lundi 28 avril 2008

Quand les pirates et les fraudeurs s'attaqueront directement aux équipements

Un billet mis en ligne par Bruce Schneier sur son blog désire attirer l'attention sur un article scientifique qui explique comment des pirates pourraient concevoir et distribuer des circuits informatiques malicieux facilitant des attaques contre les ordinateurs équipés de ces circuits -- et les données personnelles qu'ils contiennent. Cet article démontre à quel point il serait facile à un groupe minimalement organisé de réaliser un tel 'exploit', et comment il permettrait à ses auteurs d'accéder à tous les mots de passe des utilisateurs de ces machines, ou même d'en prendre le contrôle de manière aisée. L'avantage d'une telle stratégie est d'ailleurs relativement facile à comprendre: les systèmes actuels de sécurité informatiques sont principalement orientés vers la défense de l'intégrité des logiciels, et les équipements en tant que tels ne font pas l'objet d'une surveillance aussi approfondie.

Dans la mesure où une part de plus en plus importante des équipements informatiques et de télécommunications sont fabriqués dans des pays où la chaîne d'approvisionnement et de fabrication n'est pas toujours très transparente ni intègre, on peut craindre que telles attaques ne deviennent une réalité dans un avenir relativement proche. D'ailleurs, plusieurs exemples de virus informatiques implantés dans les usines de sous-traitants de grandes marques informatiques sur des produits tels que des lecteurs de musique ou des cadres de photo numériques au cours des derniers mois attestent de la faisabilité de telles pratiques. Il serait à cet égard surprenant que les services de renseignement occidentaux, mais aussi asiatiques, n'aient pas adopté une telle approche afin de pénétrer de manière plus ou moins extensive les systèmes informatiques de leurs adversaires. En effet, à l'heure de la mondialisation, même les systèmes les plus vitaux d'une économie ou d'un gouvernement sont achetés aux prix les plus bas du marché.

mardi 22 avril 2008

Les banquiers anglais veulent limiter leur responsabilité

Selon le site ComputerworldUK, les banques anglaises seraient en train de modifier leur code de conduite afin de limiter leur responsabilité de remboursement en cas de fraude. Les clients victimes devront en effet bientôt être en mesure de prouver qu'ils ont régulièrement mis à jour leurs logiciels antivirus et anti-spyware afin d'être dédommagés. Dans le cas contraire, ils seront considérés comme imprudents dans leur utilisation d'Internet, et devront assumer seuls la responsabilité financière de la fraude. Cette nouvelle approche semble indiquer que les pertes absorbées par les banques en raison des fraudes en ligne deviennent de plus en plus lourdes, et que la politique actuelle de compensation relativement généreuse risque d'être remise en question à plus ou moins brève échéance, que ce soit en Angleterre ou ailleurs.

On peut penser que cette responsabilisation des usagers risque de devenir la norme dans un avenir pas si éloigné que cela. J'aime utiliser l'analogie de la sécurité routière, qui nous montre comment l'encadrement réglementaire d'une révolution technologique s'est construit tout au long du 20ème siècle. Étant donné que nous sommes entrons tout juste dans la deuxième décennie de l'utilisation populaire de l'Internet, nous pouvons anticiper de nombreux changements dans les normes en matière de sécurité en ligne. Par contre, un récent sondage mené aux USA par la National Cyber Security Alliance montre à quel point les usagers individuels restent encore mal équipés pour prendre le contrôle de leur sécurité informatique.

On y apprend en effet que plus de 50% des utilisateurs n'ont pas changé le mot de passe de leur ordinateur depuis plus d'un an, et que 71% n'ont pas la moindre idée de ce que à quoi le terme 'botnet' fait référence (alors qu'il s'agit de l'une des principales menaces en matière de fraude informatique à l'heure actuelle). 46% se disent désemparés et ne sauraient pas quoi faire s'ils devenaient victime d'un 'cybercrime', et une proportion équivalente (48%) déclare ne pas savoir comment se protéger contre les 'cyber-délinquants'. Ce énième sondage ne nous apprend peut-être rien de bien nouveau, mais il a le mérite de montrer que les programmes d'information du public et de prévention ont encore bien du travail à accomplir.

D'ailleurs, pour prolonger l'analogie de la sécurité routière, pouvez-vous vous rappeler la dernière campagne publique de sensibilisation au vol d'identité ou à la fraude informatique à laquelle vous avez été exposés?

mercredi 16 avril 2008

Les fraudeurs ciblent les dirigeants d'entreprises

Un article publié par Siliconvalley.com fait état d'une nouvelle approche déployée par les pirates informatiques et les voleurs d'identité pour se procurer des informations personnelles à forte valeur ajoutée. En effet, une épidémie de courriels adressés à de hauts dirigeants d'entreprises américaines joue sur la peur qu'ont ces derniers de se voir intenter un procès pour les convaincre de télécharger un fichier contenant un programme malicieux (malware en bon français). Le courrier électronique qu'ont reçu des milliers de dirigeants semble en effet provenir de la Cour du district de San Diego (qui affiche d'ailleurs un message de mise en garde sur son site), et les invite à se présenter devant cette dernière pour témoigner dans une plainte civile. Chaque courriel contient le nom, le numéro de téléphone et la raison sociale de l'entreprise du destinataire, ce qui renforce considérablement la force de persuasion du stratagème, puisque l'émetteur semble connaître personnellement la victime.

Le document légal expliquant la cause en attachement au courriel contient en fait un programme qui une fois téléchargé enregistre les mots de passe des utilisateurs et permet aux pirates de prendre le contrôle de la machine infectée. Seulement 40% des logiciels anti-virus seraient capables de détecter ce programme. Plusieurs milliers de victimes auraient été recensées.

Cette démarche est intéressante à plusieurs titres:
  • Tout d'abord, les fraudeurs ciblent leurs victimes de manière beaucoup plus sélective en consacrant plus de temps et d'efforts à des personnes dont les machines donnent accès à de plus grandes quantité d'informations personnelles, à des comptes bancaires à priori mieux remplis et à des systèmes informatiques plus sensibles;
  • Par ailleurs, le stratagème employé pour convaincre les victimes d'ouvrir un document infecté ne repose pas sur l'appât du gain, comme dans les fraudes classiques, mais sur la crainte d'être pris en défaut de conformité, ce qui est beaucoup plus problématique dans un contexte où l'on veut promouvoir une culture de la sécurité;
  • Enfin, il semble que les logiciels malicieux utilisés, conçus sur mesure et diffusés de manière restreinte, soient beaucoup plus difficile à détecter et éradiquer que les virus informatiques à forte propagation.
On peut bien épiloguer sur la baisse des prix des numéros de cartes de crédit volées, qui se braderaient sur Internet en raison de la forte compétition sur les marchés illicites, mais il semble que les fraudeurs disposent encore de ressources insoupçonnées pour tirer profit de la crédulité de leurs victimes, quel que soit le statut social de ces dernières.