Éric Freyssinet

Le virus « Gendarmerie » – Bilan de la semaine

stopransomwarebanner6

Site d’information http://stopransomware.fr/

Mise à jour du 15 janvier 2012: Attention, ce virus se propage toujours, par exemple avec des variantes réclamant 100 euros et utilisant ce genre de pages d’avertissement, comme le signale le forum Malekal (voir ici):

Drôle de semaine pour pas mal d’usagers de l’Internet et pour la communauté NTECH de la gendarmerie. En effet, dès samedi 10 décembre nous avons commencé à recevoir des sollicitations au sujet de tentatives d’escroquerie utilisant l’image de la gendarmerie. La spécificité de cette campagne par rapport aux escroqueries par courrier électronique dont nous sommes familiers, c’est qu’elles exploitaient un virus informatique.

Le processus vécu par les victimes est le suivant: en visitant un site à fort trafic (notamment des sites diffusant des vidéos en streaming), une publicité affichée sur le site déclenche l’exécution d’un programme qui exploite une vulnérabilité présente sur leur ordinateur (notamment dans des versions de Java sous Windows XP et Windows Vista). Celle-ci installe ensuite le cheval de Troie (souvent après des messages d’avertissement mal interprétés par les victimes) qui vient bloquer l’ordinateur et affiche un message réclamant le paiement d’une amende.

Les escroqueries sur Internet adoptent de nombreux ressorts pour parvenir à leurs fins. Celle-ci en cumule plusieurs qu’il est intéressant de décomposer:

  • l’utilisation de l’image d’une institution ou d’une entreprise;
  • la faute que l’on peut réparer;
  • l’obstruction.

Utilisation de l’image d’une institution

Les campagnes de phishing, les escroqueries à la lotterie et beaucoup d’autres formes de scams utilisent l’image d’une institution. Récemment ont été évoquées les campagnes de phishing liées aux impôts, mais ce sont aussi les plus grandes marques – et en particulier les établissements bancaires et les sociétés de l’Internet – qui voient leur image utilisée. Très souvent c’est uniquement le logo et la marque, mais parfois cela va plus loin et c’est toute la mise en page classique d’un document ou d’un site Web qui sont utilisés pour tromper la victime.

Dans le cas présent, c’est le logo de la gendarmerie qui est exploité, associé à celui de la République française. Ils sont naturellement associés au respect de la loi:

Le symbole de la République utilisé est une de ses représentations historiques: le faisceau de licteur, mais dans la version que l’on retrouve sur Wikipédia. Il est aujourd’hui utilisé par la Présidence de la République et on le retrouve par exemple sur nos passeports.

C’est donc très clairement le public français qui est visé. D’ailleurs, la version du virus qui est diffusée en France est effectivement liée à l’implantation géographique de la victime. En effet, comme ont pu le noter certains analystes (voir article sur Malekal), le mode de diffusion de ce virus utilise la possibilité pour des bannières publicitaires de s’adapter au pays d’où provient la connexion (c’est une fonctionnalité offerte par les sociétés qui offrent ce type de services). Derrière ce sont de véritables kits qui sont exploités (comme Blackhole) et donc vont permettre de déclencher des vulnérabilités en fonction de la configuration de la machine visée.

Dans les cas précédents qui ont été rapportés récemment, ce sont d’autres services de police qui ont été utilisés, en particulier la police allemande, mais aussi suisse, espagnole, hollandaise ou argentine.

La faute que l’on peut réparer

Le message d’alerte affiche ensuite une liste de fautes que l’on aurait commises: pédopornographie et atteintes aux droits d’auteurs. Ce mécanisme fait appel à l’inconscient collectif fortement marqué par ces sujets. Ainsi, une personne qui va sur des sites pornographiques en se cachant de son entourage pourra penser qu’il a pu visiter des sites illégaux sans y faire attention. Une autre qui télécharge des séries ou des films, sans toujours vérifier si leur origine est légale se sentira concernée. La victime est alors placée dans l’incertitude (qu’est-ce qu’on me reproche exactement ?), dans le qu’en dira-t-on (qu’est-ce que vont en penser ma femme, mes collègues ?) et dans la crainte d’une action policière (je n’ai jamais rencontré les gendarmes… est-ce qu’ils vont être durs avec moi ?).

Mais tout de suite, est offerte la possibilité de s’en sortir, par le paiement d’une amende. Le montant a l’air suffisamment sérieux (100 ou 200€ dans les cas rapportés), même si la méthode de paiement paraît un peu moins officielle (tickets et cartes prépayés).

Dans les autres formes de rançons réclamées par des escrocs, souvent le ressort de la sexualité est utilisé (et les interdits qui y sont associés), et l’accusation très forte et exagérée pour faire peur (« la femme avec qui tu discutais était ma petite sœur mineure… »). Il s’agit ici d’isoler les victimes, de les placer dans un angle dont elles ne pensent pas pouvoir se sortir, où elles auront même peur d’appeler à l’aide. L’escroc est devenu le seul ami de la victime, celui qui peut l’aider.

L’obstruction

C’est la même logique et d’autres ressorts qui sont utilisés dans les virus de rançonnement et exploités ici de façon complémentaire. L’ordinateur ne fonctionne plus et on en a besoin (ou bien on a peur d’expliquer à son propriétaire qui nous l’a prêté qu’on a fait une bêtise). Un obstacle de plus donc entre la victime et la solution de son problème. Dans certaines formes simplifiées de ces virus, c’est un simple blocage de l’ordinateur (fenêtre d’avertissement empêchant l’utilisation et parfois chiffrement des données rendant l’ordinateur inutilisable) ou du téléphone qui est réalisé:

Voir l'article d'origine ici

Bilan de la semaine

Dès le week-end dernier, la communauté des enquêteurs NTECH s’est mobilisée pour échanger de l’information sur ces affaires, d’abord pour avertir les collègues de ces cas, puis donner les bons conseils aux enquêteurs et aux victimes. Des fiches d’information ont par exemple été diffusées par les NTECH dans chaque département. Des échanges ont aussi lieu avec la police nationale, localement et nationalement (avec l’OCLCTIC et la plateforme de signalement Pharos, avec la BEFTI à Paris), qui reçoivent aussi de nombreuses sollicitations.

Pour faciliter la coordination, la permanence de la division de lutte contre la cybercriminalité, a ainsi reçu et traité plusieurs dizaines d’appels par jour sur ce dossier, recoupé et relayé les informations.

Le service de presse (SIRPA) de la gendarmerie a diffusé l’information auprès de l’AFP dès mardi (dépêche AFP reprise ici sur Tahiti infos) pour informer les médias et les pousser à reprendre les informations utiles diffusées sur un certain nombre de forums d’entraide.

L’information est reprise:

Plusieurs centaines de personnes ont dû voir leur machine contaminée au cours de la semaine en France par cette variante du logiciel malveillant. Tout le territoire français était concerné, d’où l’intérêt d’un dispositif dense d’enquêteurs formés ou sensibilisés à ces questions. Moins d’une dizaine de personnes ont effectivement payé la somme, des plaintes ont alors été prises et des enquêtes ouvertes.

Les conseils

D’abord de bon sens: la gendarmerie, la police ou les services publics en général, n’iront pas bloquer votre ordinateur et vous menacer de devoir payer une amende, encore moins pour des faits totalement vagues et par un moyen de paiement plutôt réservé à des applications ludiques. Donc, dans ces cas-là se renseigner sur Internet (comme l’ont fait de nombreuses victimes sur des forums d’échanges) ou appeler l’administration concernée et ne jamais payer de sommes d’argent dans un tel contexte.

Sur le plan technique ensuite: tenir à jour son système d’exploitation, les différents logiciels et ajouts (plugins) installés (Java, Flash, Adobe reader pour ne citer que quelques-uns), ainsi que les solutions de sécurité (tels les antivirus). Pour les personnes dont l’ordinateur a été contaminé, plusieurs guides d’aide à la désinfection existent (Melani– agence Suisse de sécurité informatique – signalé par @xylit0lMalekal).

Sur le plan judiciaire enfin. Evidemment, l’installation malveillante d’un virus sur un ordinateur constitue une atteinte à un système de traitement automatisé de données, puni notamment en France par les articles 323-1 et suivants du code pénal. Toutefois, il n’est pas forcément judicieux de porter plainte pour toutes les occurrences de tels faits, même si vous en avez parfaitement le droit. Nous sommes parfaitement au courant que chaque jour des centaines de personnes sont concernées en France et les enquêteurs de la communauté NTECH sont d’ailleurs mobilisés pour répondre à vos questions et vous assister, en particulier sur ce cas comme je vous l’expliquais plus haut.

Dans ce cas, le conseil que l’on peut donner, est de ne déposer formellement plainte que si vous avez malheureusement payé la rançon réclamée. Cela nous permettra d’envisager, avec l’accord des juridictions locales concernées (votre Procureur de la République), de remonter sur les moyens de paiement utilisés.

Autres images

Version OCLCTIC

Lancement d’une communauté opensource pour l’investigation numérique

Cet après-midi, 8 décembre, nous réunissions à Paris les premiers partenaires qui ont accepté de nous soutenir pour la création et l’animation d’une communauté francophone autour des outils opensource pour l’investigation numérique, dans le cadre du centre d’excellence français contre la cybercriminalité (voir ici l’article d’introduction sur le projet 2CENTRE et sur les premières activités déjà lancées).

Nous avons pu ainsi discuter des participants potentiels, des objectifs et des besoins concrets d’une telle communauté. Après une présentation des sociétés Arxsys et Openwide sur leur expérience dans les développements opensource (voir notamment la plateforme DFF gérée par Arxsys), les enquêteurs, spécialistes en sécurité, étudiants, chercheurs, industriels que nous avions réuni ont pu échanger et proposer une première vision sur cette communauté à construire.

Les besoins en outils de l’investigation numérique recouvrent plusieurs domaines parmi lesquels on peut citer : l’analyse criminalistique des supports de preuve (disques durs, téléphones mobiles, etc.), les méthodes et les outils d’investigation sur les réseaux ou d’analyse de traces, et encore, si on rentre dans les détails, l’analyse des virus informatiques ou la comparaison des images pédopornographiques.

Potentiellement donc beaucoup de besoins, mais peu de visibilité encore des acteurs francophones qui s’investissent dans ce domaine. Peu d’occasions pour eux aussi d’échanger sur l’analyse des besoins, les projets existants, les difficultés rencontrées, le développement de documentations pour les utilisateurs ou l’évaluation de leurs outils.

Beaucoup de questions aussi, qui seront plus faciles à résoudre collectivement, comme celles qui touchent à la déontologie (comme en matière de sécurité, peut-on et doit-on tout publier ?), la science (comment valoriser les approches scientifiques dans les investigations numériques, comment mener et publier des recherches sur des cas réels) ou la question des jeux de test (comment créer des exemples réalistes pour la formation, le développement ou l’évaluation des outils).

Si vous êtes intéressé pour participer et rejoindre cette communauté, merci d’écrire à opensource[à]crimenumerique.fr, nous vous tiendrons ainsi directement informés. Dès le premier trimestre 2012 nos premiers outils devraient être mis en place, donc ne tardez pas à nous contacter.

Allez voir « Polisse »

22h15 hier soir, la lumière se rallume doucement dans la plus grande salle du Forum des Halles pendant que le générique de fin défile, dans un silence presque total. Le public est scotché dans les fauteuils. Deux heures viennent de s’écouler où nous avons partagé une année de tensions, d’action, d’auditions, de nausées, de franches rigolades, de crises de nerfs, d’élans d’amitié, de détresses humaines, de familles blessées, des regards d’enfants heureux malgré tout et d’adolescents souvent paumés.

Cerise sur le gâteau, Maïwenn entre dans la salle, inquiète de savoir pourquoi le public se déplace si nombreux pour voir son film. Les réponses fusent: les acteurs (JoeyStarr mais les autres aussi), le sujet, l’affiche… Pourquoi ils ont aimé ce soir: l’absence de parti pris, les qualités cinématographiques, les acteurs formidables.

J’allais voir ce film avec à la fois un grand intérêt, comme à chaque fois qu’un film parle de notre travail ou du travail de nos collègues, avec des acteurs que j’aime beaucoup (Marina Foïs est exceptionnelle ici encore) et quelques inquiétudes (Joeystarr en flic je n’y croyais pas trop). J’en suis ressorti – et je le suis toujours ce matin – sous le charme, estomaqué, presque retourné.

On y retrouve ce pourquoi on fait ce genre de métiers: le service du public, le contact avec la vraie vie et l’impact concret que l’on peut avoir sur la vie des gens, le travail en équipe, la richesse des relations en général et peut-être le goût pour une matière à la fois technique et humaine. Mais ce film est encore plus riche que cela, un véritable travail d’observation sur l’humain et la société aujourd’hui, au travers du prisme de ce groupe de la brigade de protection des mineurs, fictionnel et en même temps tellement réaliste.

Si vous devez voir un film en ce moment, c’est celui-ci, vous ne le regretterez pas.

Note pour mes lecteurs habituels: le scénario n’est pas centré sur les aspects numériques de ce travail de policiers d’une brigade de protection des mineurs, même s’ils sont évoqués. N’y allez donc pas pour ça, mais réellement pour voir un très beau film sur ces métiers et notre société.

Assises de la sécurité 2011 – quelques notes

Les Assises de la sécurité et des systèmes d’information se tenaient cette année encore à Monaco du 05 au 08 octobre 2011. Une belle réussite grâce aux organisateurs évidemment (DG Consultants), les sponsors et exposants et les très nombreux participants.

Le programme des ateliers, tables rondes et conférences étaient particulièrement denses, aussi ne peut-on assister à toutes évidemment. Les sujets qui ont le plus été discutés: le cloud computing, IPv6, BYOD (apporte ton propre équipement, une tendance qui semblerait se développer et qui pose des problèmes de sécurité) et un fort penchant pour le mot « cybercriminalité » dans le vocabulaire utilisé par les professionnels, en lieu et place des simples « risques » et « menaces ».

Quelques présentations auxquelles j’ai assisté:

– Sogeti présentait les travaux de Guillaume Delugré, un des chercheurs de l’ESEC, sur la possibilité d’attaques dans les architectures en nuage à cause du partage de la mémoire vive sur les serveurs eux-mêmes entre plusieurs machines virtuelles (ces résultats avaient été présentés à Hack.lu 2010) ;

– Orange faisait le point sur le déploiement d’IPv6 en pratique (Christian Jacquenet) et les solutions aux problèmes de sécurité que cela pose ;

– Nicolas Brulez (@nicolasbrulez) de Kaspersky a fait une présentation sur l’état de l’art des malwares bancaires ;

– Stonesoft propose à la communauté de partager sur les « Advanced evasion techniques » qui permettent à des attaques déjà connues et souvent détectées par les solutions de sécurité actuelles d’être camouflées ; ils ont décrit ces techniques dans une annonce faite par le CERT-FI et proposent une plateforme d’information sur ce sujet.

– Une table ronde était consacrée à la classification de l’information au sein de l’entreprise. Il s’agit avant tout de mettre en place des mesures adaptées à chaque classe d’information à protéger en prenant aussi bien en compte les impératifs légaux (données à caractère personnel, données médicales, etc.) que la nécessité de protéger le patrimoine informationnel de l’entreprise. Les témoins présents ont fait état d’un processus souvent difficile – en tous cas nécessitant une perpétuelle mise à jour, aboutissant en général à 4 ou 5 niveaux de protection. Ce travail devra nécessairement prendre en compte les évolutions récentes de la législation (notification obligatoire des incidents de sécurité concernant des traitements de données à caractère personnel) ou futures (comme le texte qui serait proposé prochainement sur la protection du secret des affaires).

Enfin, Myriam Quémener et moi-même présentions une table ronde sur les perquisitions en entreprise, avec le soutien du Clusif. Un document sera bientôt publié sur le site du Clusif pour résumer les principaux points de nos présentations.

Pour la clôture des Assises, Patrick Pailloux a présenté le nouveau logo de l’ANSSI dont il assure la direction et lancé un message fort vers la communauté de la sécurité informationnelle.

Enquête sur un phising par Twitter

Ce matin, je suis surpris par un message un peu incongru d’un de mes contacts sur Twitter:

Guidé uniquement par ma curiosité je décide de suivre le lien qui m’amène sur une page http://mspaworldwide.net/twitter/ qui ressemble en tous points à la page d’accueil de Twitter:

Un petit regard au code source finit de me convaincre qu’il s’agit bien d’un phishing:

et … si l’on remplit le petit formulaire de connexion on est finalement redirigé sans encombre sur la vraie page de twitter (qui, si on est déjà connectés, affiche de toutes façons la liste des publications de nos contacts). Rien de très « high-tech » donc.

Je suis déjà surpris que de nombreuses heures après le début de cette campagne de phishing mon navigateur n’affiche pas une alerte (testé sous Chrome, Firefox, Internet Explorer, à cette heure – 12:07 – seul ce dernier affiche une alerte). Au passage toujours, Twitter utilise http://t.co/ pour relayer ce lien (quand on clique dessus en réalité on passe par http://t.co/2acFQb3 avant d’être redirigé vers le lien original en tinyurl) qui est un domaine censé permettre à Twitter de lutter contre ce genre de problèmes:

Apparemment leur système n’a pas encore détecté le problèmeLes pages d’aide de Twitter nous indiquent qu’on peut signaler les abus de http://t.co/ en envoyant un message à tcoabuse@twitter.com, ce que je viens de faire évidemment.

Je ne sais pas si mon contact a laissé accès à son compte à une application mal intentionnée ou a succombé à la tentative de phishing elle-même… dans l’un et l’autre cas l’ensemble de ses contacts ont donc pu recevoir un message direct les invitant à visiter cette page. (15:27: La victime me confirme que c’est passé par le site de phishing lui-même, pas d’application en cause).

Si vous-même êtes tombés dans le panneau, pas trop d’inquiétude et suivez les indications du support de Twitter pour changer votre mot de passe. Je vous conseille de supprimer aussi les messages directs qui doivent apparaître dans votre compte à destination de vos amis (même si les courriers électroniques d’alerte sont sûrement déjà partis…).

Je ne suis pas le premier à parler de ça, bien évidemment (comme ici par exemple et @gcluley en parlait au début du mois de juillet dans un de ses articles, ou encore (17:18@5ct34m il y a quelques jours qui notait qu’on retrouvait la même IP derrière une URL différente).

Epilogue concernant le site de phishing lui-même (14:19): il est hébergé en Chine. En outre, l’adresse IP hébergeant le site Web de Phishing est 220.164.140.252, qui renvoie, à l’heure où j’écris ces lignes (17:25) à des noms de domaine aux noms intéressants comme iltwitter.com, itiwitter.com ou ltwitteri.com entre autres (voir l’image agrandie pour en apercevoir la liste):


Je pense que seul Twitter peut nous en dire plus sur quelles adresses IP se connectent sur les comptes des victimes. Les infractions que l’on pourrait viser pour cette affaire sont essentiellement celles de collecte déloyale de données à caractère personnel, accès frauduleux à un système de traitement automatisé de données et peut-être le détournement de correspondances privées (les scammers envoient des messages, mais en théorie ils peuvent aussi consulter les autres messages).

Mise à jour (14:51): Chrome n’annonçant toujours pas la page comme du phishing, j’essaie de trouver la fonction qui permet de le signaler. Alors:

  • Ouvrir le menu en cliquant sur la petite clé à molette ;
  • Outils > Signaler un problème… et ensuite on suit le guide !
Sous Firefox, malgré les nombreuses indications quant à leur nouvelle version qui serait encore meilleure en matière de lutte contre le phishing, je n’ai pas trouvé où était la fonction pour signaler un phishing, ni sur leur site d’aide en ligne… Mais bon, comme ils utilisent « Google Safe Browsing« , je suppose qu’il suffit de le faire via Chrome ! Mais c’est dommage de ne pas avoir une fonction intégrée pour signaler un site.

Sous Internet Explorer, même principe que sous Chrome:

  • Affichage du menu 
  • Sécurité… Signaler un site Web d’hameçonnage.
18:12 Suite de l’enquête. Un peu agacé que le site de phishing soit toujours accessible, je me suis amusé à chercher un peu plus loin et j’ai découvert que sur le même serveur il y avait une autre forme de phishing qui se fait passer une application Twitter « StalkTrak », censée vous indiquer qui vous suit avec des intentions malhonnêtes sur Twitter:

Le fonctionnement est similaire et derrière l’URL http://mspaworldwide.net/app1/function.api.stalktrak.htm vous avez donc un formulaire qui vous invite à nouveau à rentrer votre identifiant et votre mot de passe Twitter, avec un aspect graphique qui ressemble à celui de Twitter.

Ceux qui se sont fait avoir se retrouvent apparemment à faire la publicité de l’application. Topsy nous donne une petite idée du trafic autour de ce site depuis quelques jours (cliquer sur l’image pour l’agrandir):

On note ainsi un pic le 29 juillet, avec un début de propagation le 27.

Stalktrak lui-même (ce qui semble confirmer ce que je rappelais un peu plus haut sur l’adresse IP du serveur suite à une indication de @5ct34m), tourne aussi au moins depuis le début du mois de juillet comme on peut le lire sur cet article de blog (avec une petite vidéo dedans) et où l’on retrouve un des noms de domaine évoqués précédemment.

05 août: Apparemment un nouveau domaine est apparu depuis hier qui délivre les mêmes contenus illégaux : 3xloanstoday.com. Évitez de vous y rendre et signalez le comme site de phishing.

Internet et ses abus: il faut s’y confronter et non les nier

Les terribles évènements du 22 juillet à Oslo ont entraîné le débat plus que prévisible de l’impact d’Internet sur les actions du principal suspect. Alors que l’enquête ne fait que commencer, que la douleur des familles est loin d’être apaisée, les commentateurs sont appelés sur les plateaux de télé pour évoquer l’impact d’Internet sur de tels actes de terreur. Ce soir, Laurent Joffrin (@laurent_joffrin) s’essaie au difficile exercice de dessiner les sources d’inspiration possibles du terroriste. Bien évidemment il cite parmi les hypothèses probables l’accès facile à certains débats de haine sur Internet, et conclut en soulevant le danger de laisser notamment se développer sans contrôle certains sites Internet francophones. On lira aussi cette interview de Jean-Yves Camus sur Rue89.

De façon toute aussi évidente, les enthousiastes de l’Internet, se sont empressés de critiquer ces points de vue, certains n’hésitant pas à nier le rôle que peut jouer un outil de communication aussi puissant dans les grands évènements de notre société.

Dans le cas présent, même s’il est certainement beaucoup trop tôt pour conclure trop radicalement, il semble parfaitement légitime de questionner l’usage qu’Anders Breivik a pu avoir d’Internet, ne serait-ce que par sa façon de mettre en scène sa présence sur le net quelques heures avant de s’en prendre à des dizaines d’innocents.

Une fois de plus ne mettons pas la tête dans le sable

Voilà quelques mois, j’invitais mes lecteurs à ne pas faire l’autruche, et se rendre compte que oui, Internet, ce média formidable de communication et de développement de nos sociétés, est aussi abusé et la délinquance sous toutes ses formes, notamment portant atteinte aux mineurs, s’y développe, peut-être un peu plus vite ou de façon plus variée que si Internet n’existait pas.

Dans le cas présent, il faut se rappeler à cette réalité: oui, Internet a pu jouer un rôle. Et non, ça ne veut pas dire qu’Internet est responsable (ça n’aurait d’ailleurs pas de sens), mais il est parfaitement irresponsable de ne pas se rendre compte, notamment pour les professionnels de l’Internet, que les messages de haine, les théories les plus saugrenues sur notre société, se propagent plus vite, se développent plus vite et ont peut-être une influence plus rapide et plus efficace sur certaines personnes, grâce à ces mêmes technologies formidables qui rendent les échanges plus riches chaque jour, la communication plus libre et la pensée certainement plus riche.

Une prise de conscience nécessaire pour le bien d’Internet

De la même façon qu’il n’est pas vraiment raisonnable de renoncer au progrès dans les moyens de transport, parce qu’ils présentent des risques, parce qu’on peut avoir un accident sur la route ou se faire agresser dans un train, il faut favoriser les comportements et développer les technologies qui aideront à faire qu’Internet soit plus sûr et à en maîtriser les dérives les plus graves, tout en préservant les bienfaits qu’il apporte.

Un chapitre collaboratif ?

Photo de Rahego

Un article un peu inhabituel et court pour lancer un appel à commentaires auprès de mes lecteurs sur leurs sujets de préoccupation du moment en matière de cybercriminalité.

J’ai commencé depuis quelques mois la rédaction d’un livre sur la cybercriminalité et la cybersécurité et l’idée ici est d’en consacrer une partie, soit dans les chapitres déjà prévus, soit dans un chapitre à part, aux questions, aux préoccupations du moment, de mes lecteurs.

A vos claviers ! Toutes les questions et tous les commentaires sont les bienvenus.

Un exemple particulièrement naïf de mail de phishing

Je reçois à l’instant ce message de « phishing » manifeste, et je ne résiste pas au plaisir de le partager et d’en profiter pour parler de ce sujet:

From: "Webmail User Upgrading" <info@mail.com>
Reply-To: webmaster.102@hotmail.com
Subject: Email Upgrade Maintenence.
Date: Thu, 14 Jul 2011 17:22:15 +0630
Message-Id: <20110714105215.M8209@mail.com>
X-Mailer: OpenWebMail 2.53
X-OriginatingIP: 82.128.XXX.XXX (c-tides)
MIME-Version: 1.0
Content-Type: text/plain;
	charset=iso-8859-1
To: undisclosed-recipients:;
X-Spam-Check: DONE|U 0.5/N

Attn: Email Users,

Due to numerous complaints on ongoing recent spam activities on your account,
vital maintainance will be conducted on our Email servers.

To confirm and to keep your Email account active,a confirmation for ownership
must be provided. Confirm the informations below.Failure to do this might
cause a permanent deactivation of your Email Webmail account from our server.

Username : ..................
E-mail Login ID..............
Password : ..................
confirm password:............
Date of Birth :..............
Future Password :............
Telephone Number:...........

Your account shall remain active after you have successfully confirmed your
above requested informations. We apologize for any inconveniences caused as a
result of this notification. We thank you for your prompt attention to this
notification.

Email Technical Support

Copyright 2011 Email. All Rights Reserved.

Je n’ai pas copié tous les en-têtes et j’ai masqué l’adresse IP d’origine. Le principe en est assez basique:

  • le message est écrit de façon générique, de façon à ressembler pour n’importe quel lecteur trop rapide à un message semblant provenir de son fournisseur de webmail. Notamment, aucune marque n’est utilisée, même si l’adresse de retour est en hotmail.
  • la tonalité du message est alarmiste, c’est une catégorie typique de message de phishing: si jamais vous ne répondez pas rapidement, votre service cessera de fonctionner. C’est un des ressorts de l’escroquerie qui cherche à créer un état particulier dans l’esprit de la victime.
  • les réponses demandées sont assez classiques: login, mot de passe, futur (!) mot de passe, date de naissance, numéro de téléphone. L’objectif est clairement ici d’obtenir accès à des webmails, ce qui permet à la fois de collecter des informations personnelles déjà stockées (des mots de passe reçus par mail par exemple), de procéder à mises à jour de comptes sur d’autres services, obtenir des listes de contacts, renvoyer depuis cette adresse des courriels, etc.
  • le système de gestion de messagerie utilisé est OpenWebMail, installé sur le serveur d’une université Indienne, depuis une adresse IP qui se serait identifiée auprès du serveur comme le club d’entrepreneuriat de l’université.

Aucun prestataire et notamment pas un prestataire de courrier électronique Web ne vous demandera de confirmer votre login et mot de passe par courriel. Lorsque vous lisez et répondez à un message douteux, regardez à la fois l’émetteur du message (le champ From: ici ou De: dans votre logiciel de messagerie) et si vous êtes amenés à répondre, attention à l’adresse de réponse qui vous est proposée (le champ Reply-to: viendra compléter l’adresse de destination automatiquement). La langue enfin: il n’y a aucune raison qu’un prestataire français vous écrive en anglais.

Cet exemple était caricatural, mais je suis convaincu que malheureusement certains tombent dans le panneau. Alors attention aux messages que vous recevez, relisez toujours deux fois un message qui semble important, et n’envoyez jamais votre mot de passe en réponse à un tel message !

Lancement de trois sous-projets de la préfiguration du centre d’excellence français contre la cybercriminalité

Les 23 et 24 juin derniers, les équipes de trois sous-projets du volet français du projet européen 2CENTRE étaient réunis à l’Université de technologie de Troyes. Ce billet pour vous présenter le contenu de ces premiers ateliers.

Formation en ligne des premiers intervenants

L’ambition est ici de créer une formation attractive et accessible pour tous les enquêteurs qui sont confrontés de près ou de loin à des investigations simples sur Internet. Cette initiative a germé lors de travaux communs menés au sein du Ministère de l’intérieur – entre les services spécialisés de la police et de la gendarmerie nationales – au cours desquels nous avons identifié qu’il était complexe de compléter rapidement et efficacement la formation des plus de 100.000 personnels concernés. Il s’agit des policiers et des gendarmes, dans les brigades de gendarmerie et les commissariats notamment, et qui accueillent un public de plus en plus souvent victime d’infractions liées à Internet ou à l’outil numérique, mais aussi dans des services spécialisés lorsqu’ils sont moins souvent confrontés à des infractions spécialisées.

Il a donc été décidé de proposer un module de formation à distance, qui aura l’avantage d’être facile à déployer, à mettre à jour et éventuellement à partager avec d’autres administrations françaises ou étrangères chargées de ce type d’investigations.

Formation en ligne sur l’analyse de Windows 7

Il s’agit ici tout simplement d’offrir un outil de référence permettant aux enquêteurs spécialisés déjà formés (NTECH dans la gendarmerie et ICC dans la police) de mettre à jour leurs connaissances sur les spécificités de Windows 7. Jusqu’à présent nous diffusions ce type de formations complémentaires lors des réunions annuelles (mais tous ne peuvent y assister) ou par la diffusion de documentations.

Ici encore, le produit sera partagé avec nos partenaires européens.

Projet de recherches sur la détection d’intrusions distribuée

Ce dernier projet est un travail collectif qui sera mené sur 18 mois pour permettre le test de méthodes permettant la détection d’intrusions dans des grands réseaux grâce à des méthodes distribuées, avec le souci de rendre les implémentations compatibles avec les besoins de l’investigation numérique.

Ces premières descriptions de nos travaux vous montre, je l’espère, la variété des activités que nous souhaitons développer dans le cadre de cette préfiguration du centre d’excellence français contre la cybercriminalité et l’intérêt de faire travailler ensemble des acteurs provenant de différents univers (services d’enquête, monde académique, entreprises).