http://lexgva.ch/index.php?subaction=showfull&id=1290112460

1. Cyber-attaques: mise au pointAntonio Fontes Conférence LexGva.ch / 2 décembre 2010Faculté de Droit – Université de Genève

2. Qui suis-je? Mon identité: Antonio Fontes, 31 ans, je vis à Genève Ma profession: Fondateur de L7 Sécurité (anc. Securitics) Mon métier: Défense des systèmes d’information et protection des données personnelles Ma relation avec le Droit: Un peu comme tout le monde!  2 L7 Sécurité / Décembre 2010

3. Objectifs Identifier le contexte Comprendre les concepts de la sécurité des systèmes d’information Définir les « cybercriminels » et comprendre leurs motivations Parcourir et comprendre l’actualité Les enjeux pour l’avocat Q/A 3 L7 Sécurité / Décembre 2010

4. Définition Cyberattaque « Acte malveillant envers un dispositif informatique, conduit via un réseau cybernétique. » (wikipedia) Concepts adjacents: Cybercrime, cyberterrorisme, cyberguerre 4 L7 Sécurité / Décembre 2010

5. Contexte social 234 mio. de sites web 133 mio. de blogs Twitter: 106 millions d’utilisateurs 55mio. msg./sec. (600/sec.) Facebook: 2.5mia. photos./j. (964/sec.) 260 mia. de pages vues (6 millions/minute) Internet: 1,966 mia. d’Hommes 78% des internautes fait confiance aux recommandations d’autres internautes 5 L7 Sécurité / Décembre 2010

6. Concentration de données De plus en plus de « concentrateurs » de données personnelles De plus en plus de « conteneurs » de données personnelles: Presse Santé E-commerce Moteurs de recherche Services publics Etc. 6 L7 Sécurité / Décembre 2010

7. L’effet long-tail Exemple sur un service de réseautage social générant 260 milliards de pages vue chaque mois: « Les visiteurs cliquent en moyenne une fois toutes les 1’000 pages vues (CTR=0.1). Un clic sur une publicité est facturé .50 centimes à l’annonceur. » Quel est le revenu généré chaque mois? 7 L7 Sécurité / Décembre 2010

8. L’effet long-tail 260 mia. De pages vues = 480 pages par mois/utilisateur 480 pages/mois -> 5,7 clics par année 5,7 clics * 0.5 = 2.85.- 2.85.-/utilisateur x 540 millions = 1’539’000’000. Sans compter les autres formes de revenus: Construction et maintenance de campagnes marketing Développements d’applications Services d’information divers Etc. 8 L7 Sécurité / Décembre 2010

9. Enjeux éco-géopolitiques 9 L7 Sécurité / Décembre 2010 L’information joue un rôle central dans les conflits actuels!

10. Enjeux éco-géopolitiques 10 L7 Sécurité / Décembre 2010

11. Enjeux éco-géopolitiques Scène globale: chaque système connecté est joignable par chaque internaute Les internautes ne naissent pas égaux en moyens: Le rapport entre le pouvoir d’achat global et les connaissances techniques n’est pas formalisé. Des internautes « pauvres » sont très informés, des internautes « riches » ne le sont pas du tout. L7 Sécurité / Décembre 2010 11

12. Contexte technologique 12 L7 Sécurité / Décembre 2010

13. Contexte technologique Exemple: l’écosystème « mobile » (téléphone/laptop) Quelles données s’y trouvent? L7 Sécurité / Décembre 2010 13

14. Contexte technologique Identité du propriétaire Contacts Appels récents, appels fréquents Messages SMS/MMS Photos, vidéos Historique de navigation Mots de passes d’accès aux services Fichiers téléchargés Messagerie professionnelle, fichiers professionnels Positionnement géographique, historique des déplacements Capacités transactionnelles (achats, ventes, etc.) … L7 Sécurité / Décembre 2010 14

15. Contexte technologique Quelle conséquence: En cas de destruction? Est-ce récupérable? En cas de vol? Peut-on en faire un usage malveillant? En cas de panne? A-t-on des processus de secours en place? L7 Sécurité / Décembre 2010 15

16. Contexte technologique Connectivité intégrée Réseaux hétérogènes Systèmes hétérogènes Applications hétérogènes Personnel de supervision/contrôle hétérogène Utilisateurs hétérogènes (et naifs, et imprévisibles, parfois…) Traitements et collecte de données en tous points! L7 Sécurité / Décembre 2010 16

17. Contexte criminel Motivation fondamentale: l’argent Moyens de l’obtenir: Vol d’argent Création d’argent Sources de revenu: Trafic (prostitution, enfants, main d’œuvre, armes, narcotrafic, alcools, documents électroniques, etc.) Besoin de communiquer/s’organiser (en toute sécurité) L7 Sécurité / Décembre 2010 17

18. Contexte criminel La filière est de plus en plus complexe à maintenir: Les dispositifs ALM et KYC dans les banques empêchent les transferts et dépôts Les éléments d’identité sont plus chers à falsifier Le déploiement de contrôles « technologiques » aux frontières rend plus risqué les transports de marchandises L7 Sécurité / Décembre 2010 18

19. Contexte criminel Internet: Disponibilité des systèmes transactionnels à l’échelle mondiale Le coût d’accès à l’identité d’une personne est plus bas: Possibilité de mieux s’informer sur les gens pour passer les contrôles Possibilité d’opérer des transactions financières dès que l’identité numérique d’une personne est obtenue L7 Sécurité / Décembre 2010 19

20. Contexte terroriste Objectif : politique Mode opératoire: terreur, via la menace constante et arbitraire Moyens traditionnels: le contact physique Agression, enlèvements, chantages, explosions, etc. Approche de plus en plus risquée et coûteuse! L7 Sécurité / Décembre 2010 20

21. Contexte terroriste Grâce à la connexion d’infrastructures critiques (SCADA), Internet offre de nouvelles perspectives au terrorisme (cyberterrorisme): Paralysie de systèmes critiques Détérioration de systèmes: Corruption de données financières à large échelle Corruption discrète et durable de systèmes critiques Un mode opératoire « distant » et dans de nombreux cas, moins cher. L7 Sécurité / Décembre 2010 21

22. Contexte stratégique: valeur de l’information Postulat 1: Chaque acteur d’un système accorde une valeur personnelle à tout élément d’information du système: Préoccupation de conserver le secret Préoccupation de conserver l’état Préoccupation de maintenir accessible L7 Sécurité / Décembre 2010 22

23. L7 Sécurité / Décembre 2010 23

24. Contexte stratégique: valeur de l’information Postulat 2: La majorité des acteurs d’un système ignore/nie le postulat 1. L7 Sécurité / Décembre 2010 24

25. Contexte: résumé Concentration très forte de « données » Grand nombre d’acteurs gérant des données (personnelles, financières) Connectivité universelle: tout est relié à Internet, donc « accessible » à distance, quelque soit le niveau socio-économique de l’internaute. Présence de motivations gouvernementales, criminelles et terroristes pour accéder aux systèmes et leurs données. Les moyens mis en œuvre pour défendre ne sont pas proportionnés aux attaques. 25 L7 Sécurité / Décembre 2010

26. Objectifs Identifier le contexte Comprendre les concepts de la sécurité des systèmes d’information Identifier les « cybercriminels » et comprendre leurs motivations Parcourir et comprendre l’actualité Les enjeux pour l’avocat Q/A 26 L7 Sécurité / Décembre 2010

27. Sécurité de l’information(aka: pourquoi est-ce intéressant de cyberattaquer une organisation?) Trois propriétés fondamentales: Confidentialité « Tu accèdes à ça, je me fâche! » Intégrité « Tu modifies ça, je m’énerve! » Disponibilité « Tu me fais planter ça, j’enrage! » 27 L7 Sécurité / Décembre 2010

28. Sécurité de l’information(aka: pourquoi est-ce intéressant de cyberattaquer une organisation?) Trois impacts fondamentaux: Vol de données « On nous a volé les câbles diplomatiques! » Corruption de systèmes « Il y a des erreurs dans toutes les transactions!» Interruption de services « On n’a plus accès au service!» 28 L7 Sécurité / Décembre 2010

29. Sécurité de l’information(aka: pourquoi est-ce intéressant de cyberattaquer une organisation?) Exemples: Voler des mots de passe (confidentialité) Accéder aux documents personnels (confidentialité) Consulter les messages d’une personne (confidentialité) Effectuer une transaction bancaire au nom d’une autre personne (intégrité) Modifier les adresses de livraison dans un compte sur un e-commerce (intégrité) Injecter un installateur de cheval de Troie dans la page d’accueil d’un portail Internet (intégrité) Déclencher l’arrêt d’un service en ligne (disponibilité) Paralyser un service en ligne (disponibilité) Etc. L7 Sécurité / Décembre 2010 29

30. Contexte technologique: vulnérabilités Certains systèmes sont « vulnérables » À qui/à quoi sont.ils vulnérables? (la menace) Qu’est-ce qui est vulnérable? (la vulnérabilité) Notion de risque: Risque = Menace x Exposition à la menace 30 L7 Sécurité / Décembre 2010

31. Vulnérabilités physiques 31 L7 Sécurité / Décembre 2010

32. Vulnérabilités logiques 32 L7 Sécurité / Décembre 2010

33. 33 L7 Sécurité / Décembre 2010

34. 34 L7 Sécurité / Décembre 2010

35. Vulnérabilités humaines 35 L7 Sécurité / Décembre 2010

36. Sécurité de l’information(aka: pourquoi est-ce intéressant de cyberattaquer une organisation?) Trois formes de mesures: Les défenses physiques Les défenses logiques Les défenses humaines (chacune de ces mesures vient compenser les faiblesses des deux autres) 36 L7 Sécurité / Décembre 2010

37. Conclusion: sécurité de l’information 3 objectifs de sécurité: maintenir la confidentialité, l’intégrité et la disponibilité des systèmes Les systèmes peuvent contenir des vulnérabilités. Ces vulnérabilités sont accessibles à toute personne sachant interroger les outils publics. L7 Sécurité / Décembre 2010 37

38. Objectifs Identifier le contexte Comprendre les concepts de la sécurité des systèmes d’information Identifier les « cybercriminels » et comprendre leurs motivations Parcourir et comprendre l’actualité Les enjeux pour l’avocat Q/A 38 L7 Sécurité / Décembre 2010

39. L7 Sécurité / Décembre 2010 39

40. L7 Sécurité / Décembre 2010 40

41. L7 Sécurité / Décembre 2010 41

42. L7 Sécurité / Décembre 2010 42

43. 6944 recherches par seconde… 43 L7 Sécurité / Décembre 2010

44. L7 Sécurité / Décembre 2010 44

45. L7 Sécurité / Décembre 2010 45

46. L7 Sécurité / Décembre 2010 46

47. L7 Sécurité / Décembre 2010 47

48. L7 Sécurité / Décembre 2010 48

49. L7 Sécurité / Décembre 2010 49

50. L7 Sécurité / Décembre 2010 50

51. L7 Sécurité / Décembre 2010 51 "Dear valued skype member: It has come to our attention that your skype account informations needs to be updated as part of our continuing commitment to protect your account and to reduce the instance of fraud on our website. If you could please take 5-10 minutes out of your online experience and update your personal records you will not run into any future problems with the online service. However, failure to update your records will result in account suspension. Please update your records on or before May 11, 2008. you are requested to update your account informations at the following link. To update your informations."

52. Motivations d’une cyberattaque Motivations humaines: Vengeance Enrichissement financier Politique Stratégie/gouvernement Concurrence (accès aux secrets) Reconnaissance, appartenance, compétitions Curiosité technique Etc. L7 Sécurité / Décembre 2010 52

53. Motivations d’une cyberattaque Modes opératoires: Vol de données (vol d’identité) Corruption/détournement de systèmes Paralysie de services Ne pas oublier le contexte criminel: Assurer la conduite des opérations de la filière Communication, transport, transactions, etc. Revendre les compétences d’intrusion Revente de données, location du « piratage » L7 Sécurité / Décembre 2010 53

54. Objectifs Identifier le contexte Comprendre les concepts de la sécurité des systèmes d’information Identifier les « cybercriminels » et comprendre leurs motivations Parcourir et comprendre l’actualité Les enjeux pour l’avocat Q/A 54 L7 Sécurité / Décembre 2010

55. 55 L7 Sécurité / Décembre 2010 Octobre 2009

56. 56 L7 Sécurité / Décembre 2010 Mai 2007

57. 57 L7 Sécurité / Décembre 2010 Mai 2007

59. Cliquer sur « attaquer »58 L7 Sécurité / Décembre 2010 Mai 2007

60. Sites web « prêts à être piratés » 59 L7 Sécurité / Décembre 2010 Mai 2007

61. Objectif de l’attaque: empêcher toute communication avec l’extérieur du pays. 60 L7 Sécurité / Décembre 2010 Mai 2007

62. Chaque système vendu devra avoir le logiciel pré-installé. Le logiciel récupère lui-même la liste de sites « bloqués » 40 millions d’ordinateurs ont été achetés en Chine en 2008 Un contrat de 3 millions de $ conclu entre l’éditeur et le gouvernement chinois. 61 L7 Sécurité / Décembre 2010 Juin 2009

63. L7 Sécurité / Décembre 2010 62 Avril 2010

64. L7 Sécurité / Décembre 2010 63 Avril 2010

65. L7 Sécurité / Décembre 2010 64 Juillet 2010

66. L7 Sécurité / Décembre 2010 65 Novembre 2010

67. L7 Sécurité / Décembre 2010 66 Novembre 2010

68. L7 Sécurité / Décembre 2010 67 Novembre 2010

69. 68 L7 Sécurité / Décembre 2010 Novembre 2010

70. 69 L7 Sécurité / Décembre 2010 Novembre 2010

71. 11 novembre 2010 70 L7 Sécurité / Décembre 2010

72. 12 novembre 2010 71 L7 Sécurité / Décembre 2010

73. 13 novembre 2010 72 L7 Sécurité / Décembre 2010

74. 15 novembre 2010 (nda: le 14 novembre était un dimanche…) 73 L7 Sécurité / Décembre 2010

75. L7 Sécurité / Décembre 2010 74 Novembre 2010

76. 75 L7 Sécurité / Décembre 2010 Novembre 2010

77. L7 Sécurité / Décembre 2010 76 Novembre 2010

78. L7 Sécurité / Décembre 2010 77 Novembre 2010

79. L7 Sécurité / Décembre 2010 78 Novembre 2010

80. L7 Sécurité / Décembre 2010 79 Décembre 2010

81. 80 L7 Sécurité / Décembre 2010

82. L7 Sécurité / Décembre 2010 81

83. 82 L7 Sécurité / Décembre 2010

84. Objectifs Identifier le contexte Comprendre les concepts de la sécurité des systèmes d’information Identifier les « cybercriminels » et comprendre leurs motivations Parcourir et comprendre l’actualité Les enjeux pour l’avocat Q/A 83 L7 Sécurité / Décembre 2010

85. Enjeux pour l’avocat Enjeu 1: Les données jouent un rôle critique dans le cadre d’une affaire: Données personnelles Données confidentielles, stratégiques Elles doivent être protégées. L7 Sécurité / Décembre 2010 84

86. Enjeux pour l’avocat Identifier les données en jeu: Données mobiles: téléphone, portable Données immobiles: l’étude, le domicile Les données informent-elles sur: La situation personnelle, professionnelle, médicale, financière d’une personne? La situation économique d’une entreprise? L7 Sécurité / Décembre 2010 85

87. Enjeux pour l’avocat S’assurer de leur sécurité: Mesures physiques: Systèmes protégés par cryptographie Bons mots de passes Mesures logiques: Systèmes maintenus à jour et protégés par antivirus Mesures humaines: Collaborateurs sensibilisés et engagés Bons mots de passes et utilisation « saine » des réseaux L7 Sécurité / Décembre 2010 86

88. Enjeux pour l’avocat Rappel du postulat « valeur des données »: Qui peut-être intéressé d’accéder aux données? Dans le cadre de l’affaire Dans le cadre d’autres intérêts (économiques, stratégiques) L7 Sécurité / Décembre 2010 87

89. Enjeux pour l’avocat Enjeu 2: comprendre les mécanismes particuliers aux cyberattaques: Notion de preuve: les journaux d’activité d’un système résultent peut.être d’une « infection » Le système est peut-être sous contrôle d’un tiers Les données d’accès (identifiants) ont peut-être été réutilisés. L’utilisateur d’un système n’est pas forcément celui qui y a placé des documents numériques. L7 Sécurité / Décembre 2010 88

90. Enjeux pour l’avocat Enjeu 2: comprendre les mécanismes particuliers aux cyberattaques: « L’arme du crime » n’est pas au bon endroit dans presque 100% des cas. Savoir faire appel aux experts pour: interpréter les éléments savoir de qui exiger des actions utiliser le bon vocabulaire … L7 Sécurité / Décembre 2010 89

91. L7 Sécurité / Décembre 2010 90

92. Conclusion - perspectives Le cybercrime est une menace nouvelle qui ne va certainement que s’accroître dans les années à venir. Le mode opératoire du cybercrime consiste en grande partie à utiliser les systèmes de personnes « innocentes. » L7 Sécurité / Décembre 2010 91

93. Conclusion - perspectives L’avocat sera amené à gérer: De plus en plus de clients n’ayant pas conscience de leur implication. Des données auxquelles d’autres personnes tentent d’accéder L7 Sécurité / Décembre 2010 92

94. Q/A? L7 Sécurité / Décembre 2010 93

95. Merci de votre attention! Pour me contacter: antonio.fontes@L7securite.ch Sur le web:@starbuck3000 L7 Sécurité / Décembre 2010 94