Aller au contenu

Le centre Européen de lutte contre la cybercriminalité d'Europol (EC3) a mis en ligne cette semaine un rapport sur le hameçonnage ciblé ("spear phishing") qui est issu des travaux de leur Joint advisory group lors de sa réunion du mois de mars dernier. La philosophie de ces travaux est de proposer une vision conjointe de l'industrie et des services d'enquête sur cette menace.

Le hameçonnage est l'utilisation du courrier électronique (ou une autre forme de contact et de messagerie parfois, mais le courrier électronique reste largement majoritaire) pour contacter une victime (ou l'un de ses employés) pour l'un des usages suivants:

  • collecter des identifiants de connexion,
  • obtenir d'autres informations confidentielles (documents financiers, données personnelles),
  • délivrer des logiciels malveillants (rançongiciel, troyen d'accès à distance, enregistreur de frappes au clavier, ...),
  • convaincre une victime de réaliser une opération contraire à ses intérêts (comme un virement bancaire).

On dira que le hameçonnage est ciblé s'il est destiné à un public bien déterminé: des destinataires précis au sein d'une même entreprise, des participants à une liste de discussion traitant d'un sujet sensible ou intéressant quant aux objectifs des attaquants (par exemple une liste de discussion par courrier électronique entre spécialistes d'un même domaine industriel). Ce ciblage est évalué par opposition aux campagnes de hameçonnage envoyées vers des destinataires sans relation particulière par exemple dans le contexte de l'envoi de spams.

Un chiffre clé à retenir de ce rapport est que 65% des attaques ciblées constatées en Europe auraient utilisé en 2018 la technique du hameçonnage ciblé.

Le rapport décrit ensuite les techniques employées pour réaliser ce type d'attaques:

  • la reconnaissance, via la collecte d'informations (en sources ouvertes la plupart du temps, notamment par la présence de l'organisation cible et de ses employés sur les réseaux sociaux professionnels)
  • envoi de messages depuis l'extérieur ou l'intérieur (une fois un premier compte compromis), adjonction de pièces jointes piégées, ou de liens vers des pages web piégées (utilisation des logos ou de noms de domaines semblables à ceux de l'entreprise ou d'un partenaire de confiance, téléchargement de fichiers piégés)
  • et par la suite, il pourra s'agir soit d'installer par ce biais des outils malveillants pour parcourir le réseau de l'organisation, copier des données, ou de plus en plus souvent ces derniers mois chiffrer les données de l'entreprise et réclamer une rançon (utilisation de rançongiciels chiffrants ou cryptolockers).

Enfin, le rapport apporte un certain nombre de conseils sur la façon de prévenir et réagir face à de telles attaques, y compris sur la coopération avec les autorités. J'insisterai plus particulièrement sur ce dernier point: si vous êtes victimes d'une telle campagne, signalez-le aux autorités, gendarmerie ou police et s'il s'agit plus spécifiquement d'une extorsion suite à l'installation d'un rançongiciel chiffrant, ne payez pas la rançon ! Si nécessaire, faites-vous accompagner par un prestataire pour la restauration de vos données, et pendant le même temps faites confiance aux autorités d'enquête pour investiguer sur l'origine de la demande de rançon.

Pour compléter les conseils apportés dans ce rapport d'Europol, n'hésitez pas à consulter les didacticiels présentés par nos amis de CYBERMALVEILLANCE.GOUV.FR; en particulier les documents sur le hameçonnage, les fichiers chiffrés avec demande de rançon et la sauvegarde de ses données.

1

Dans son rapport 2011 sur la Criminalité en France, l'ONDRP - Observatoire national de la délinquance et des réponses pénales, publié en novembre 2011, a consacré un dossier entier à la cybercriminalité.

La synthèse du rapport est disponible en téléchargement. Le rapport dans son intégralité est publié chez CNRS éditions.

Au sommaire de ce rapport, un article sur la lutte contre la cybercriminalité en Europe que j'ai rédigé au cours de l'été dernier. Je vous le propose aujourd'hui en téléchargement, avec l'aimable autorisation de l'ONDRP.

Son introduction:

Lutter contre la cybercriminalité à l’échelle européenne est à la fois une nécessité et une gageure. La cybercriminalité n’a pas de frontières – même si l’on verra qu’il en subsiste – et les systèmes judiciaires, les cultures, les frontières physiques créent autant de barrières à un contrôle efficace de ces formes de délinquance. Après un peu plus de vingt ans d’actions, d’initiatives et de réussites dispersées mais convaincantes, l’Europe de la lutte contre la cybercriminalité semble vouloir prendre un nouveau virage avec la création d’un véritable outil commun, un Centre Européen de lutte contre la Cybercriminalité – annoncé par le Conseil de l’Union Européenne le 29 avril 2010 et qui devrait voir le jour en 2013. Après avoir parcouru les enjeux et les différentes étapes de cette lutte, nous envisagerons quelques-unes des composantes qui paraissent essentielles pour ces nouveaux outils.

La suite dans le PDF joint.

Drapeau européen - Photo par Rock Cohen
Drapeau européen - Photo par Rock Cohen

Le 9 mai est traditionnellement la journée de l'Europe, dans toute l'Union Européenne, en souvenir de la déclaration de Robert Schuman pour une structuration de l'Europe, le 9 mai 1950.

C'est l'occasion de faire le point sur ce que fait l'Europe dans le domaine qui nous intéresse. Sur le plan institutionnel, nous avons aujourd'hui plusieurs instances intéressantes :

  • Au sein d'Europol, le HTCC ou high tech crime centre, est le point focal de l'activité d'Europol dans la lutte contre la cybercriminalité. En effet, depuis 2002, le mandat d'Europol a été étendu à toutes les formes graves de délinquance, y compris la cybercriminalité. 2009 devrait voir la création à Europol d'un système de centralisation de l'ensemble des signalements d'infractions (un des résultats de la présidence française de l'Union européenne) qui peuvent intéresser les Etats membres et ainsi en faciliter les investigations ;
  • L'ENISA, agence européenne de sécurité de l'information et des réseaux a été lancée en mars 2004. Elle manque encore de visibilité dans son action : elle est positionnée comme un centre d'expertise au service des états-membres, mais pas encore dans le concret. Peut-être cela sera-t-il amené à évoluer, par exemple dans la gestion de certaines crises liées à la sécurité des systèmes d'information ;
  • La commission européenne finance au travers de différents programmes la recherche et l'innovation, la formation ou le développement d'outils qui aident à la lutte contre la cybercriminalité. Ainsi le programme Safer Internet qui finance notamment le fonctionnement d'INHOPE - réseau européen des plateformes de signalement privées en matière de protection des mineurs sur Internet, mais aussi le programme ISEC de la direction générale justice liberté et sécurité qui comporte un volet important consacré à la lutte contre la cybercriminalité ou le septième programme cadre européen de financement de la recherche qui permet certaines initiatives (sous l'angle de la sécurité des systèmes).
  • Parmi les projets actuellement financés sur le programme ISEC, on peut citer :
    • La création d'une coalition financière européenne dans la lutte contre la diffusion de documents pédopornographiques sur Internet, dont j'ai parlé voilà deux mois ;
    • Les différentes activités du groupe de travail d'Europol sur l'harmonisation des formations des services de police dans la lutte contre la cybercriminalité.

Plusieurs textes législatifs de niveau européen sont intéressants à citer et certains devraient évoluer prochainement :

Parmi les déclarations officielles récentes on peut citer les conclusions du conseil justice et affaires intérieures sur la cybercriminalité portées par la présidence française de l'union européenne du 24 octobre 2008 et la déclaration de Prague pour un "Internet plus sur pour les enfants" du 20 avril 2009.

Les évolutions que l'on peut attendre seront certainement basées sur des évolutions des directives ou décisions-cadres évoquées plus haut, que ne manquera pas de proposer la commission européenne cet automne. Le suivi du "Paquet Télécoms" est aussi très important. Ainsi j'évoquais le 05 mars dernier le dispositif introduit dans ce texte qui prévoit la notification obligatoire des incidents de sécurité subis par les opérateurs lorsqu'ils concernent de façon significative les données de leurs clients. Mais, mardi 05 mai dernier, la commissaire européenne aux télécommunications, Viviane Reding, évoquait le projet de la commission d'étendre cette mesure à l'ensemble des domaines économiques, dans un texte qui verrait son application d'ici la fin de l'année 2012. A suivre donc...