La lutte contre le cybercrime sur la bonne voie, selon le dernier rapport trimestriel de PandaLabs

• De grandes entreprises comme Burger King et la BBC ont vu leur compte Twitter piraté
• Des poids lourds de l’informatique ont été victimes d’une même cyberattaque – Twitter, Facebook, Apple et Microsoft
• Un logiciel malveillant pour Android dissimulé sur Google Play a infecté des ordinateurs via des smartphones et tablettes

PandaLabs, le laboratoire antimalware de Panda Security, publie son rapport trimestriel qui passe en revue l’actualité de la sécurité informatique entre les mois de janvier et mars 2013. Malgré de nombreux incidents de sécurité au cours du premier trimestre, on peut dire que la lutte contre le cybercrime est sur la bonne voie cette année. Certes, il reste encore beaucoup de chemin à parcourir, mais la coopération internationale entre les diverses agences de sécurité commence à payer et partout dans le monde des cybercriminels se sont retrouvés face à la justice.

« En début d’année, nous avons été témoins d’attaques sérieuses parmi lesquelles le piratage des comptes Twitter de la BBC et de Burger King et l’une des plus importantes attaques à aujourd’hui qui a visé des acteurs majeurs de l’informatique : Apple, Facebook, Microsoft et Twitter. Cependant, nous avons aussi connu quelques victoires remportées par les forces de police, avec notamment l’arrestation d’un groupe de cybercriminels accusé d’escroquerie au moyen du fameux Virus Police », estime Luis Corrons, le directeur technique PandaLabs.

Android, la cible mobile préférée des pirates

Presque toutes les informations qui nous parviennent sur les menaces visant les plateformes mobiles concernent Android, le système d’exploitation ayant la plus grande part de marché sur ce segment. En plus des attaques habituelles, nous avons découvert ce trimestre une nouvelle technique d’infection inédite. En effet, ce nouveau code malveillant pour Android, infiltré sur Google Play, était capable d’infecter non seulement les téléphones portables mais aussi les ordinateurs par l’intermédiaire des smartphones et des tablettes.

Par ailleurs, on assiste, selon Luis Corrons, à de plus en plus d’événements en rapport avec la cyber-guerre et le cyber-espionnage. « Les soupçons portant sur la Chine, suspectée d’être impliquée dans de nombreuses cyber-attaques contre de grandes institutions et organisations dans le monde, pourraient avoir des répercussions dans le monde « réel ». Dans ce contexte, des voix s’élèvent en faveur d’accords internationaux, sur le modèle de la Convention de Genève par exemple, pour tenter de fixer des garde-fous », précise-t-il.

Lutte contre le cybercrime

Le 11 janvier, la Commission Européenne a inauguré le Centre européen de lutte contre la cybercriminalité (EC3) afin de soutenir les états-membres dans la lutte contre les cyber-attaques. En janvier également, le FBI a publié des informations détaillées sur une investigation commencée en 2010 qui a conduit à l’arrestation d’un gang de cyber-criminels qui a infecté plus d’un million d’ordinateurs depuis 2005. Cette opération se distingue notamment par la remarquable coordination entre les forces de police des différents pays impliqués : le FBI a eu le soutien de la police de Moldavie, de Roumanie, des Pays-Bas, d’Allemagne, de Finlande, de Suisse et du Royaume-Uni.

La lutte contre le cybercrime englobe de nombreux aspects très variés. Un des points trop souvent oubliés est la nécessité pour les entreprises de bien protéger les données de leurs clients. La division britannique de Sony Computer Entertainment s’est fait durement rappeler à l’ordre à ce sujet, avec une amende de 250.000 £ à payer suite au vol de ses données clients en 2011. Cette condamnation sanctionne le manque de mesures prises par l’entreprise pour protéger les informations de ses clients.

Le virus police

Le tristement célèbre « virus police » a encore fait parler de lui en début d’année. En février, ce virus a, une fois de plus, fait les gros titres de l’actualité mais pour une raison différente cette fois. La Brigade d’investigation technologique de la Police espagnole, en collaboration avec Europol et Interpol, a démantelé le gang cyber-criminel à l’origine du Virus Police. « Selon les informations compilées par notre laboratoire PandaLabs, il existe cependant plusieurs gangs de cyber-criminels qui exploitent le virus police. Nous sommes parvenus à cette conclusion après avoir analysé de nombreuses variantes de ce logiciel malveillant au fil du temps et avoir observé des différentes significatives entre ces codes malveillants. Autrement dit, cette arrestation est une bonne nouvelle, elle ne signifiera malheureusement pas la fin prochaine du Virus Police. Les internautes doivent rester sur leurs gardes », précise Luis Corrons.

Twitter, Facebook, Apple et Microsoft victimes d’une même attaque

Le 1er février 2013, Twitter a publié un article sur son blog détaillant comment le réseau social de micro-blogging a été victime d’une attaque suite à un accès non autorisé aux données de quelques 250.000 utilisateurs. Quelques semaines plus tard, Facebook relatait à son tour sur son blog comment leurs systèmes avaient été la cible d’une attaque sophistiquée. Selon les informations communiquées par le populaire réseau social, les données des utilisateurs n’auraient pas été compromises lors de cette attaque. Quelques jours après l’annonce de Facebook, un porte-parole d’Apple a informé Reuters que l’entreprise à la pomme avait également été ciblée par cette même attaque. Dernier mais pas des moindres, Microsoft a admis à son tour avoir été touché. Le dénominateur commun de ces attaques : l’exploitation d’une faille de sécurité Java encore inconnue, pour laquelle il n’existait donc pas encore de correctif. C’est ce que l’on appelle une vulnérabilité zero-day. Dans tous les cas, il est critique de pouvoir identifier une attaque au moment où elle se produit et Twitter, Facebook, Apple et Microsoft en ont été capables.

Java

De nos jours, la plupart des infections se produisent au moyen de kits d’exploitation de failles de sécurité, qui infectent les ordinateurs des utilisateurs à leur insu via des vulnérabilités non corrigées. Dans plus de 90% des cas, il s’agit de vulnérabilités Java dans le navigateur. Les attaques visant Microsoft, Apple, Facebook et Twitter utilisaient d’ailleurs des failles de sécurité Java. La plupart des infections du Virus Police se produisent aussi à cause de versions obsolètes de Java sur les ordinateurs. Quelle est la meilleure façon de se protéger contre ces infections ? C’est simple ! Il suffit de supprimer Java du navigateur. Si, pour une raison ou une autre, vous avez besoin de Java dans votre navigateur pour utiliser une application, utilisez un autre navigateur sécurisé spécialement pour cette tâche.

Cyber-attaques

Le moins qu’on puisse dire c’est que ce trimestre s’est distingué tant par le nombre que la diversité des cyber-attaques. Evernote a été victime d’une intrusion qui a amené l’entreprise à faire une communication appelant ses quelques 50 millions d’utilisateurs à changer leur mot de passe. Selon un communiqué de la Réserve fédérale américaine, leur site web a également été attaqué mais aucune donnée n’aurait été dérobée. L’incident coïncide cependant avec la publication par les Anonymous des données personnelles de 4.000 cadres supérieurs de banques américaines, ce qui laisse à penser qu’ils seraient à l’origine de cette attaque. La NASA aussi a subi une intrusion. Des informations internes, notamment des adresses email, noms réels et mots de passe, ont été publiées sur le populaire site web Pastebin.

Réseaux sociaux

Au cours du trimestre, les comptes Twitter de nombreuses personnalités et entreprises importantes ont été piratés. Un des piratages qui ont le plus attiré l’attention est celui de Burger King lors duquel les pirates ont, semble-t-il, réussi à deviner le mot de passe et pris le contrôle du compte. Les pirates ont modifié l’image de fond, qu’ils ont remplacé par un visuel de McDonalds, et déclaré que l’entreprise avait été acquise par son principal rival.

Le compte Twitter du constructeur automobile Jeep a été victime d’une attaque semblable, au cours de laquelle il a été annoncé que l’entreprise avait été rachetée par Cadillac. D’autres piratages de comptes Twitter avaient une visée plus politique. Un groupe de pirates se faisant appeler la “Syrian Electronic Army” est parvenu à pirater les comptes de plusieurs organisations. Apparemment, des campagnes de phishing ont d’abord été lancées pour obtenir les mots de passe et ensuite prendre le contrôle des comptes. Parmi leurs victimes figurent l’organisation de défense des droits humains Human Rights Watch, la chaîne d’information française France 24 et le service météo de la BBC.

Cyber-guerre

La Chine est rarement loin lorsque l’on évoque le sujet de la cyber-guerre mais ce trimestre le géant asiatique a remporté la palme. Le 30 janvier, le The New York Times a publié en manchette un long article expliquant que le journal avait été victime d’une attaque ayant permis à des intrus d’accéder à leurs ordinateurs et de les espionner pendant des mois. Curieuse coïncidence, cette attaque s’est produit juste après que le journal ait publié un article décrivant comment le premier ministre chinois Wen Jiabao et sa famille avait amassé une fortune s’élevant à plusieurs milliards de dollars.

Un jour après, le Wall Street Journal déclarait avoir été lui aussi victime d’une attaque similaire par des pirates chinois. Le gouvernement chinois a protesté contre ce qu’il considère comme des “accusations infondées” et le ministre chinois des affaires étrangères Hong Lei a déclaré que “accuser l’armée chinoise de lancer des cyberattaques sans preuve n’était pas professionnel et sans fondement”.

Bizarrement, dans le cas de ces deux incidents, les pirates avaient accès à tous types de données (informations clients, etc.) mais ils ne se sont intéressés qu’aux informations sur les journalistes et les salariés, cherchant des informations sur les investigations concernant la Chine et en particulier les sources utilisées par le journal.

Le lendemain de la révélation du Wall Street Journal, un autre géant américain de l’information, le Washington Post, a annoncé également avoir subi une attaque de ce genre en 2011, avec aussi une origine chinoise.

Quelques semaines plus tard, un nouveau pavé est tombé dans la mare avec la publication par Mandiant d’un rapport accablant de 76 pages (APT1: Exposing One of China’s Cyber Espionage Units, http://intelreport.mandiant.com/) qui détaille le fonctionnement de l’Unité 61398 de l’armée chinoise spécialisée dans le cyber-espionnage. Le rapport a révélé plus de 3.000 éléments de preuve démontrant comment cette unité a été mise en place en 2006 (au plus tard) et a dérobé des informations à pas moins de 141 organisations dans le monde.

« Nous ne nous rendons pas forcément encore compte de l’importance du rapport Mandiant et de l’impact qu’il peut avoir à moyen et long terme. Prouver quelles sont les personnes à l’origine d’une attaque est une tâche extrêmement complexe, même dans les cas classiques de cyber-criminalité. Lorsqu’il s’agit de cyber-espionnage, les choses sont encore plus compliquées car les attaques sont menées par des organismes hautement qualifiés ayant des moyens de dissimuler leurs traces. Depuis des années maintenant, tous les regards se tournent vers la Chine lorsqu’il se produit ce genre d’attaque, même s’il n’existe pas de véritable preuve que le gouvernement chinois soit à l’origine de ces attaques. Maintenant, pour la première fois, il a été prouvé que l’armée chinoise est activement impliquée dans l’espionnage au niveau mondial, infiltre des entreprises de nombreux secteurs et dérobe des informations,” explique Luis Corrons.

Le rapport trimestriel de PandaLabs sur la sécurité informatique est disponible sur le centre de presse de Panda Security (en français) et sur le blog du laboratoire PandaLabs.