N°034 - Prix : 19 € - Trimestriel : janvier, février, mars 2016 CARTOGRAPHIE
des DATA CENTERS
ÉDITORIAL
DE MARC JACOB
DARK WEB .. REVUE TRIMESTRIELLE
N°34 – janvier, février, mars 2016
,, , www.globalsecuritymag.fr et
SESAME, www.globalsecuritymag.com
ISSN : 1959 - 7061
OUVRE-TOI I ,, Dépôt légal : à parution
. Editée par SIMP
RCS Nanterre 339 849 648
« Fondez une société des honnêtes gens, industrie du crime, similaire à celle qu’ils 17 avenue Marcelin Berthelot
tous les voleurs en seront. » disait le avaient construite dans le monde réel, 92320 Châtillon
philosophe Alain. Cette citation est pré- mais avec un risque quasi nul… démulti- Tél. : +33 1 40 92 05 55
curseur de ce qui est arrivé avec Internet. pliant par là même leurs activités malfai- Fax. : +33 1 46 56 20 91
En effet, si à l’origine la Toile a servi aux santes et diaboliques ! Sans compter que, e-mail : [email protected]
chercheurs du monde entier à mieux com- sur le Dark Web, les criminels utilisent les
muniquer, au final elle a aussi engendré monnaies virtuelles créées de bonne foi REDACTION
des réseaux parallèles bien plus sombres, par des « honnêtes » gens pour leurs Directeur de la Publication :
tel le Dark Web. Ainsi, Internet contient transactions occultes. Ils ne pouvaient Marc Brami
d’un côté le « meilleur » avec une possi- donc rêver mieux : le monde comme Rédacteur en chef :
bilité quasi infinie de savoir, un puits de marché, des monnaies qui échappent au Marc Jacob
sciences insondable… une source de bon- contrôle des États, des internautes trop Rédactrice :
heur potentiel pour l’humanité toute en- crédules et des forces de l’ordre plutôt Emmanuelle Lamandé
tière. De l’autre, le Dark Web dissimule démunies ! Mise en page :
derrière sa Toile toutes les turpitudes du S.I.M. Publicité
monde : sexe, drogue, trafic d’armes, Aux yeux des criminels, le Dark Web Ont collaboré à ce numéro :
escroqueries et vols en tout genre… pourrait s’apparenter à la caverne d’Ali Olivier Iteanu et Yann Cam
Baba, où une simple formule magique Traduction : Ian Nathan
Les voleurs, d’où qu’ils soient, ont très suffit pour accéder à un monticule de Assistante : Sylvie Levy
rapidement compris l’intérêt de ce nou- trésors. Cet éden criminel a de quoi en Responsable technique :
veau vecteur de communication, qui grâce faire rêver plus d’un… mais faut-il encore Raquel Ouakil
à un simple « sésame » leur ouvre les se méfier de ne pas finir, comme dans Photos :
portes d’un monde criminel sans frontières « Ali Baba et les 40 voleurs », aveuglé par Nobert Martiano, Marc Jacob
et sans limites… Ils ont ainsi tissé dans la cupidité et un appât du gain sans Comité scientifique :
les profondeurs de la Toile une véritable limites... Pierre Bagot, Francis Bruckmann
Eric Doyen, Catherine Gabay,
LISTE DES ANNONCEURS François Guillot, Olivier Iteanu,
Dominique Jouniot, Patrick
6Cure 19 Label France Cybersecurity 6 Langrand, Yves Maquet, Thierry
LogPoint 17 Ramard, Hervé Schauer, Michel Van
Celeste 46 Oveliane 13 Den Berghe, Bruno Kerouanton,
Raritan 64 Loïc Guézo et Valentin Jangwa
CIV 47 Schneider Electric 3ème de couverture In Memoriam, notre regretté
Stulz 48 Zbigniew Kostur
Check Point 2ème de couverture TDF 62
Trend Micro 4ème de couverture PUBLICITE
Cybercercle 71 Wattdesign 59 SIM Publicité
Zalix 47 Tél. : +33 1 40 92 05 55
DELL 4 Fax. : +33 1 46 56 20 91
Cartographie des Data Center Encart libre e-mail : [email protected]
Emerson 44 Programme des GS Days Encart libre
Image de couverture : ©deepadesigns
ESET 11
IMPRESSION
GS Days 8 Imprimerie Hauguel
8-14 villa Léger
GS MAG DATA CENTER 65 92240 Malakoff
Tél. 01 41 17 44 00
GS MAG de la Théorie à la pratique 70 Fax 01 41 17 44 09
e-mail : [email protected]
HSC 2-12-20 Imprimé avec des encres végétales
sur papier éco-responsable certifié
ITRACING 31 PEFC par un imprimeur adhérent à
Imprim’vert selon le procédé CTP
ITrust 21 sans chimie.
Toute reproduction intégrale ou partielle, faite sans le consentement de l’auteur ou des ayants droit ou ayant cause est ABONNEMENT
illicite. Il en est de même pour la traduction, l'adaptation ou la transformation, l'arrangement ou la reproduction par un Prix au numéro :
art ou un procédé quelconque. (article L122-4 du code de la propriété intellectuelle). 19 € TTC (TVA 20%)
Cette publication peut être exploitée dans le cadre de la formation permanente. Toute utilisation à des fins commerciales Abonnement annuel :
du contenu éditorial fera l’objet d’une demande préalable auprès du Directeur de la publication. 51 € TTC (TVA 20%)
1
EDITORIAL
BY MARC JACOB
DARK WEB
"Open Sesame!"
"Found a Society of Honest Men and all so they have spun in the depths of the
the thieves will join it. " said the philo- Web a potent industry of crime, like the
sopher Alain. This foresaw what was to one already established in the real
become with the Internet. While in its world, but with almost no risk ... and of-
early days the Web helped researchers fering a huge leverage for their evil and
around the world communicate better, it diabolical activities! In addition in the
has brought into being much more sinis- Dark Web criminals use virtual curren-
ter parallel networks such as the Dark cies, created in good faith by "honest"
Web. On the one hand the internet is the people, for their hidden transactions.
best of worlds, offering almost infinite They could not have dreamed of more:
possibilities for knowledge and unders- the world as a marketplace, currencies
tanding, a limitless resource of informa- that are beyond the control of States,
tion ... a wellspring on the route to gullible cybernauts and relatively power-
happiness for humankind. On the other, less law enforcement agencies!
the Dark Web is the worst of worlds
masking behind the Web all kinds of de- To criminals, the Dark Web must seem
pravities: sex drugs, arms trafficking, like Ali Baba's cave, where a simple
fraud and theft of all sorts ... magic formula is enough to gain access
to a treasure trove. This paradise for
Crooks, wherever they are, have very thieves is a huge temptation ... but even
quickly come to grips with the benefits so the danger lies, as in "Ali Baba
of this new communication medium, and the 40 thieves", of being blinded
which with a simple "open sesame" by greed and overwhelming desire for
clears the path in to a world of crime more ...
that has no borders and no limits ... And
3
THE LOGICAL & PHYSICAL SECURITY MAGAZINE
SOMMAIRE
THÉMA 01 Édito : Dark Web : « Sésame, ouvre-toi ! »
10 CHRONIQUE
14 03 Editorial : Dark Web "Open Sesame!" JURIDIQUE
09 Agenda
DARK 10 CHRONIQUE JURIDIQUE
WEB • Approche juridique du Dark Web et réseaux
amnésiques
Par Olivier Iteanu, Avocat à la Cour, Chargé 14 THÉMA
d’enseignement à l’Université de Paris I Sorbonne 24 MALWARES BUSTERS
14 THÉMA : DARK WEB
• Le Dark Web, tel le Phénix, renaît toujours de ses
cendres !
Par Marc Jacob et Emmanuelle Lamandé
• Cyber-intelligence défensive : isoler l’information
utile du bruit ambiant…
Interview de Luc Mensah, Directeur Technique du
Pôle Sécurité de NSIT Systems
Par Marc Jacob et Emmanuelle Lamandé
• Le Dark Web : l’hypermarché pour cybercriminels
Par Marc Jacob et Emmanuelle Lamandé
24 MALWARES BUSTERS
• Ransomwares : le fléau de l’année 2015
Par Marc Jacob et Emmanuelle Lamandé
• 2016 : l’année de tous les drames ?
Par Marc Jacob et Emmanuelle Lamandé
34 CHRONIQUE TECHNIQUE 34 CHRONIQUE TECHNIQUE
• Se cacher sur l’Internet : techniques
d’anti-indexation et de camouflage
Par Yann Cam, Consultant chez SYNETIS
40 CARTE DES DATA CENTERS 40 CARTE DES DATA CENTERS
• Édition 2016
Par Marc Jacob et Emmanuelle Lamandé
68 DATA CENTER
• La France : une terre d’accueil pour
les Data Centers
Interview d’André Rouyer, Délégué du Comité
de marché Data Center du Gimélec et Pilote du
Think Tank Data Center
Par Marc Jacob et Emmanuelle Lamandé
Retrouvez notre fil d'informations
sur la sécurité et le stockage sur :
www.globalsecuritymag.fr
www.globalsecuritymag.com
68 DATA CENTER
5
THE LOGICAL & PHYSICAL SECURITY MAGAZINE
CONTENTS
THEMA 01 Édito : Dark Web : « Sésame, ouvre-toi ! »
10 LEGAL
14 03 Editorial : Dark Web "Open Sesame!" BRIEFING
09 Diary
DARK 10 LEGAL BRIEFING
WEB • A legal view on the Dark Web and "amnesic
networks"
By Olivier Iteanu, Avocat, Lecturer at the University 14 THEMA
of Paris I Sorbonne 24 MALWARES BUSTERS
14 THEMA : DARK WEB
• The Dark Web, like the Phoenix, keeps on rising
from the ashes!
By Marc Jacob and Emmanuelle Lamandé
• Active cyber-defense intelligence: isolating
useful information signals from background noise ...
Interview with Luc Mensah, Technical Director,
Security Systems Division, NSIT Systems
By Marc Jacob and Emmanuelle Lamandé
• Dark Web: a hypermarket for cybercriminals
By Marc Jacob and Emmanuelle Lamandé
24 MALWARES BUSTERS
• Ransomware: the plague of 2015
By Marc Jacob and Emmanuelle Lamandé
• 2016: the year of crisis?
By Marc Jacob and Emmanuelle Lamandé
34 TECHNICAL REVIEW 34 TECHNICAL REVIEW
• Covering your tracks on the Internet:
anti-indexing and camouflage techniques
By Yann Cam, Consultant, SYNETIS
40 DATA CENTERS MAP 40 DATA CENTERS MAP
• Data Centers Map 2016
By Marc Jacob and Emmanuelle Lamandé
68 DATA CENTER
• France: becoming a haven for Data Centers
Interview with André Rouyer, delegate for the
Data Center Market Committee and head of the
Data Center Think Tank, Gimélec
By Marc Jacob and Emmanuelle Lamandé
Retrouvez notre fil d'informations
sur la sécurité et le stockage sur :
www.globalsecuritymag.fr
www.globalsecuritymag.com
68 DATA CENTER
7
7 AVRIL 2016
ESPACE SAINT-MARTIN - 199 BIS RUE SAINT-MARTIN - 75003 PARIS
LES JOURNÉES FRANCOPHONES
DE LA SÉCURITÉ DE L’INFORMATION
Le carrefour de la sécurité des Systèmes d’Information exclusivement
en français pour réunir : les RSSI, DSI, Administrateurs Réseaux et
Sécurité, Experts Sécurité…
Nos sponsors :
4SPONSOR PLATINIUM 4SPONSOR GOLD
4SPONSOR SAPHIR
8ème 4SPONSORS SILVER
4SPONSORS BRONZE
Renseignements : Marc Jacob Brami Sponsors associés
SIMP - 17 avenue Marcelin Berthelot - 92320 Châtillon
Tél. : +33 (0)1 40 92 05 55 - Fax. : +33 (0)1 46 56 20 91
[email protected]
www.gsdays.fr
BULLETIN D'INSCRIPTION FORMATION GS DAYS
JOURNEES FRANCOPHONES DE LA SECURITE
7 avril 2016 – Espace Saint-Martin 199 bis, rue Saint-Martin, 75003 Paris
Les intitulés précédés d’un astérisque correspondent à des informations indispensables.
Aucune inscription ne sera prise en compte si ces champs ne sont pas remplis.
Merci de retourner ce formulaire renseigné et signé par courrier, fax ou courriel à :
SIMP, 17 av. Marcelin Berthelot, 92320 Châtillon
Tél. : +33 (0)1 40 92 05 55 - Fax : +33 (0)1 46 56 20 91 - Courriel : [email protected]
RCS Nanterre 97 B 00192 – N° SIRET 339 849 648 00011 - Code APE : 7311Z
Déclaration d’activité enregistrée sous le numéro 11 92 17185 92 auprès du préfet de région Ile-de-France.
Nous vous ferons parvenir la confirmation d’inscription, la convention de formation (uniquement
sur demande, la facture faisant office de convention simplifiée) et les autres documents
relatifs à la formation dans les meilleurs délais.
Tarif :
- Journée complète (inclus les pauses café, le repas du midi et le cocktail de clôture) : 165 €HT (TVA 20%)
- Demi-journée matin (inclus les pauses café et le repas du midi) : 135 €HT (TVA 20%)
- Demi-journée après-midi (inclus la pause café et le cocktail de clôture) : 125 €HT (TVA 20%)
* Session choisie : . . . . . . . . . . . . . . . .€ Code promotionnel : . . . .
Société : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
*Nom : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
*N° Siret : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
* Adresse : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
* Code postal : . . . . . . . . . . . . . . . . . . * Ville : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
* Nom et Prénom de la personne pouvant être contactée : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Tél : . . . . . . . . . . . . . . . . . . . . . . . . . . . Fax : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Courriel : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Participant : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Mme/Mlle/M. - * Prénom : . . . . . . . . * Nom : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Profession : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
* Tél : . . . . . . . . . . . . . . . . . . . . . . . . . Fax : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
* Courriel : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Facturation : La facturation sera établie au nom de l'entreprise employant le participant à la formation.
Raison sociale (si différent de la rubrique « Société ») : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Adresse de facturation : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Nom du Responsable de la comptabilité : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Téléphone : . . . . . . . . . . . . . . . . . . . . Fax : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Courriel : . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
La société employant le stagiaire reconnaît avoir pris connaissance et accepté les Conditions générales de
ventes de formation. Ce formulaire complété et signé constitue un Bon de commande.
Fait à . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . le . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Signature du participant Signature du responsable
Précédée de la mention « Lu et approuvé »
Marc Jacob Brami Tél. : +33(0)1 40 92 05 55 - Fax : +33(0)1 46 56 20 91 - [email protected]
NotePad © Tom Mc Nemar SAUGREWNDWAWM.GISLOÀBJAOLUSERCEUNRCITOYNMTAING.UFR
AGENDA
4AVRIL 12 avril - Paris 10 - 12 mai - El Jadida (Maroc)
Security Tuesday - ISSA France Forum de la Sécurité IT
29 mars - 1er avril - Singapour http://securitytuesday.com/securitytuesday www.forum-sit.com
Black Hat Asia
www.blackhat.com 12 - 13 avril - Londres (UK) 10 - 13 mai - Copenhague (Danemark)
Cloud Expo Europe & Data Centre World CISO Europe
29 mars - 1er avril - Lausanne (Suisse) www.cloudexpoeurope.com www.ciso-summit.com
DFRWS EU
www.dfrws.org/2016eu 12 - 14 avril - Varsovie (Pologne) 11 mai - Cercle de la Mer - Paris
International Forensic Technology Fair Matinale du CyberCercle
3 - 4 avril - Dubaï (EAU) www.crimelab.pl www.cybercercle.com
The Defence Procurement MEA Summit
www.me-uk.com/summit 13 avril - Paris 16 - 18 mai - Dhahran (Arabie Saoudite)
Conférence du CLUSIF Saudi Safety and Security
3 - 6 avril - Las Vegas (USA) www.clusif.fr www.sss-arabia.com
Ignite
http://researchcenter.paloaltonetworks.com/tag/ignite-2016 14 avril - Paris DE LA THÉORIE À LA PRATIQUE
IT Innovation Forum
4 - 6 avril - Le Mans www.itiforums.com 12 mai - Musée du Vin - Paris
Congrès National SSI Santé
www.apssis.com 14 avril - Paris GS Mag : de la Théorie à la Pratique
Diner du Cercle de la sécurité Inscription gratuite, mais obligatoire ;
5 - 8 avril - Las Vegas (USA) www.lecercle.biz
ISC West réservée exclusivement aux RSSI
www.iscwest.com 13 - 14 avril - Vienne (Autriche) et DSI, sous réserve du nombre
Web Application Security International Masterclass
6 avril - Cercle de la Mer - Paris https://fleming.events/en/events/landing-page/it/web- de places disponibles.
Matinale du CyberCercle application-security-training
www.cybercercle.com Renseignements : Marc Jacob BRAMI
14 - 16 avril - Bombay (Inde) Tél. : +33 (0)1 40 92 05 55
6 avril - Paris Secutech India Fax : +33 (0)1 46 56 20 91
CRiP - Architectures et Applications www.secutechindia.co.in
www.itiforums.com/beeiti/conferences/detail/12318- E-mail : [email protected]
architectures-applications.html 19 - 20 avril - Londres (UK)
Counter Terror Expo www.globalsecuritymag.fr/De-la-theorie-a-la-pratique
6 - 7 avril - Porte de Versailles - Paris Forensics Europe Expo
Documation-MIS www.counterterrorexpo.com 17 mai - Paris
www.documation-mis.fr Security Tuesday - ISSA France
19 - 21 avril - Taipei (Taïwan) http://securitytuesday.com/securitytuesday
6 - 7 avril - Prague (République tchèque) Secutech
Cyber Security Summit www.secutech.com 17 - 18 mai - Istanbul (Turquie)
www.ebcg.com/event/cyber-security-summit ENITSE
25 - 26 avril - Berlin (Allemagne) www.enitse.com
7 avril - Paris European Data Protection Days
2ème Rencontres Parlementaires Cybersécurité & www.edpd-conference.com 23 - 24 mai - Dubaï (EAU)
milieu maritime SMART DATA Summit
www.cybercercle.com 26 - 28 avril - Muscat (Sultanat d’Oman) http://bigdata-me.com
COMEX
11 - 15 avril - Montréal (Canada) http://comex.om/2016/en 23 - 26 mai - Las Vegas (USA)
WWW 2016 Enfuse
www2016.ca 26 - 28 avril - Londres (UK) www.guidancesoftware.com/enfuse
ICS Cyber Security
7 avril www.icscybersecurityevent.com 24 - 26 mai - Porte de Versailles - Paris
Espace Saint-Martin HIT
27 - 29 avril - Lyon www.salons-sante-autonomie.com/fr
Paris 3ème Forum TAC
www.tacforum.com 24 - 26 mai - Johannesburg (Afrique du Sud)
8ème GS DAYS Securex South Africa
Journées Francophones 28 - 29 avril - Lyon www.securex.co.za
Université de la Sécurité de l’AN2V
de la Sécurité www.an2v.org 25 mai - Paris
e-Crime & information security France
Renseignements : 4MAI www.e-crimecongress.org/event/ecfrancejune16
Marc Jacob BRAMI
2 - 4 mai - Sydney (Australie) 25 - 26 mai - Bruxelles (Belgique)
Tél. : +33 (0)1 40 92 05 55 CeBIT Australia GeO/IoT World
Fax : +33 (0)1 46 56 20 91 www.cebit.com.au www.geoiotworld.com
E-mail : [email protected]
2 - 6 mai - Las Vegas (USA) 25 - 26 mai - Tel-Aviv (Israël)
Web : www.gsdays.fr Interop Las Vegas Security Israël
www.interop.com/lasvegas www.securityisrael.com
8 - 12 mai - Vienne (Autriche) 25 - 27 mai - Saint-Tropez
Eurocrypt Rencontres de l'Identité, de l'Audit et
http://ist.ac.at/eurocrypt2016 du Management de la Sécurité
www.les-riams.fr
10 - 12 mai - Londres (UK)
SDW
www.sdw2016.com
9
© Falko Matte CHRONIQUE JURIDIQUE
APPROCHE
JURIDIQUE DU
DARK WEB
ET RÉSEAUX
AMNÉSIQUES
4Par Olivier Iteanu, Avocat à la Cour,
4Chargé d’enseignement à l’Université de Paris I Sorbonne
Le terme de « Dark Web » est souvent utilisé pour désigner des sites Web accessibles
par le réseau Tor. La presse révèle d’ailleurs régulièrement des affaires dans lesquelles
ce « Dark Web » est utilisé à des fins illicites (trafic de drogue, vente d'armes, blanchiment
d'argent, services de tueurs professionnels, location de services de piratage...), dont
le fameux site Silk Road, démantelé par le FBI en 2013, véritable place de marché de l'illégal.
Petit retour sur les principaux risques juridiques inhérents à l’utilisation de ce type de réseaux.
Le réseau Tor repose sur l'usage d'un protocole de communication Tor repose sur une technologie de routage dit « en oignon », à
particulier, aujourd'hui défini par le Projet Tor (https://www.tor- l'origine développée dans les années 1990 par des chercheurs de l'US
project.org). Tor Project, Inc est une organisation à but non lucratif Naval Research Laboratory, puis par l'agence américaine DARPA.
de droit américain basée au Massachusetts, responsable du déve-
loppement et de la maintenance du logiciel à la base du fonction- Lors d'une requête, un chemin aléatoire est utilisé à partir d'une
nement du réseau Tor, mais elle n'opère pas elle-même le réseau. liste de nœuds actifs de communication et les clefs de chiffrement
publiques de ces différents nœuds sont récupérées, afin de chiffrer
Du côté serveur, les sites accessibles par le réseau Tor sont le contenu à transmettre. A mesure que le trafic rebondit de nœud
désignés sous le terme de « services cachés », accessibles par des en nœud, chacun d’entre eux déchiffre le paquet qu'il reçoit avec
adresses en .onion avec un domaine de second niveau de 16 ca- sa propre clef. Au point de sortie, le dernier déchiffrement aboutit
ractères (généralement une suite de caractères dérivée de la clef à la transmission du message en clair.
publique de chiffrement du service). Le pseudo TLD .onion n'existe
pas dans la racine officielle du DNS. Le tout sert d'identifiant Seul le nœud d'entrée connaît l'adresse IP publique à l'origine de
permettant à des serveurs Web (mais aussi à d'autres types de la requête. Les données transmises sont reçues chiffrées par
services, tels que de messagerie instantanée, VoIP) d'être chaque nœud de communication, qui ne connaît que l'adresse des
accessibles par le protocole propre au réseau Tor. nœuds précédent et suivant.
Du côté client, les navigateurs peuvent être configurés pour
transmettre les requêtes à un proxy localement installé sur Ce type de technologie est conçu pour rendre difficile l'identifica-
l'ordinateur de l'utilisateur, qui achemine le trafic au client Tor tion de ses utilisateurs.
installé sur son poste de travail.
10
CHRONIQUE JURIDIQUE
QUELS SONT LES RISQUES LEGAL BRIEFING
JURIDIQUES ASSOCIÉS À L'USAGE
DE CE TYPE D'OUTILS ? A legaanldvi"eawmonnestihcenDetawrkoWrkes"b
Ils sont extrêmement divers, compte tenu du type de contenus et Lecturer By Olivier Iteanu, Avocat à la Cour,
d'activités d'emblée illicites qui peuvent se trouver sur le réseau at the University of Paris I Sorbonne
Tor. Bien évidemment, à titre d'exemple, si j'utilise ce type d'outils
pour acheter ou vendre des substances illicites, je commets une urgmfsehtsaoToahveaachroliesecreeodhkeswpbfsei,strreestseameoueirnbsamf.ncosd.lnshe.n)doua"sentmrseiDyhntpeerireavccltdloaawlirlucoeuktufeofsdfognoWsrirthed,nkrhmxeissegtelp.hlbhriiocunp"efnoistortgTiiirtdnnso,pasocgrhuobeiwpnirflclryptlaeenaieonltdtsnwbshgleeeykesuogsiitslrlwaSlhlke(eelide.hdlgrkrWrseiaFu,strRBloegkebIosdlcrttaiareianrhuncadfnekegh2ff-orseo"0ihcnrftD1aaketol3eiaintnnnn.rwdthegkAirae,noeWbbbcaatlktrsharedhieimecebterekifr"ssns
infraction au même titre que si je le faisais sur un autre site ac-
cessible par le Web standard, ou au coin de la rue... Cela n'a juri-
diquement que peu d'intérêt.
De même, si un utilisateur de Tor crée un site sous la forme d'un
service caché Tor dans le but d'effectuer une publication anonyme,
dans laquelle il ne révèle pas son identité, il va par là même en-
freindre une autre disposition de la LCEN en son article 6 III (im-
posant des obligations d'identification de l'éditeur, la mention du
directeur de publication et la mention de l'hébergeur). La Loi pré-
voit aussi des sanctions pénales d'un an d'emprisonnement et de
75 000 euros d'amende en cas de non-respect de ces obligations
légales.
EN TANT QU'OUTIL, LE RÉSEAU TOR contenu (poster des commentaires, téléverser des fichiers rendus
EXPOSE-T-IL INTRINSÈQUEMENT accessibles au public...). Le créateur de ce service ne serait pas
SES UTILISATEURS À DES RISQUES réellement en mesure de conserver des données de nature à per-
JURIDIQUES ? mettre l'identification de leurs auteurs, comme exigé par l'article
6 II de la Loi pour la Confiance dans l'Economie Numérique
Tout dépend de la notion d' « utilisateur ». (LCEN), et détaillé par le Décret n° 2011-219 du 25 février 2011
Prenons le cas d'un utilisateur de Tor créant un service caché pour relatif à la conservation et à la communication des données
rendre accessible par ce réseau un site Web dont l'objet ne serait permettant d'identifier toute personne ayant contribué à la création
pas illicite, mais permettant à ses visiteurs de contribuer à du d'un contenu mis en ligne, et notamment « L'identifiant de la
CHRONIQUE JURIDIQUE
connexion à l'origine de la communication » visé par le Décret, provenance de ces adresses), le réseau Tor ne servant pas seule-
qui n'est autre que l'adresse IP en réalité. Seule l'adresse du nœud ment à accéder à des « services cachés » ayant des adresses en
de sortie Tor lui serait accessible. .onion.
Certaines adresses de services .onion correspondent à des
Un nœud Tor sert de relai au routage des communications. Toute sites Web publics couramment utilisés (ainsi Facebook a créé sa
personne souhaitant mettre à disposition ses ressources informa- propre adresse https://facebookcorewwwi.onion/ - l'adresse
tiques (ressources en bande passante réseau, ressources machine) http://3g2upl4pq6kufc4m.onion/ correspond au moteur de
peut transformer sa machine en nœud. Bien qu'il n'y ait pas recherche DuckDuckGo...).
actuellement de jurisprudence dans ce domaine, cette activité
pourrait juridiquement être assimilée à la définition fonctionnelle Avec un navigateur correctement configuré, un client Tor, ou un
des « personnes dont l'activité est d'offrir un accès à des services système dédié à l'usage de ce type d'outils, et parfois de la
de communication au public en ligne » de l'article 6 I 1. de la patience (la navigation est plus lente que traditionnellement), l'uti-
LCEN, qui sont elles-mêmes tenues à des obligations de conserva- lisateur peut surfer en masquant aux sites qu'il visite son adresse
tion de données de connexion. De la même façon, « L'identifiant IP d'origine, en réduisant les chances que le contenu soit intercepté
de la connexion à l'origine de la communication » visé par le ou lu en chemin, ou que ses requêtes soient filtrées.
Décret n'est pas disponible au nœud. Il ne connaît que l'adresse
du nœud précédent. Ces technologies sont utilisées par les activistes et défenseurs des
Droits de l'Homme dans des pays pratiquant une censure, une
Les termes du décret posent un problème d'interprétation, le surveillance ou une répression à leur égard.
fonctionnement technique du réseau Tor mettant en échec ses Dans nos pays, en tant que simple utilisateur, ces usages ne sont
prévisions. Pour un nœud Tor, l'origine de la connexion ne peut pas illicites, et pourraient être soutenus sur la base du principe
être remontée à l'auteur, seulement au nœud précédent. A tout général édicté par l'article 9 du Code Civil selon lequel « Chacun
le moins, il aurait une obligation légale de conservation de ces a droit au respect de sa vie privée ».
informations pendant la durée d'un an prévue par l'article 3 du
Décret. Le Dark Web comporte des risques juridiques certains, mais aussi,
de manière générale, des risques tout court. Ainsi, selon une étude
Ces questions ne sont pas anodines, le non-respect des obligations publiée par extremetech.com, 57% des sites accessibles en
de conservation étant passible de sanctions pénales maximales adresses <.onion > seraient des sites hébergeant des contenus
d'un an d'emprisonnement et de 75 000 euros d'amende (pour illicites ou se livrant à des activités illégales.
les personnes assimilées au statut d'hébergeur ou de fournisseur De quoi faire un grand nombre de victimes… ■ ■ ■
d'accès), pour le fait de ne pas avoir conservé les éléments
d'information exigés par la Loi, ou de ne pas déférer à la demande
d'une autorité judiciaire d'obtenir communication desdits
éléments.
S'agissant toujours du nœud Tor assurant la transmission, se pose
aussi la question de l'applicabilité de l'article L. 32-3-3. du Code
des Postes et Communications Electroniques, qui prévoit que
« Toute personne assurant une activité de transmission de conte-
nus sur un réseau de télécommunications (...) ne peut voir sa
responsabilité civile ou pénale engagée à raison de ces contenus
que dans les cas où soit elle est à l'origine de la demande de
transmission litigieuse, soit elle sélectionne le destinataire de la
transmission, soit elle sélectionne ou modifie les contenus faisant
l'objet de la transmission ». Le nœud Tor modifie indiscutablement
le contenu qu'il reçoit avant de le transmettre au prochain nœud
(il déchiffre sa propre couche de chiffrement), ne pourrait-il dès
lors pas se prévaloir du régime de responsabilité aménagé d'inter-
médiaire technique ? Au-delà de la lettre, l'esprit de ce texte
montre que l'intermédiaire doit rester neutre sur le contenu
véhiculé et que l'opération de déchiffrement étant purement
technique et automatique, il ne devrait pas être considéré comme
ayant modifié le contenu « objet de la transmission » si le contenu
en clair n'est pas changé de son fait. Mais là aussi, la technologie
Tor met à l'épreuve l'interprétation des textes.
QU'EN EST-IL DU SIMPLE
UTILISATEUR NAVIGUANT
AU MOYEN DU RÉSEAU TOR ?
Le réseau Tor permet de visiter n'importe quel site publiquement
accessible sur le Web (ou presque : les adresses des nœuds de
sortie étant connues, certains sites réduisent leurs fonctionnalités
ou refusent l'accès aux adresses IP utilisées comme point de sortie
- ainsi, Wikipedia n'autorise pas la modification des contenus en
13
THÉMA : DARK WEB
LE DARK WEB,
,
TEL LE PHENIX, RENAIT
I
TOUJOURS DE SES CENDRES .
4Par Mac Jacob et Emmanuelle Lamandé
Pendant que les internautes lambda s’adonnent à leurs petites navigations sur la Toile,
un réseau caché grouille, telle une fourmilière, dans la partie sombre d’un Internet qu’ils
ne soupçonnent même pas : The Dark Web ! Cet univers parallèle, où règne en maître
l’anonymat, est le terrain de jeu privilégié de criminels en tout genre, qui mènent à bien
via ce marché noir leurs activités illégales en toute impunité… Les forces de l’ordre
tentent bien évidemment d’endiguer ce phénomène, mais comme l’expliquent nos deux
experts, Arnaud Le Men, Erium, et Greg, NES, le Dark Web, tel le Phénix, symbole
d’immortalité et de résurrection, renaît toujours de ses cendres, encore plus fort
et encore plus occulte.
La meilleure manière d’appréhender le Dark Web est de le nécessite souvent de montrer sa patte « noire » cybercriminelle pour
rapprocher du concept de TAZ, la Temporary Autonomous Zone, pouvoir y accéder.
théorisée en 1997 par Hakim Bey [1], estime Arnaud Le Men, Associé
d’Erium. C’est un espace en dehors de nos lois régaliennes, mouvant L’ANONYMAT : PRIORITÉ ABSOLUE
et autocontrôlé au service de l’interaction humaine, à des fins parfois
clairement illégales. Il s’agit d’une émanation inévitable de l’Internet. SUR LE DARK WEB
Les environnements et réseaux garantissant un minium d’anonymat
sont, en effet, le terreau idéal pour l’apparition d’espaces d’échanges L ’accès au Dark Web s’effectue le plus souvent depuis un outil,
et d’activités illégales. Le Dark Web regroupe ces mondes virtuels, à nommé Tor [2], explique Greg. Celui-ci peut être installé sur n’im-
l’accès plus ou moins fortement contrôlé et à l’anonymisation porte quel poste de travail et permet de chiffrer l’ensemble des com-
promise, sans pour autant être certaine. munications sortantes. Ce chiffrement est réalisé avec un algorithme,
Il peut, effectivement, être défini, comme une zone où toutes les encore non cassé à ce jour, et utilise un certain nombre de nœuds
communications transitant sur Internet sont chiffrées de bout en de routage déployés sur Internet. Le client Tor peut également faire
bout, de manière à garder un anonymat complet quant aux office de nœud de routage si l’utilisateur configure le client de la
informations circulant sur ce dernier, complète Greg, Expert Sécurité sorte. Ainsi, chaque utilisateur du Dark Web peut devenir un point
chez NES. D’ailleurs, à la différence du Web « de surface », de routage de ce réseau, augmentant encore les principes d’anony-
l’utilisation de certains outils spécifiques est nécessaire, afin de misation utilisés sur le Dark Web : plus il y a de clients, plus il existe
pouvoir y pénétrer. L’anonymat est indispensable sur ce réseau, les de nœuds de routage, et plus il est difficile de tracer le chemin pris
adresses d’accès aux différents sites Web et applications le sont donc par les données entre le client et le serveur.
également. Par exemple, l’un des moteurs de recherche connus sur
le Dark Web (équivalent de www.google.fr) est accédé en joignant Les places de marché noir sont effectivement hébergées, en grande
l’adresse suivante : http://3g2upl4pq6kufc4m.onion/. Ainsi, majorité, sur des réseaux anonymisants (Tor, I2P [3], Freenet [4]),
contrairement au Web de surface, aussi bien les utilisateurs que les complète Arnaud Le Men, mais les points d’entrée ne sont pas très
sites Web sont anonymisés et très difficilement localisables. En difficiles à trouver. Certains sites du Web clair établissent même des
synthèse, on peut dire que le Web visible est le Web facilement listes et les tiennent à jour. Sur le réseau Tor, il existe également des
accessible (celui qui est fait pour être trouvé), reprend Arnaud Le annuaires, comme « Grams » [5], qui référencent presque
Men. On y accède via les moteurs de recherche ou en rebondissant exclusivement des places de marché noir. Cependant, les conditions
de lien en lien sur les sites Internet. Le Web invisible, par opposition, d’entrée s’avèrent de plus en plus rigoureuses. Par exemple, l’un des
est construit de manière à ne pas être découvert, du moins pas sans forums francophones de Tor demande d’effectuer un véritable acte
un accès contrôlé (serveurs privés, sites avec authentification, pages de candidature en vue d’obtenir un accès. Vous devez vous présenter,
non référencées, services payants, etc.). Enfin, dans ce Web invisible, expliquer vos intentions, préciser votre connaissance informatique
existe une sous-partie composant le Dark Web, où l’anonymat et détailler les mesures de sécurité que vous allez mettre en œuvre
représente le principal enjeu. La notion d’entre soi y est également pour assurer votre protection, mais aussi celle des autres utilisateurs.
prépondérante. Ce cercle s’avère, en effet, de plus en plus fermé, et Certains sites demandent aussi de déposer de l’argent virtuel (Bitcoin
14
THÉMA : DARK WEB
par exemple) sur un compte avant d’y accéder. Thema: DARK WEB
BykTMeheeaprcDsJaaorcnkobrWiasneidnbg,EmlifkmroeamntuhetelhlePeLhaaomsehanneidsxé!,
Afin de préserver autant que possible cet anonymat, le Dark Web
repose également sur différents principes techniques de camouflage, arDptieonntluaweaWlsefyderwrurramegtckhnrmsalbrarli,ieiWyyel,tmloeAtycu:tolreirtritiennktpinsyhbohdeaieaeotnneellhrubisagaa,kre,dDsnkvtettcwiereaohoLuuaterrheenharlcnkpeeosugetMrs,.Warewiucbposdeosenihnnatttelbehhoho,rr!teteiinE-tsishTmsnhyripipunhiiseulxpirhgainrsm,fbueyeefalnitpnr,ranihoisaoacigtsesmykrmynaafkmod.imlete.ehlbh.benelGiadsSdeloopcrredulniokeaunceen,ogfsrugnetbhif,cvrhuebtiNiendtomsotuyreEe,sisamctpScfeeywsoae,vt,obhrroeeowfcrrrsorxuyrteokhaprsrsowoltelatifgarautwrsloyrieltrtininhneokntaagegihtdnennnheeitxaIddnoernhi--srg--e
à commencer par le chiffrement bien sûr, explique-t-il, couplé à
l’encapsulage des adresses IP (pour le réseau Tor). Toutes les
techniques d’obfuscation permettant de dissimuler les sites, ainsi
que l’identité des machines et ordinateurs qui y accèdent, sont
privilégiées sur le Dark Web. Les techniques de dissimulation varient
toutefois selon les réseaux. Dans le cas de Freenet par exemple, le
réseau repose sur l’informatique partagée : une partie du disque est
allouée à un « magasin », qui est utilisé afin de stocker les portions
de fichiers échangés sur le réseau. Vous ne disposerez que des
fichiers complets reconstitués que vous aurez souhaités télécharger.
Chacun participe à ce réseau, en hébergeant des « morceaux »
inexploitables de fichiers légaux illégaux. Enfin, l’authentification
représente une barrière essentielle pour limiter l’accès au Dark Web.
De plus en plus de places de marché noir ne sont, d’ailleurs,
accessibles que par cooptation.
AUTANT DE « BUSINESS MODELS »
QUE D’ORGANISATIONS…
Les enjeux financiers inhérents au Dark Web sont colossaux. Quand en effet, d’économies parallèles et illégales, explique Greg, comme
les fondateurs du site Evolution ont fermé leur place de marché et par exemple la vente de drogues, de médicaments, d’armes à feu ou
sont partis avec la caisse, le butin a été estimé à 12 millions de dol- d’explosifs, mais aussi les services de pirates informatiques, de tueurs
lars en Bitcoins [6]. Les organisations en charge de la gestion de ce à gage ou de détectives « privés »… Tous ces achats sont réalisés
type de revenus et d’activité doivent être très bien structurées pour en utilisant des cryptomonnaies et transitent sur des canaux de com-
assurer la maintenance technique, la gestion des flux, la sécurité, les munication chiffrés, en plus de passer par le nuage d’anonymisation
sauvegardes, etc. Au niveau technique, le Dark Web s’appuie princi- de Tor. Depuis quelques années, de nombreux forums djihadistes
palement, comme évoqué précédemment, sur le projet communau- fleurissent également sur le Dark Web, ainsi que des forums de com-
taire Tor, constate Greg, afin de fournir les moyens d’anonymiser les munautés antimondialistes.
flux. De son côté, l’infrastructure repose sur les mêmes éléments que
l’Internet classique. Le projet Tor est ainsi basé sur une communauté Sur les places de marché, on trouve effectivement de tout, et de
de développeurs et de donateurs, dirigée par Roger Dingledine, le préférence des choses illégales, complète Arnaud Le Men. C’est une
fondateur de ce projet. véritable Cour des miracles. Les produits proposés vont de simples
bouteilles d’alcool (en effet, dans certains pays, l’alcool est illégal et
Le modèle économique prend, quant à lui, des formes variables, ne se trouve que sur le marché noir) à des armes automatiques, des
souligne Arnaud Le Men. La plupart des sites concernés s’octroient explosifs, des métaux précieux, des plans d’impression 3D d’armes,
une marge sur les transactions, mais certains forums ne font que de en passant par des données volées... On y retrouve également des
la mise en relation et ne se rémunèrent pas directement. Ils sont services de piratage informatique, de fabrication et de modification
maintenus à jour et administrés par des bénévoles. Selon Greg, il de faux papiers, d’usurpation d’identité, etc. On y recense, en outre,
n’existe d’ailleurs pas de modèle économique à proprement parler des tutoriels permettant de fabriquer des bombes artisanales, ainsi
sur le Dark Web. Chaque organisation réalise son propre « business que des éditions du mythique « The Anarchist Cookbook » [7], ou
model » basé sur une monnaie virtuelle, appelée aussi encore des guides de survie en cas d’insurrection… Par exemple,
cryptomonnaie. lors des Printemps Arabes, tunisiens et libyens, les Anonymous ont
publié sur Tor des fichiers ZIP contenant tous les outils et guides
La monnaie la plus connue utilisée sur le Dark Web est bien entendu nécessaires pour alimenter la révolution populaire : outils de
le Bitcoin, mais depuis quelques mois, d’autres monnaies sont communications sécurisés (chats IRC), tutoriels dédiés à la
également apparues, comme le Dogecoin, le Fastcoin, le Peercoin. configuration des ordinateurs et à l’installation d’un réseau
Ces monnaies virtuelles ont un cours par rapport aux monnaies anonyme, conseils en stratégie de communication, guides permettant
réelles. Il est, en outre, intéressant de voir que ces cours ont de fabriquer des masques à gaz avec des bouteilles plastiques ou
progressé de façon exponentielle depuis la création de ces monnaies d’échapper à une course poursuite avec la police, recommandations
virtuelles. Par exemple, à sa création (en octobre 2009), le Bitcoin sur la conduite à tenir en cas d’arrestation, etc. Du côté
valait 0,001 dollar alors qu’en janvier 2016 un Bitcoin valait 452 cybercriminel, de plus en plus de services de piratage informatique
dollars, soit une augmentation de 452 000% ! Mieux que n’importe y sont proposés, constate-t-il. Autre tendance : de nombreux services
quelle action sur les marchés financiers… C’est ainsi que les cybercriminels en mode SaaS y font leur apparition, permettant par
organisations mafieuses de trafic de drogue et de vente d’objets exemple la mise en place de fraudes bancaires ou la location
illégaux ont rapidement acquis un certain monopole sur le Dark Web. d’infrastructures nécessaires au lancement d’attaques DDos.
DARK WEB : COUR DES MIRACLES Toutefois, il serait réducteur, selon lui, de considérer que le Dark Web
OU VÉRITABLE FOURRE-TOUT ? se compose uniquement de places de marché. On y recense aussi
des places d’échanges de fichiers gratuits (essentiellement
Du fait de l’anonymat certain fourni par le Dark Web, la grande ma- pornographiques, mais aussi des livres, des films, de la musique,
jorité des produits et services que l’on peut y trouver proviennent, des didacticiels divers…), ou de discussions idéologiques, de
channels, etc.
15
THÉMA : DARK WEB
DES PROFILS D’ACTEURS ET de « deux principaux moyens pour infiltrer et trouver les instigateurs
DE CRIMINELS DIVERS ET VARIÉS des sites, places de marché ou encore forums présents sur le Dark
Web :
Du côté des acteurs et des criminels qui se baladent dans les dédales • Tout d’abord, infiltrer les organisations comme un enquêteur le
du marché noir, on trouve également de tout ! Ces profils divers et ferait afin de pénétrer une structure réelle, à savoir se faire passer
variés sont étroitement liés aux activités les plus répandues au sein pour un client ou une personne souhaitant intégrer le réseau. Puis,
du Dark Web, remarque Greg. Nous retrouvons ainsi des organisa- par le biais de techniques de Social Engineering, il est alors pos-
tions importantes, comme les mafias ou encore des ramifications de sible de remonter la filière. Cette technique fonctionne lorsqu’il
l’état islamique. A côté de ces groupes très organisés, nous pouvons s’agit d’organisations « novices » sur le Dark Web.
y rencontrer tout type d’internaute voulant se procurer des objets il-
licites et notamment de la drogue. Les utilisateurs des environne- • Si le Social Engineering ne marche pas, le seul moyen est,
ments du Dark Web sont effectivement très hétérogènes, poursuit dans ce cas, de trouver une vulnérabilité sur le serveur applicatif
Arnaud Le Men. On y trouve à la fois des cybercriminels qui vendent sous-jacent, afin d’identifier la véritable adresse IP du serveur non
des compétences, des logiciels ou louent des infrastructures, mais anonymisée.
aussi des pirates en herbe, avides de sensations fortes, des groupes
anarchistes, des conspirationnistes, des radicaux religieux, des pé- • Ce deuxième cas s’est avéré payant lorsque le FBI a fermé, en
dophiles, etc. On sait que ces réseaux sont également utilisés par 2013, la plus grande place de marché noir du Dark Web : The Silk
des dissidents politiques dans certains pays. On peut également Road [8]. Une vulnérabilité dans le CAPTCHA du portail d’authen-
noter un renforcement de la présence de réseaux mafieux qui trou- tification a permis de révéler la véritable adresse IP du serveur hé-
vent là un terrain idéal pour exercer leurs activités en tout illégalité bergeant cette place de marché et ainsi de remonter jusqu’à son
(blanchiment de fonds, vente d’armes, de produits stupéfiants et de propriétaire ».
services…). Certains outils d’entreprises légales commencent, en
outre, à s’appuyer sur ces réseaux, afin de renforcer la sécurité de Arnaud Le Men est, pour sa part, plus incertain quant à la procédure
leurs échanges. utilisée : « Après l’arrestation de l’administrateur du site Silk Road
2.0 en 2013, une des principales plateformes du trafic de drogue, le
QUE FONT LES FORCES DE L’ORDRE ? FBI n’a jamais clairement expliqué la manière dont il a identifié Ross
Ulbricht [9]. Il semble que le réseau d’administrateurs du site ait été
On peut clairement se demander comment un tel réseau, connu de infiltré par un agent. Certaines rumeurs parlent également de l’uti-
« tous » bien qu’« anonyme », parvienne encore à passer entre les lisation de scripts exploitant des vulnérabilités Java par les services
mailles du filet et à échapper aux forces de l’ordre. Pour Greg, étant de Police, mais aussi du fait que l’administrateur ait pu échanger
donné que les outils d’anonymisation et de chiffrement utilisés par une fois, au début de l’histoire du site, des informations par mail sur
le Dark Web n’ont toujours pas été « cassés » par les organisations le sujet, via le ClearWeb… » Entre rumeurs et vérités, les possibilités
gouvernementales, les différents trafiquants et criminels se trouvant sont nombreuses…
sur le Dark Web peuvent encore communiquer en toute impunité. De manière plus générale, les révélations d’Edward Snowden ont
De plus, l’Internet d’aujourd’hui propose énormément de solutions montré que la NSA s’intéresse de près aux utilisateurs de Tor, pour-
à bas coût et mises en place en temps réel, permettant de déplacer suit-il, notamment en surveillant les nœuds du réseau, via son pro-
un serveur, des données… d’un pays à l’autre. Il devient alors très gramme XKeyscore [10].
difficile de tracer la provenance, ainsi que la propriété d’un serveur
ou d’une donnée stockée sur le Dark Web. C’est donc une course sans fin, comme dans la vraie vie (IRL - In
Real Life), qui anime le Dark Web. Dès qu’un réseau ou un site est
Effectivement, complète Arnaud Le Men : « Les réseaux ont été démantelé, un autre prend le relai en améliorant sa sécurité. En règle
construits afin de renforcer l’anonymat ; en parallèle, les sites générale, c’est lors des échanges Dark Web/ClearWeb que les
hébergés sur ces réseaux sont très mouvants. Dès qu’il y a une vague « erreurs » sont commises et permettent aux autorités de conduire
d’arrestations, le réseau se restructure : les sites ferment et réappa- des enquêtes pouvant réellement aboutir à l’identification des parties
raissent sous une autre forme en renforçant encore les conditions et, in fine, aux arrestations, puis saisies correspondantes.
d’accès. La localisation des serveurs les rend également difficiles à
tracer, et les capacités des services de police et l’arsenal juridique à LES ENTREPRISES AUSSI
leur disposition ne facilitent pas la surveillance. Tant que les activités
restent dans le Dark Web, elles demeurent donc très difficiles à INVESTISSENT PEU À PEU
contrer. »
LE DARK WEB
ENTRE CYBERINFILTRATION ET
Les entreprises aussi sont de plus en plus nombreuses à s’intéresser
EXPLOITATION DE VULNÉRABILITÉS… à la surveillance de ces marchés noirs, par le biais de prestataires
notamment. Pour Greg, il s’avère, en effet, utile et bénéfique pour
Toutefois, les forces de l’ordre, comme les services de renseignement, une entreprise de surveiller le Dark Web, afin de détecter des
s’intéressent de très près au phénomène et recourent à certaines informations « négatives » la concernant. Cela est surtout vrai pour
techniques, notamment de cyberinfiltration, pour tenter d’endiguer les grands groupes ou les organisations les plus médiatisées, tels
ces activités illégales. D’ailleurs, leurs tentatives ne s’avèrent pas que les gouvernements, les associations, les partis politiques…
toujours vaines. Étant donné la grande robustesse des principes Arnaud Le Men reste toutefois plus mitigé sur ce point : « De plus
d’anonymisation et de chiffrement utilisés au sein du Dark Web, les en plus de clients nous interrogent sur l’intérêt de veiller sur le Dark
agences gouvernementales disposent, selon Greg, à l’heure actuelle Web. La surveillance du Web clair et du Web invisible est une
évidente nécessité. Pour des entreprises, la surveillance du Dark Web
l’est moins, d’autant qu’elle s’avère particulièrement complexe
16
THÉMA : DARK WEB
techniquement et coûteuse. Tout dépend également des objectifs d’HADOPI démontre que légiférer et sanctionner ne suffisent pas
fixés : par exemple, surveiller le Dark Web pour détecter une fuite à tarir certains usages d’Internet. Dans le cas spécifique des
d’information bancaire n’est pas nécessaire. En cas de publication téléchargements pirates, les offres commerciales de distribution de
d’un leak (fuite d’information) sur le Dark Web, l’information est contenus numériques sont une autre forme de réponse plus acceptée
immédiatement répercutée sur le Web visible par des internautes. et très efficace, ayant réussi à détourner de nombreux internautes
Ceci dit, pour certains métiers directement visés par des fraudes, d’échanges illégaux de type P2P ou Usenet ». On devrait, en outre,
comme la contrefaçon de produits de luxe ou pharmaceutiques, cela assister à une hiérarchisation et duplication de cet écosystème,
peut avoir un intérêt, puisque ces environnements sont totalement justement à cause de l’infiltration plus ou moins connue et
décorrélés du Web clair. » « acceptée » par des tiers (agences gouvernementales, sociétés de
Dans les années à venir, le Dark Web devrait d’ailleurs attirer de plus cybersécurité…), conclut Greg.
en plus d’utilisateurs, et pas que pour commettre des méfaits ou
mener à bien des activités illégales. Effectivement, le risque avec le Seule certitude aujourd’hui quant au futur : quelle que soit
renforcement des politiques sécuritaires actuelles est de pousser les l’évolution du marché noir dans les années à venir et les avancées
internautes vers ces dispositifs d’anonymisation, non par volonté de de la défense, le Dark Web, tel le Phénix, renaîtra toujours de ses
dissimuler des activités illégitimes, mais plus par principe moral de cendres d’une manière ou d’une autre, et en ressortira encore plus
ne pas laisser leur vie numérique à « Big Brother », craint Arnaud Le secret, encore plus fort et encore plus occulte… ■ ■ ■
Men. « Les réponses politiques rapides, annonçant des mesures
législatives pour interdire ou contrôler tel ou tel dispositif ou moyen
d’échange, ne résoudront pas tous les problèmes. L’exemple
[1] https://en.wikipedia.org/wiki/Temporary_Autonomous_Zone
[2] https://www.torproject.org
[3] https://geti2p.net/fr
[4] https://freenetproject.org
[5] www.numerama.com/magazine/29145-grams-google-drogue-armes-darknet-tor.html
[6] www.coindesk.com/dark-market-evolution-vanishes-with-12-million-in-bitcoin
[7] https://en.wikipedia.org/wiki/The_Anarchist_Cookbook
[8] www.clubic.com/internet/actualite-589584-fbi-fermer-silk-road-place-dediee-drogues.html
[9] www.fbi.gov/newyork/press-releases/2014/manhattan-u.s.-attorney-announces-the-indictment-of-ross-ulbricht-the-creator-and-owner-of-the-silk-road-website
[10] www.undernews.fr/anonymat-cryptographie/nsa-un-nouveau-programme-secret-revele-par-snowden.html
17
THÉMA : DARK WEB
CYBER-INTELLIGENCE D’EFENSIVE .
.
ISOLER L’INFORMATION
UTILE DU BRUIT AMBIANT...
4Interview de Luc Mensah, Directeur Technique du Pôle Sécurité de NSIT Systems
Par Marc Jacob et Emmanuelle Lamandé
La cyber-intelligence défensive vise à détecter dans le cyberespace tout signe précurseur
d’une manœuvre hostile, pouvant potentiellement cibler les actifs stratégiques de son
entreprise. Concrètement, il s’agit d’anticiper et de prévenir les menaces, en surveillant
les réseaux (Web, Deep Web et Dark Web), afin de détecter au plus tôt les cyberattaques,
les atteintes à l’image de l’entreprise, l’usurpation d’identité de ses dirigeants... et de
réagir au plus vite. En effet, constate Luc Mensah, Directeur Technique du Pôle Sécurité
de NSIT Systems, bien souvent l’information « utile » est à portée de main, encore faut-il
pouvoir l’isoler du bruit ambiant et l’intégrer dans le système de sécurité de l’entreprise.
Global Security Mag : En quoi consiste la cyber- sur le SI. Cela s’obtient en effectuant une veille en continu des vul-
intelligence défensive pour une entreprise ? nérabilités du SI, de la circulation d’informations sensibles de l’en-
treprise, dans les réseaux. En synthèse, l’objectif est de protéger tout
Luc Mensah : Abordons la question par les lieux communs. D’un ce qui permet la conservation ou l’acquisition d’un avantage com-
point de vue général, l’information est une ressource stratégique. La pétitif (brevet, produit, réputation, image pour l'entreprise) des actes
capacité à la protéger sur ce terrain là (le cyberespace), surtout de concurrence, de malveillance et de négligence externes et in-
concernant des entreprises dont l’activité est très infocentrée, est ternes. Au-delà de la protection des données, une autre dimension,
déterminante pour la compétitivité, voire la survie, de ces entreprises. propre aux Systèmes d’Information, est à prendre en compte. Dans
La cyber-intelligence défensive consiste à rechercher et à collecter, ce cas précis, il s’agit de la protection des moyens qui opèrent l’in-
dans le cyberespace, les informations sur les menaces naissantes ou formation (le SI). Le principe consiste en une collecte, au plus tôt,
avérées et à tout mettre en œuvre pour les prévenir ou les stopper. des renseignements sur les nouvelles menaces (Zero Day…) ou
Le propre de la cyber-intelligence défensive est qu’elle n’est pas d’une intention d’attaque ciblée, qui pourraient viser le SI.
statique. La démarche est offensive et doit rester licite. Il s’agit de
rechercher activement et en continu – c’est la tendance qui se GS Mag : Contre quels risques permet-elle de se
dessine actuellement – tout signe précurseur d’une manœuvre prémunir ?
hostile qui ciblerait les données stratégiques, ou désignées comme
telles, par l’entreprise. Luc Mensah : Naturellement, contre le premier qui vient à l’esprit,
le plus évident pour toute entreprise : vols de données, initiés de l’in-
CYBER-INTELLIGENCE DÉFENSIVE : térieur ou de l’extérieur, mais aussi plus largement, contre les ma-
SURVEILLER LES RÉSEAUX POUR nœuvres frauduleuses ou non de concurrents, de nouveaux entrants
MIEUX ANTICIPER LES MENACES (contrefaçon, opération de concurrence frontale, voire déloyale). A
la marge, une autre demande grandit, concernant la surveillance des
GS Mag : Quel en est l’objectif ? informations relatives aux dirigeants (mails, numéros de téléphones,
etc.). S’agissant du SI, la cyber-intelligence intervient au-delà de la
Luc Mensah : Il dépend clairement des risques spécifiques au do- veille, en support des SOCs, pour intégrer les menaces ciblées dès
maine dans lequel exerce l’entreprise, mais aussi de son niveau d’ex- leur apparition. Dans le meilleur des cas… A propos des SOCs, il ne
position publique. Concrètement, il s’agit d’anticiper et de prévenir peut s’agir de simples bulletins réguliers, mais d’une véritable infor-
les menaces, en surveillant les réseaux (Internet, UnderNet, Dark mation ciblée opérationnelle et exploitable (contre-mesure tech-
Web), afin de détecter les cyberattaques, les atteintes à l’image de nique, surveillance accrue d’un type d’équipement de l’entreprise).
l’entreprise, l’usurpation d’identité de ses dirigeants ou ayants droit Lorsqu’elle arrive au SOC, elle doit concerner des éléments précis du
périmètre surveillé avec un niveau d’alerte à attribuer, assorti d’une
conduite à tenir.
18
THÉMA : DARK WEB
LA CYBER-INTELLIGENCE DOIT Thema: DARK WEB
InisteoABrlvcyaietSMtwieivcnaeuwrgcriicttJuhyyafsrcbSLooeuyebsfmcrtuea-MldmnbediesannfEDscfeamkoivnhgmri,ssmTriaeoeonnacuiuh,tnenNnitloidlSecenIalTLnllaisSDogmiyigiressaetnneencamtcdo.leé.srs,.:
S’INTÉGRER AUX SYSTÈMES D’ALERTE
tmNMnotp(tthaDWaSaioieicnenIginesiTnnegypets,fcssbeeiarovwbassg,nnterthliarpesreDr.naa,.yicrovg.eatnteTroeeeaeniasaenfgnpsyctwtncgaeiedyhcdsWirbntinsiyrgbmhpeieei"gtnucrraboab-uenaasicguvsnisllitansseeestioonnDeeifnonaulfsgdltiaflernsliih"tnecgrsDdeaoaygcseiabspstntrnstoshetreifhceidkeoprirle,srcetlrueayWsumfSa.t.aatrraetoiIeiSctamanttscmtbpyticiuoisbv)epoksr,nbiycotsniyttod,ai,ysimfyniipceitsdcdtektoothSaeeamegontaylnttecrlfiestsyotttnh.ticoifuctenttaatyroihnmganciinuidtntlsdhs,gladd,ncmensanbDoyfobmetbeuieitsevateotaeeawinrfsitrsgtsaalsiomypeLornrraeugankadtan-ccoe,s-se-,-
DU SOC ET DU SI
GS Mag : Quelles sont les différentes étapes d’une telle
démarche ?
Luc Mensah : Elles dépendent avant tout de l’objectif final (ren-
forcement des capacités d’alerte du SOC, contrer une opération hos-
tile avérée, tenter de prévenir de nouvelles fuites d’information…).
Si on considère la classification admise et la répartition des sources
d’information en IE :
• Information blanche (80%) : information aisément et licitement
accessible ;
• Information grise (15%) : information licitement accessible, mais
caractérisée par des difficultés dans la connaissance de son exis-
tence ou de son accès ;
• Information noire (5%) : information à diffusion restreinte et dont
l'accès ou l'usage est explicitement protégé.
L’objectif de la cyber-intelligence défensive sera de choisir le niveau
de protection désiré pour une cible potentielle : se protéger des ac-
tions illégales visant le Système d’Information, l’information noire,
voire de renforcer l’accès à l’information grise, par des sources hos-
tiles. Le sujet est si vaste (Internet, le Deep Web, le Dark Web) que
c’est un service à confier à un partenaire spécialisé ; prestataire qu’il
faudra d’abord identifier, selon ce qu’on aura choisi de protéger. Il
doit pouvoir offrir le service et une qualité correspondant aux at-
tentes (protection des données, augmenter les capacités du SOC).
Les entreprises ne se satisfont plus d’un envoi régulier de bulletins
d’information distillant les dernières nouvelles du front de la cyber-
sécurité. Il faut que l’information soit directement exploitable par les
équipes en charge de la sécurité des données ; voire intégrée aux
systèmes d’alerte et d’escalade du SOC et du SI.
GS Mag : Qui peut en assurer la charge au sein d’une
entreprise ?
Luc Mensah : Les destinataires des informations doivent avoir une
vision globale, holistique de la Sécurité stratégique de l’entreprise.
Ils sont à même de juger des besoins, de l’utilisation la plus efficiente
des informations qui leur seront adressées. Dans les cas que j’ai
connus, il s’agissait de RSSI et de Risk Managers. Les dirigeants sont
naturellement destinataires des rapports de synthèse et des cas les
plus graves : fuites de données stratégiques, menace/attaque ciblée
sur le SI.
L’AUTOMATISATION
EST À PRIVILÉGIER…
GS Mag : Quels sont les outils et techniques permettant GS Mag : De quelle manière s’appliquent-ils sur le Dark
aujourd'hui de détecter les signaux faibles et risques Web ?
d’attaque ?
Luc Mensah : La difficulté est que le Dark Web n’est pas indexé
Luc Mensah : Hormis les services fournis par des prestataires spé- comme l’est Internet. La technologie de Tor et I2P (deux réseaux très
cialisés, les solutions disponibles aujourd’hui sont des plateformes connus du Dark Web) est basée sur des domaines référencés dans
qui offrent une capacité de collecte et d’analyse des contenus, au- des bases de données utilisant un système appelé « Distributed Hash
tomatiques et multi-sources, afin de détecter, voire anticiper, les at-
taques au plus tôt. Le but ultime étant de pouvoir exploiter les
informations reçues pour des réponses opérationnelles.
19
THÉMA : DARK WEB
Table » (ou DHT). Le DHT fonctionne en s’appuyant sur des nœuds GS Mag : Quels sont les écueils à éviter ?
faisant partie du réseau et qui maintiennent chacun une partie de
ces bases de données distribuées. La technique utilisée consiste à Luc Mensah : Il faut réellement définir l’usage auquel on destine
intégrer le réseau, à se déclarer comme nœud réparti (relais du ré- les informations que l’on obtiendra et bien déterminer jusqu’à quel
seau) afin d’observer les requêtes entrantes et sortantes pour un do- point elles pourront être exploitées pour la sécurisation du patri-
maine donné. Cependant, la population qui fréquente le Dark Web moine de l’entreprise. Il est arrivé si souvent que l’on se rende
tient par nature à rester cachée, ce qui le rend particulièrement mou- compte, après coup, qu’on possédait l’information sur la menace
vant. « Une place de marché » sur laquelle s’échangent des infor- sans avoir pu l’isoler du bruit ambiant…
mations relatives à une entreprise (adresses mails internes,
exemplaires de codes de projets stratégiques) peut disparaître à GS Mag : Enfin, quels sont vos conseils aux entreprises
peine a-t-elle été repérée. Le « profiling » et l’identification des ac- en matière d’intelligence défensive ?
teurs (vendeurs, acheteurs), du type d’informations revendues s’en
trouvent compliqués. Luc Mensah : J’aime l’image de l’entreprise, avec historiquement
une sécurité de place forte médiévale, à laquelle il est demandé de
… POUR NE PAS SE NOYER rendre les services d’un aéroport. La menace est devenue globale
DANS LE TORRENT D’INFORMATIONS et permanente, techniquement plus furtive, alors que les besoins
COLLECTÉES de l’activité de l’entreprise exigent qu’elle s’ouvre toujours davan-
tage. Au-delà des mutations technologiques, la vision de la Sécurité
GS Mag : Quels sont les meilleurs moyens pour doit être plus globale, alors même que plus spécifique. Les actifs du
optimiser l’analyse et le traitement des informations SI doivent être toujours plus connectés, mais plus contrôlés. L’infor-
recueillies ? mation doit pouvoir circuler toujours plus vite et être mieux proté-
gée. Et, par ailleurs, la menace évolue sans cesse. Cette situation
Luc Mensah : L’automatisation des analyses est le meilleur moyen oblige à une nouvelle approche plus globale, avec une attention
de ne pas être noyé par le torrent d’informations qui sera collecté. portée non plus seulement sur ce qu’il faut protéger, mais sur toute
Sinon, l’entropie qui en résultera conduira au résultat inverse de celui menace qui pourrait survenir ou apparaître. Il y a à cela trois points
recherché. Les solutions - ou services - de cyber-intelligence se dis- clés : la largeur du spectre à surveiller, l’isolation de l’évènement
tingueront par leur capacité à traiter les contenus multi-media (Iden- utile et une intégration dans le système de sécurité de l’entreprise
tification : vidéos, audio), à traduire les données multi-langues afin que, dès l’alerte donnée, la prise en compte et la réaction soient
(cyrilliques, chinois, arabes, latins). Leurs moteurs de recherche sur immédiates. ■ ■ ■
Ie(s) Net(s) (Internet, UnderNet, Dark Web) doivent avoir les mêmes
capacités.
21
THÉMA : DARK WEB
LE DARK WEB .
.
,
L’HYPERMARCHE POUR
CYBERCRIMINELS
Gérôme Billois, Solucom 4Par Marc Jacob et Emmanuelle Lamandé
Le Dark Web se porte comme un charme et son développement ne risque pas de s’arrêter,
malgré les efforts des forces de police. Aujourd’hui, on y trouve tout ce dont un pirate
chevronné ou en herbe a besoin, afin de commette ses méfaits, avec le plus souvent
en prime un SAV de haute volée ! Il est devenu en quelques années un véritable
hypermarché pour cybercriminels.
Le Dark Web a continué de gagner du terrain en 2015, et ce malgré Market, rapporte Jérôme Granger, Responsable communication de
les fermetures de sites par les forces de l’ordre, comme celle de Silk G DATA Software, et le constat était sans appel : sur ces places de
Road par exemple. Ce développement va de pair avec sa facilité marchés parallèles et anonymes, les données personnelles et pro-
d’accès aux utilisateurs, explique Loïc Guézo, Cybersecurity Strategist fessionnelles s’échangent par millions et n’ont quasiment aucune
de Trend Micro. Sans compter que, malgré leurs quelques succès, les valeur. Par exemple, 40 000 comptes emails (avec login et mot de
forces de police ont de plus en plus de difficultés à le contrôler… passe) ne coûtent pas plus de 20 euros… Quant à l’identité com-
et, dans tous les cas, cette surveillance exige plus de ressources face plète d’un individu (adresse postale, informations bancaires, comptes
à une menace qui se spécialise, y compris géographiquement. En emails, date et lieu de naissance, cartes bancaires, etc.), elle se né-
fait, complète Viorel Canja, Directeur des Laboratoires Antimalware gocie aux alentours de 70 euros. Un tarif si bas montre que le volume
et Antispam chez Bitdefender, le Dark Web continue de se réinventer de données volées par les cybercriminels (sur les serveurs d’entre-
perpétuellement, avec la disparition de certaines marketplaces et prises, les ordinateurs des internautes, etc.) est très important, au-
l’apparition de plusieurs autres, venant ainsi prendre leur place au trement dit la donnée n’est pas rare ! Les données personnelles et
fur et à mesure. professionnelles étant la base de toute attaque (phishing, APT, etc.),
on peut également remarquer que les cybercriminels ne manquent
Effectivement, remarque Gérôme Billois, Senior Manager de pas de sources d’informations, afin de mener à bien leurs attaques.
Solucom, l’activité sur le Dark Web est non seulement forte, mais
aussi toujours très masquée, vu le fonctionnement même de ces Autre constat alarmant : ce type d’activité est malheureusement
réseaux. Le jugement de Ross Ulbricht, ex-responsable de la fameuse accessible à tous aujourd’hui ! Inutile d’être un spécialiste pour se
plateforme Silk Road, a mis en lumière le mode de fonctionnement lancer. Avec seulement un peu d’investissement, n’importe qui peut
des plateformes de vente de produits illégaux. Condamné à la prison désormais acheter un bot et le faire installer. 50 euros suffisent, par
à vie, cet évènement a secoué l'écosystème entraînant la création, exemple, à le déployer sur 1 000 machines… Ensuite, le pirate en
mais aussi la fermeture de nombreux autres sites, dont par exemple herbe n’a plus qu’à gérer son botnet afin de récupérer de la donnée,
les sites Evolution et Agora qui reprenaient les activités « classiques » ou utiliser les machines en vue de commettre des attaques DDoS.
de vente de drogues ou d'armes. On a pu également observer Comme sur le Web légal, les tutoriels sont également très à la mode
l'apparition du « premier » site de propagande djihasidte. Le réseau sur le Black Market. Un débutant peut donc assez facilement se
Tor est même recommandé par plusieurs sites djihadistes pour rester former aux techniques d’attaques et de piratages.
« sous le radar ». A noter qu'en 2015 certaines opérations ont
permis plusieurs identifications de personnes physiques et de SUR LE DARK WEB,
serveurs physiques utilisant pourtant Tor. Les réseaux, ou tout du
moins ses composants, restent vulnérables, en particulier à des À CHACUN SA SPÉCIALITÉ
attaques ciblées utilisant des failles dans les serveurs ou les
navigateurs. Selon Vyacheslav Medvedev, Analyste senior chez Doctor Web, les
cybercriminels appartiennent aujourd’hui à une véritable « industrie »
LES DONNÉES SE RAMASSENT du crime et l’achat de malwares sur le marché noir est actuellement
en pleine croissance. Par exemple, les pirates y offrent des services
À LA PELLE… de « location de botnets (leasing) » pour le vol de données bancaires.
Ceci permet à des personnes n’ayant aucune compétence technique
En 2015, les experts de G DATA ont publié un rapport sur le Black pour créer et gérer un botnet d’accéder à la cybercriminalité.
22
THÉMA : DARK WEB
Le Dark Web s’apparente
donc désormais à une véri-
table industrie criminelle,
où l’on trouve de tout et
où chacun développe son
savoir-faire. Effectivement,
constate Jean-Ian Boutin, Thema: DARK WEB
Dark Web: aBhy yMpaercrmJacaorbkaentdfEomrmcaynbueerllcerLiammiannadlés
Chercheur en logiciel mal-
fsmapimiuTdsneohpeeyrnsepintheothotDnytoirfpncatlofieegrkrsktdrceehmetlWroeyhsvar.eeitrtcIobykbitemeuhssnitdset!aeodfsroeIwpaitntdr,muightdcrhtpayenhobassetaepnhdccbritoektce,ienemrcpairtomaesmodmlrdilwvainteteaahhrdsteloieishnav.beceeloraiftrefanrnocenuseralkdastnssuyutioltotlrsfydhefehdueltaaiegirgrrwovgshhveeeaelaroqnnyfpub,ofdomaorsarlneniecotaxendyn--t
veillant d’ESET, les criminels
ont tendance à se spéciali-
ser sur les forums under-
ground. « Un apprenti
cybercriminel peut, depuis
longtemps, se procurer tout
Jean-Ian Boutin, ESET le nécessaire pour monter
une opération malveillante,
mais nous voyons de plus en plus de personnes se spécialiser dans
des créneaux précis. Qu’il s’agisse de logiciels malveillants sur mo-
bile, de Webinjects utilisés par les Trojans bancaires ou d’exploits kits
(EK) permettant de compromettre un maximum de postes, tous ces
outils sont maintenant plus perfectionnés. »
LES « EXPLOITS KITS »
ET RANSOMWARES FONT FUREUR
Parmi les « kits » ayant fait beaucoup de bruit cette année, on peut TOUS LES OUTILS SONT BONS
citer notamment le « Microsoft Word Intruder (MWI) kit ». Vendu
sur les forums underground, il permet à son acheteur de créer POUR FAIRE RECETTE
des documents Word qui tenteront d’exploiter des failles connues
dans Microsoft Office, afin d’installer un logiciel malveillant. Le Les campagnes contre les terminaux de paiement (POS) sont, quant
cybercriminel n’a qu’à fournir le logiciel malveillant au kit, qui à elles, devenues plus complexes ces dernières années. Au départ, il
l’intègrera dans un document Word. Ce document, lorsqu’il est s’agissait de « simples » attaques ciblant les données des cartes
envoyé à une victime utilisant une version de Word vulnérable, sans aucune gestion centralisée. Maintenant, ce sont des botnets
compromettra son ordinateur lorsqu’elle tentera de le lire. Ce kit avec des serveurs C&C (Control & Command server) qui sont déve-
rend beaucoup plus accessible ce vecteur d’infection. loppés. Cependant, en raison du faible niveau de sécurité dans cer-
taines organisations et entreprises, même les outils les plus anciens
Les ransomwares font également partie des menaces grandissantes. sont régulièrement utilisés, afin d’effectuer et de réussir de telles at-
Ces logiciels malveillants, une fois installés, chiffrent les fichiers im- taques. Et il n’en reste pas moins que les meilleurs cybercriminels
portants présents sur l’ordinateur de la victime, avant de lui deman- développent rapidement et vont loin dans les systèmes des entre-
der une rançon, en contrepartie de la clé permettant de les récupérer. prises qu’ils ont pris pour cible.
Le plus souvent, la rançon doit être payée en Bitcoins, une monnaie
virtuelle très populaire. Bien que son usage soit légitime, les Bitcoins Enfin, il ne faut pas oublier, complète Guillaume Lovet, Senior Ma-
sont souvent utilisés par les cybercriminels, afin d’éviter de laisser nager FortiGuard chez Fortinet, que le Dark Web, outre pour vendre
des traces de leurs activités illicites. de la contrefaçon, de la drogue ou poster de fausses annonces de
tueurs à gages, est essentiellement utilisé pour une chose : la pédo-
Le financement participatif de kits d’exploit par des utilisateurs in- pornographie. Il y a une explication assez simple à cela : c'est la
téressés est également en plein essor, constate Viorel Canja, et plus seule chose qui soit interdite partout dans le monde. En ce qui
particulièrement concernant les kits de ransomwares. Par exemple, concerne tous les autres types de contenus, quels qu’ils soient, il
le kit ransomware Cryptolocker/Cryptowall a été vendu l’équivalent existe au moins un pays où ils s’avèrent soit légaux, soit tolérés ou
de 3 000 dollars en bitcoins, code source inclus. Les acheteurs ont non-reprouvés. Il suffit alors au criminel d'héberger son contenu dans
non seulement bénéficié d’une assistance complète, mais ont aussi le pays « adapté ». Et l'Internet n'ayant pas de frontières, il peut
obtenu des modules supplémentaires ou des personnalisations, alors y accéder de partout (si on omet de prendre en considération
comme les interfaces des consoles de gestion dans la langue de leur les inefficaces mesures de blocage imposées par les gouvernements
choix ou des déploiements personnalisés sur des serveurs VPS. pro-censurés : Chine, Iran, France, Corée du Nord, etc.).
Vyacheslav Medvedev note toutefois que de nombreux Trojans, dis- Le Dark Web a donc encore de belles années devant lui… laissant
ponibles sur le marché noir, ne sont plus supportés par leurs déve- doux rêveurs les criminels en tout genre quant à la multitude de pos-
loppeurs et deviennent obsolètes très rapidement. Ainsi, les sibilités et d’activités malfaisantes qui s’offrent à eux… ■ ■ ■
acheteurs de Trojans expriment parfois leur mécontentement face
aux cybercriminels, ne supportant plus leurs produits et ne résolvant
donc pas les problèmes trouvés dans leurs botnets. En effet, même
les « meilleurs produits » sont à jeter s’ils ne sont pas suivis. De plus,
les prix des malwares étant relativement élevés, de plus en plus de
« clients » mettent sur pied des équipes capables de les concevoir
elles-mêmes.
23
© Sebastian Kaulitzki MALWARES BUSTERS
© RANSOMWARES :
Boguslaw Mazur
LE FLÉAU DE L’ANNÉE 2015
4Par Marc Jacob et Emmanuelle Lamandé
Les années passent et se ressemblent, puisque les pirates ont une
fois de plus battu leur record d’attaques en volumétrie au cours de
l’année 2015. Il est vrai que notre univers toujours plus connecté re-
présente du pain bénit pour tous ces malfrats… Le fait le plus mar-
quant de l’année écoulée restera sans doute l’explosion du nombre
de ransomwares, qui ont « pourri » la vie de quasiment une entre-
prise sur deux en France.
Guillaume Lovet, Fortinet
Pas de surprise cette année, le nombre d’actes cybercriminels a encore en plus difficiles à détecter et presque impossibles à arrêter une fois
été en pleine croissance. Tous les OS, tous les devices (PC portables, lancés. 55,8 % de tous les fichiers malveillants visant les internautes
smartphones, tablettes, objets communicants…) ont connu leurs lots français contenaient une forme de ransomwares. Olivier Revenu note
d’attaques. Les cybercriminels ont utilisé toutes les techniques de pi- aussi qu’en plus du ransomware (CryptoLocker notamment) des
ratages habituelles, mais sans vraiment avoir recours à de nouvelles groupes cybercriminels, tels que DD4B, ont menacé d’utiliser des
méthodes. Il semble plutôt qu’une fois de plus ils industrialisent leurs attaques de type DDoS contre des entreprises si celles-ci ne payaient
bons vieux trucs : phishing, Trojans, spywares, ransomwares… L’année pas la somme demandée. Ces attaques représentent une menace
2015 a démontré que la cybercriminalité a été plus présente que ja- sérieuse pour de nombreuses entreprises, conduisant de plus à d’impor-
mais, considère Olivier Revenu, Consultant Manager, Directeur du Pôle tantes pertes de chiffre d’affaires (pouvant aller jusqu’à 100 000 euros
Sécurité Numérique d’ON-X. Des PME aux gouvernements, de nombreux par heure…). D’autre part, la menace interne reste toujours aussi
organismes ont été attaqués et des chiffres records en termes de perte sérieuse et compliquée à détecter. De son côté, Vyacheslav Medvedev,
de données personnelles ont été atteints. Si nous devions retenir une Analyste senior chez Doctor Web, estime que la France a été relative-
double leçon de l’année 2015, ce serait que la donnée personnelle a ment épargnée, bien que touchée par les ransomwares ; en revanche
une valeur extrêmement importante et qu’aucune organisation n’est l’Espagne et l’Italie ont connu une véritable épidémie. Lors du pano-
immunisée face à une menace orchestrée par des professionnels rama de la cybercriminalité du CLUSIF, il a pourtant été cité qu’environ
organisés. Selon l’ensemble de nos experts, du côté des attaques de une entreprise sur deux aurait été touchée par ce phénomène.
l’année 2015, la palme est attribuée à Ashley Madison [1], avec ses
37 millions d’utilisateurs exposés. Parmi les attaques rendues pu- TOUJOURS PLUS DE MALWARES,
bliques les plus marquantes en 2015, on se souviendra également de
celles ayant ciblé les deux grands assureurs de santé américains, MAIS SANS RÉELLE NOUVEAUTÉ
Anthem et Premera, souligne Viorel Canja, Directeur des Laboratoires
Antimalware et Antispam chez Bitdefender, mais aussi du vol de TECHNOLOGIQUE
400 gigaoctets d’e-mails internes appartenant à Hacking Team… sans
oublier, bien sûr, le récent scandale concernant le piratage du fabricant Cependant, pour Guillaume Lovet, si la quantité de malwares est
de jouets VTech, ayant touché environ 5 millions d’adultes et 200 000 en hausse constante ces dernières années, la nature des actes
enfants en rendant disponibles leurs photos et données cybercriminels reste, quant à elle, relativement stable. D’ailleurs, une
personnelles en ligne. De son côté, Michel Lanaspèze, Head of distinction assez nette se dessine depuis plusieurs années entre 3 types
Marketing, Western Europe de Sophos, ajoute à ce tableau TalkTalk [2], d'acteurs sur la scène de la cybercriminalité :
le gouvernement des États-Unis [3] et, dans le monde politique [4], les
débats sur les portes dérobées (backdoors) [5], qui ont été relancés 1. Les cybercriminels « traditionnels » motivés par l'argent :
après les attentats terroristes de Paris [6]. Guillaume Lovet, Senior ceux-ci sont plutôt conservateurs dans leurs business models. Ils uti-
Manager FortiGuard chez Fortinet, complète cette litanie avec les lisent donc des recettes éprouvées : Banking Trojans, ransomwares,
attaques concernant Carbanak, BlackEnergy, backdoor Juniper... botnets à louer, malwares sur mobile qui envoient des SMS surtaxés,
« data breach » avec récupération de fichiers clients par milliers, voire
LES RANSOMWARES ONT LE VENT millions...
On pourrait toutefois noter une tendance à utiliser plus de
EN POUPE ransomwares, voire à tenter d'en faire une commodité, avec systèmes
d'affiliation, de « Ransomware as a Service », etc.
D’après Michel Lanaspèze, les menaces les plus visibles de l’année On a également vu en 2015 certains groupes cybercriminels réussir à
2015 restent les ransomwares, qui prennent en « otage » les données dévaliser les banques directement au niveau du cœur de leur structure,
de leurs victimes en les chiffrant, pour demander ensuite des rançons et non plus via leurs clients à l'aide de Banking Trojans (cf. l'affaire
en échange d’une clé de déchiffrement. Effectivement, reprend Viorel « Carbanak »).
Canja, 2015 était l'année du fléau des ransomwares. Les récents mal-
wares d'extorsion, du type CryptoWall 4.0 [7], sont devenus de plus 2. Les Hacktivistes : Anonymous (renommés F. Society dans la
fameuse série Mr Robot), le cyber caliphate, la Syrian electronic army,
24
MALWARES BUSTERS
les cyber-partisans russes… MALWARES BUSTERS
tous continuent de faire
parler d'eux plus ou moins ByRManasrcoJmacwobaraen:dtEhmempalnaugeullee of 2015
régulièrement. Rien de très Lamandé
nouveau, si ce n'est peut-
être en toute fin d'année la lnoiiohTsvuffhaeamtvsvehoegbeoyloeeufoyrdamaenosralcseemfer.nrgoiaIdsaotsngiltfbssioakooyterimnrnalcuyenwrebotdiraontoohrrkpeketaswerptaon.eoto.vta.eutabTthrchtueekoiesanisri,bccnmhwrreeeeoshotcasshoitstecheirhnssdehtgrihr,nuoliayakgfvFisceneraohagti"nnnatadbnccccekreueeke.vgcasretgseslieoednidnpiw"tnm2eot0trehhmr1nleed5ts
mise hors service d'une pe-
Viorel Canja, Bitedefender tite partie du réseau élec-
trique ukrainien par un
groupe de hackers... utilisant
un cheval de Troie qui existe
depuis 2007 (BlackEnergy)
et des macros office pour
pousser les cibles à l'exécu-
ter (une technique typique
du 20ème siècle). Reste à
prouver qu'il s'agit bien
d'hacktivisme…
3. Les États-nations, auteurs des piratages les plus sophistiqués, et
dont on ne voit que la partie émergée de l'iceberg (et encore, dans le
brouillard).
MICROSOFT TOUJOURS EN TÊTE évidence de répéter que nous constatons une professionnalisation de
DES OS PIRATÉS, MAIS TALONNÉ la cybercriminalité, année après année. En revanche, ce qui a marqué
PAR LINUX ET ANDROID 2015 est le nombre, la fréquence et l'ampleur des vols de données,
dans tous les domaines. Après avoir été très forts dans le Retail, on
Du côté des OS, l’analyse de Jean-Ian Boutin, Chercheur en logiciel constate une migration vers le secteur de la santé (Health) et le vol
malveillant d’ESET, montre bien que, même si Windows reste la plate- de données personnelles. Il y en a eu pour tous les goûts l’an passé,
forme de prédilection de la plupart des cybercriminels, nous observons à commencer par le piratage de l’OPM (Office of Personnel Manage-
cependant cette année encore une expansion des OS ciblés par ces ment) et de plus de 21 millions de données parfois sensibles, car tou-
derniers. Vyacheslav Medvedev pointe d’ailleurs un « intérêt » de plus chant des personnes habilitées à la sécurité nationale et reprenant
en plus marqué des cybercriminels pour Linux, ses chercheurs ayant des informations confidentielles d'habilitations relatives à la vie privée
détecté et analysé plusieurs malwares ciblant cet OS… sans compter des individus (consommation de stupéfiants, peines de prison an-
que ceux s’attaquant à Android ne tarissent pas non plus. Il s’agit ciennes…). Les données du fabricant de jeux pour enfants, VTech, ont
notamment de Trojans bancaires, de Trojans SMS eConcernant cet OS, également été touchées, sans oublier bien sûr le cas Ahsley Madi-
2015 a vu l’émergence de malwares ciblant son… pour ne citer que quelques exemples. Selon Jean-Ian Boutin,
directement les firmwares Android, ainsi que l'émergence de Trojans plusieurs groupes différents de cybercriminels ont ciblé des entreprises
infectant le répertoire système Android à l’aide de rootkits. iOS a ou des banques en utilisant des techniques généralement rencontrées
également été la cible d’attaques, même si cet OS demeure lors d’analyses de campagnes d’espionnage, afin de dérober des
globalement moins visé. fonds. La plupart de ces groupes utilisent par exemple le spearphishing
ou le strategic Web compromise comme porte d’entrée dans l’entre-
TOUJOURS PLUS DE prise visée. Une fois qu’ils ont réussi à percer la sécurité de l’entité
PROFESSIONNALISATION DES PIRATES souhaitée, ils vont déployer des outils adaptés à chacune de leurs
cibles. Lorsqu’ils auront un contrôle total du poste, les attaquants
Michel Lanaspèze considère que, du point de vue des spécialistes de tenteront souvent de se déplacer latéralement vers d’autres postes,
afin de s’assurer de conserver leurs accès durablement ou d’atteindre
la lutte contre la cybercrimi- « le » poste recherché, en vue par exemple de tenter des virements
frauduleux.
nalité, la réutilisation par
En outre, on a noté, plus particulièrement en France, des campagnes
des cybercriminels ordinaires successives de Dridex, ayant causé de nombreuses difficultés, reprend
Loïc Guézo. L’utilisation croissante de techniques de rançonnage
de techniques copiées sur numérique représente l’un des faits marquants de cette année passée.
Seule une défense dynamique permet d’y faire face. L'adage selon
les cyberattaques les plus lequel la sécurité est une bataille permanente d'amélioration continue
est de plus en plus vrai, mais à une échelle de temps ridiculement
avancées (vraisemblable- faible : seule la technologie ad'hoc, couplée à une préparation initiale,
peut garantir l'efficience de la solution de sécurité mise en place. C’est
ment sponsorisées par des pour cela que la capacité de réaction du fournisseur devient primor-
diale, notamment par le footprint mondial de sa R&D. En fin d'année,
États) est bien plus préoccu- l'attaque ayant touché des systèmes d'énergie ukrainiens démontre à
quel point l'impact d'un objet connecté peut être important : des
pante. Si les cybercriminels centaines de milliers de personnes dans le noir… sans compter les
outils de production, les hôpitaux, les systèmes de communications…
ont rarement les moyens impactés par ricochet...
d’inventer de nouvelles at- Viorel Canja insiste, quant à lui, sur le fait que nous avons tous été
taques avec un tel niveau de
sophistication, ils sont mal-
heureusement trop contents
®TristanPavio de pouvoir s’en inspirer.
Effectivement, souligne Loïc
Loïc Guézo, Trend Micro Guézo, Cybersecurity Strate-
gist de Trend Micro, c'est une
25
© Sebastian Kaulitzki MALWARES BUSTERS
©
Boguslaw Mazur
L’ÉTAT DE LA MENACE EN 2015, business de la vulnérabilité est en train de s’installer, comme l’a montré
le panorama 2015 de la cybercriminalité du CLUSIF, avec des entre-
4selon Olivier Revenu, ON’X prises ayant pignon sur rue.
Sur la scène interna- OBJETS CONNECTÉS : POUR L’INSTANT,
tionale, on pourra PLUS DE PEUR QUE DE « MAL »…
notamment citer
l’entreprise italienne Jean-Ian Boutin a dénombré de plus en plus de logiciels malveillants
Hacking Team et ses qui s’attaquent aux serveurs ou aux différents objets connectés, no-
400 Go [8] de don- tamment les box utilisées pour se connecter à Internet. D’ailleurs, les
nées volées, puis dé- menaces ciblant ces objets, plus connus sous leur nom anglais d’« In-
voilées sur Internet. ternet of Things (IoT) », ont obtenu une bonne part de la couverture
Par ailleurs, les com- médiatique relative à la sécurité informatique. Toutefois, à l’heure ac-
promissions du site tuelle, celle-ci s’attache davantage à la nouveauté et à l’attrait que ce
Internet Ashley Ma- type d’objets suscite plutôt qu’à la gravité des risques que leurs utili-
dison [9] (37 millions sateurs encourent. Effectivement, conclut Loïc Guézo, en 2015, les ob-
de données person- jets connectés ont montré leurs faiblesses ; c'est aujourd'hui
nelles volées) et surprenant pour le grand public, mais qu'en sera-t-il demain ?
de l’entreprise amé-
ricaine dans le do- LA CYBERCRIMINALITÉ MUTE
maine médical VERS UNE CONFRONTATION
Anthem [10] (80 mil- ÉTATIQUE LATENTE
lions de données
personnelles) ont été très médiatisées. Depuis plusieurs années, les chercheurs en sécurité constatent un regain
En France, nous retiendrons principalement l’attaque de d’intérêt des États pour le cyber, en vue d’effectuer des opérations d’es-
TV5Monde [11], qui aura entre autres empêché la chaîne pionnage, de déstabilisation, voire de servir de support lors de conflits
de se produire pendant une semaine, ainsi que l’#Op- dans le monde réel. En 2015, Loïc Guézo note que, par certains aspects,
France [12] faisant suite aux évènements marquants de la cybercriminalité mute vers une sorte de confrontation étatique latente :
Charlie Hebdo et qui avait pour but de compromettre par exemple, les USA attribuent de nombreuses fuites à la Chine, et ces
de nombreux sites français (25 000 ciblés). problèmes cyber apparaissent de même en haut de l'ordre du jour des
Les modes opératoires commencent très généralement rencontres présidentielles ! En France, il ne faut pas non plus ignorer la
par une campagne de spear phishing (l’utilisation de do- concomitance d'actions cyber (sans pour autant survaloriser leurs im-
cuments Office contenant des macros malveillantes pacts) avec les attentats terroristes du début de l'année.
reste l’option de choix en vue de compromettre les ci-
bles) accompagnée de social engineering, afin de s’in- VULNÉRABILITÉS : STAGEFRIGHT,
filtrer dans le réseau de l’organisation ciblée. Dridex [13] OCTORUTA, FREAK ET LOGJAM
en particulier, la suite du code malveillant tristement cé- PARMI LES « GUEST STARS »
lèbre Cridex (basé sur ZeuS), fut largement utilisé à ces
fins. Différentes campagnes de spam ont été observées Sur le front des vulnérabilités, nos experts citent pratiquement tous, à
pendant plusieurs semaines. A l’ouverture des pièces l’unissions avec Michel Lanaspèze, Stagefright [14] et OCtoRuTA [15]
jointes, le code malveillant se met en action, par l’acti- sur Android, et les problèmes FREAK [16] et LOGJAM [17] pour TLS/SSL.
vation des macros malveillantes incluses dans le docu- Olivier Revenu précise : « l’année 2015 aura connu de nouvelles vul-
ment, et vole les données bancaires présentes sur nérabilités dans l’implémentation du protocole SSL/TLS, après Poodle
l’ordinateur de la victime. et Heartbleed, les vulnérabilités FREAK (CVE-2015-0204) et LogJam [18]
Du point de vue médiatique, la cybercriminalité a aussi (CVE-2015-4000) exploitables via une attaque de type Man-In-the-
beaucoup évolué. Les conférences les plus notables, Middle permettent à l’attaquant de décrypter les communications
telles que RSA et la Black Hat ou encore le SSTIC et les entre le client et le serveur. Outre les vulnérabilités récurrentes ciblant
Assises de la sécurité en France, ont été plus populaires Microsoft et Adobe, une nouvelle vulnérabilité étonnante affectant les
que les années précédentes. Les grands scandales de barrettes de RAM a été découverte : Rowhammer [19]. Celle-ci donne
2015 ont été très médiatisés sur la toile, ce qui montre la possibilité à un attaquant d’élever ses privilèges via une modifica-
que l’auditoire est lui aussi plus important. tion de bits mémoire.
Côté mobile, deux codes malveillants ont été particulièrement
témoins de vulnérabilités coûteuses pour les entreprises qui ont été marquants. Le premier, Stagefright [20], visait Android et permettait à
touchées dans le secteur de la santé, ainsi que des attaques malveil- un attaquant de récupérer des informations personnelles, d’écouter
lantes ciblant les points de vente (PoS), ayant occasionné des dom- le microphone ou encore de lire les e-mails. L’attaquant avait seule-
mages importants dans le secteur des télécommunications et de la ment besoin d’envoyer un MMS piégé activable sans que celui-ci n’ait
distribution. Enfin, les vulnérabilités des objets connectés sont de plus besoin d’être lu par l’utilisateur. Du côté d’iOS, XcodeGhost [21] fut le
en plus fréquentes, mettant en danger la vie privée des utilisateurs, code malveillant marquant en 2015. Celui-ci infectait les applications
aussi bien que leur sécurité physique. En ce domaine, pour arriver à
leurs fins, les pirates utilisent des vulnérabilités 0 days qu’ils achètent
et vendent sur le Darknet. A côté de ce marché parallèle, un véritable
26
CODE INVITATION NOUVEAU
PUBPAR17
6-7 AVRIL 2016
Paris, Porte de Versailles
156 exposants - 130 conférences & ateliers
data cloudgouvernance de l’information intranet / RSE
veille analytics flux documentaire archivage
dématérialisation content confiance numérique
www.documation.fr
www.data-intelligence-forum.fr
MALWARES BUSTERS
de l’App Store, puis collectait 2015. Plusieurs campagnes ont été menées durant l’année dernière.
les données personnelles des En mars, G DATA Software en a, par exemple, détecté une qui détour-
appareils infectés. » nait le système AdSense de Google. Dans le cas de cette attaque, l’ex-
ploit kit Nuclear était utilisé. Il exploitait une faille de sécurité Adobe
A ce tableau, Vyacheslav Flash (CVE-2015-0336). En octobre, c’était la plateforme e-commerce
de Magento qui était visée par une vague d’attaques. Différents ex-
Medvedev ajoute l’exploita- ploits kits ciblaient les sites d’e-commerces basés sur Magento et les
informations bancaires ou des logins de leurs visiteurs. Les exploits
tion des vulnérabilités des kits Nuclear, Angler et Neutrino ont été utilisés durant cette campagne.
systèmes de gestion de Enfin, Loïc Guézo met un focus particulier sur les annonces de
Zerodium, et des marchés de revente dans le Dark Web où les
contenu (CMS). Elles ont « produits » sont achetés très vite, l'année 2015 est aussi importante
avec les revues de l'arrangement de Wassenar…
particulièrement été utilisées
LUTTE CONTRE LA CYBERCRIMINALITÉ :
dans le but d’attaquer les
LA COMMUNAUTÉ ACCENTUE
sites Web et les serveurs
SA COLLABORATION
sous Linux. C’est par ce biais
Bien que 2015 ait été le théâtre de nombreuses attaques perpétrées
que les premiers encodeurs par des cybercriminels, Jean-Ian Boutin a remarqué aussi un regain
d’efforts de la part de la communauté pour tenter d’endiguer ce
ciblant Linux et d’autres problème. De plus en plus de compagnies initient des programmes
favorisant le partage sécurisé d’informations entre les différentes
Vyacheslav Medvedev, Doctor Web Trojans ont pu être diffusés. Il sociétés et organismes œuvrant dans le domaine de la cybersécurité.
existe plusieurs raisons pour Ce partage d’informations permet de mieux se protéger contre les
attaques des cybercriminels, mais aussi parfois de récolter des données
lesquelles les cybercriminels susceptibles d’être utilisées, afin de les mettre hors d’état de nuire…
que ce soit en tentant de prendre le contrôle de leur botnet ou même
ont pu exploiter ces vulnérabilités, par exemple : en transmettant suffisamment d’informations aux forces de l’ordre
pour qu’un mandat d’arrêt soit émis. La communauté s’est regroupée
• La plupart des CMS sont gratuits et distribués sous GNU/GPL. Leur à de multiples reprises en 2015 dans le but d’aider à faire progresser
des enquêtes…
source est ouverte et il n’est pas difficile pour les cybercriminels de Plutôt rassurant, mais le chemin sera encore long avant de juguler le
côté sombre du Web… ■ ■ ■
les analyser afin d’y trouver des points faibles.
[1] https://nakedsecurity.sophos.com/2015/08/21/ashley-madison-hackers-keep-on-
• Des mises à jour compliquées ou qui ne sont pas faites. Certaines going-post-even-bigger-trove-of-data
[2] https://nakedsecurity.sophos.com/2015/11/04/talktalk-keeps-talking-about-that-
versions de CMS se mettent difficilement à jour ; d’autres ont des data-breach-but-never-says-the-right-thing
[3] https://nakedsecurity.sophos.com/2015/06/26/stolen-logins-for-us-government-
problèmes de mises à jour liés au contenu, par exemple à cause agencies-found-all-over-the-web
[4] https://nakedsecurity.sophos.com/2015/08/20/jeb-bush-encryption-makes-it-too-
d’incompatibilités de formats de tables MySQL. Utiliser un CMS qui hard-to-catch-evildoers
[5] https://nakedsecurity.sophos.com/2015/09/10/apple-imessages-end-to-end-encryp-
n’est pas à jour est un facteur de risques. tion-stymies-us-data-request
[6] https://nakedsecurity.sophos.com/2015/11/16/anonymous-declares-war-on-islamic-
• Utiliser de mauvaises configurations ou des configurations par dé- state-after-paris-attacks
[7] www.bitdefender.fr/actualite/un-«-vaccin-»-gratuit-contre-cryptowall-4-0-3084.html
faut. Si quelqu’un paie un étudiant 100 dollars en vue d’installer le [8] www.01net.com/actualites/la-firme-despionnage-hacking-team-piratee-400-go-de-
donnees-livrees-sur-le-net-659780.html
CMS, il aura probablement à faire à une personne qui va simplement [9] www.01net.com/actualites/ashley-madison-le-hack-qui-expose-les-phantasmes-de-
37-millions-d-individus-adulteres-908424.html
télécharger le moteur et l’installer avec tous les paramètres par dé- [10] www.zdnet.com/article/health-insurer-anthem-hit-by-hackers-up-to-80-million-re-
cords-exposed/
faut. C’est une situation très courante et certains « spécialistes » ne [11] www.lesechos.fr/09/04/2015/lesechos.fr/0204290083596_tv5monde---comment-
les-pirates-ont-debranche-la-chaine.htm#
« s’embêtent » même pas à supprimer les scripts d’installation ou [12] www.nextinpact.com/news/91747-opfrance-sites-francais-attaques-anssi-publie-
ses-recommandations.htm
les mots de passe admin par défaut. [13] www.silicon.fr/vol-donnees-bancaires-malware-dridex-cible-france-129997.html
[14] https://nakedsecurity.sophos.com/2015/09/11/androids-stagefright-back-in-the-li-
• Utiliser des templates ou des modules gratuits ou crackés. Il pourrait y melight-what-you-need-to-know
[15] https://nakedsecurity.sophos.com/2015/08/11/another-android-hole-octoruta-one-
avoir un script shell à l’intérieur, ou quelque chose d’aussi dangereux. java-class-to-rule-them-all
[16] https://nakedsecurity.sophos.com/2015/03/04/the-freak-bug-in-tlsssl-what-you-
Michel Lanaspèze, pour sa part, considère que Java a cessé d’être le need-to-know
principal pourvoyeur de failles de sécurité, après les efforts de correc- [17] https://nakedsecurity.sophos.com/2015/05/21/anatomy-of-a-logjam-another-tls-
tion entrepris par Oracle et la décision d’arrêter de l’inclure par défaut vulnerability-and-what-to-do-about-it
avec les navigateurs. L’intérêt des cybercriminels s’est depuis massi- [18] https://mitls.org/pages/attacks/SMACK
vement reporté sur les vulnérabilités d’Adobe Flash, maintenant à [19] www.rowhammer.com
l’origine des principaux risques de sécurité pour les internautes. [20] www.frandroid.com/android/applications/securite-applications/299820_stage-
fright-se-proteger-de-faille-touchant-terminaux-android
Selon Jean-Ian Boutin, plusieurs attaques et démonstrations d’exploita- [21] www.silicon.fr/le-malware-xcodeghost-gangrene-les-applications-dapple-
tions de failles de sécurité ont marqué l’année 2015. La plus spectaculaire 126931.html
a été la prise de contrôle à distance d’une Jeep en plein mouvement.
Bien que de nombreuses recherches sur les problèmes de sécurité
inhérents aux nouvelles technologies utilisées par les différents modèles
de voiture aient été publiées ces dernières années, cette démonstration
a fait beaucoup de bruit, car elle montre concrètement les dangers d’avoir
autant de systèmes vulnérables présents sur une voiture. Une autre
catégorie d’attaques qui devrait inquiéter les gouvernements à travers
le monde est celle visant les systèmes industriels. Début 2015, un
évènement majeur a été révélé au grand public : une aciérie allemande
a été prise pour cible par des pirates qui, par la manipulation de ses sys-
tèmes de contrôle, ont empêché une fournaise de s’éteindre correcte-
ment, entraînant des dommages substantiels. Le deuxième évènement
est arrivé, quant à lui, à la toute fin de l’année 2015 : des pirates ont
ciblé des centrales électriques en Ukraine et ont réussi à priver d’électricité
des centaines de milliers d’ukrainiens pendant plusieurs heures. Bien que
ces attaques soient encore rares, elles illustrent bien la nécessité de
séparer les réseaux industriels des réseaux corporatifs, habituellement
connectés à Internet.
Jérôme Granger, Responsable communication de G DATA Software,
cite, quant à lui, les exploits kits qui ont été très largement utilisés en
27
© Sebastian Kaulitzki MALWARES BUSTERS
2016 : L’ANNÉE DE TOUS LES DRAMES ?
4Par Marc Jacob et Emmanuelle Lamandé
2016 risque bien d’être l’année de tous les drames selon nos experts, qui décèlent dans le bilan
de 2015 les prémices d’attaques bien plus redoutables. Leur principale crainte concerne tout
d’abord les OIV qui risquent de subir des dégâts pouvant entrainer la mort d’êtres humains.
Les institutions financières seront également une cible de choix, au même titre que les objets
connectés… sans compter tous les lots de menaces bien connus : ransomwares, phishing, APT,
attaques sur les Smartphones tout OS confondu… 2016, qui a l’envers semble vouloir dire JOIE
en lettres stylisées, va sans doute faire la JOIE des pirates et mettre dans la galère
les entreprises comme les particuliers !
D’après nos experts, 2016 sera sans doute encore une année noire LES SMARTPHONES SERONT À LA FÊTE
pour les équipes sécurité avec la démultiplication des menaces tous
azimuts. Loïc Guézo, Trend Micro, dresse un tableau sombre de 2016, Dans la continuité de 2015, Olivier Revenu prédit que les smartphones
qui pourrait être l'année de la bascule vers le scénario noir : un gros seront sûrement encore une cible de choix en 2016, avec de nouvelles
dysfonctionnement avec impact lourd, à l'image de l'Ukraine, ou un menaces du type Stagefright, dont le but serait de récupérer des don-
objet connecté individuel (comme une voiture, multi-démontrée fragile nées personnelles. L’obtention de certaines données, en particulier,
en 2015) causant la mort d'un homme… Concernant les attaques (emails, logs Whatsapp, Facebook…) pourrait d’ailleurs être utilisée
traditionnelles d'infrastructure, une prédiction faite fin 2015 (un à des fins d’extorsions, à l’image d’un Cryptolocker.
maliciel full javascript) a tout juste vu sa réalisation quelques jours
après le 1er janvier. Viorel Canja prévoit, quant à lui, en 2016 un changement majeur dans
la façon dont opèrent les cybercriminels. Le domaine probablement le
De son côté, Olivier Revenu, ON-X, estime qu’une sérieuse question plus impacté par cette refonte sera celui des applications potentielle-
se pose quant à la possibilité pour de nombreux pays de se protéger ment indésirables (PUA), dont l’activité s’est déjà accrue sur des pla-
des cyberattaques, en particulier celles visant les OIV. Ces menaces teformes telles que Mac OS X et Android. Suite aux nombreuses
ont de grandes chances de faire l’actualité en 2016, à l’image de Stuxnet fermetures de réseaux de machines zombies et arrestations en 2015,
(code malveillant conçu par les États-Unis et Israël en 2010) qui avait les nouveaux cybercriminels transiteront probablement vers des sys-
permis de retarder le programme nucléaire iranien… d’autant plus tèmes de monétisation publicitaire spécifiques contenant des adwares
que le nombre de pays développant l’énergie nucléaire augmente. agressifs, plutôt que de développer de nouvelles souches de malwares.
Sans compter que plusieurs rapports [1] indiquent la fragilité des Si pour le moment les botnets constituent toujours une partie impor-
centrales nucléaires et semblent montrer qu’après tout les installations tante de l'écosystème de la cybercriminalité, nous assisterons à une
nucléaires ne sont pas mieux protégées que les autres infrastructures. augmentation de la sophistication des PUA et des programmes in-
cluant plus de greywares à l’installation. Du côté des particuliers, les
Selon Viorel Canja, Bitdefender, il est certain que les entreprises et les types de malwares sous Android sont désormais globalement les
institutions gouvernementales feront toujours face à des attaques APT mêmes que sous Windows. Alors que les rootkits sont en perte de vi-
tout au long de 2016. Cependant, les APT mettront l'accent sur tesse sur Windows, ils vont probablement devenir monnaie courante
l’obfuscation et la récolte d’informations plutôt que sur la longévité. sur Android et iOS, car les deux plateformes sont de plus en plus com-
Les pirates ne s’infiltreront sur le réseau de l’entreprise que quelques plexes et offrent une large surface d'attaque. Parmi les autres possi-
jours, voire quelques heures. bilités envisagées cette année, on peut s’attendre à de nouveaux
malwares mobiles, ayant des comportements similaires à ceux des
VERS UNE CONVERGENCE vers, mais aussi à un réseau botnet mobile géant. Ces attaques pour-
raient survenir par le biais de techniques d’ingénierie sociale ou de
DES CRIMINALITÉS l'exploitation de vulnérabilités majeures (telles que Stagefright) sur
des plateformes non patchées.
Jérôme Granger, G DATA Software, considère, quant à lui, que les fron-
tières entre les différents types de criminalité s’amenuisent. Drogues, ENCORE ET TOUJOURS
armes, papiers et identité complète : on peut commander tout cela en
quelques clics sur des sites underground. Les activités criminelles ont LES RANSOMWARES
de plus en plus recours à Internet. Les forums underground offrent
une variété de kits d’exploits ou autres programmes malveillants. Les En outre, les ransomwares, qui représentent probablement la menace
experts sécurité de G DATA s’attendent à ce que de plus en plus de la plus importante pour les internautes depuis 2014, resteront certai-
cybercriminels proposent directement leurs services et passent à l’at- nement l'un des principaux vecteurs de cybercriminalité en 2016, dé-
taque, selon les souhaits de leurs donneurs d’ordres, que ce soit une plore Viorel Canja.
entreprise, une administration ou un particulier.
28
MALWARES BUSTERS
Alors que certains pirates
préfèrent l'approche du chif-
frement de fichiers, certaines MALWARES BUSTERS
versions plus novatrices se By Marc Jaco2b0a1n6d:EtmhemayneuaerlleoLfacmriasnidsé?
tbopmoadOcespeh2-ehiewpxepig0aaasnperrnna1htlatierlhmsiloe6iatolrnintttoncenhgsocogrfg,e,oriafetswhsraulsAisluswrhmllyaPtedgmsofhhhaTooetoa,weopehrtrnse,amaaebmeudavtblu.pl.toeaas.esaT.wtbygiirhchwnn2eeagskeege0aerursirdstserd1lfh.slwsfsb6oeeiFsaaniefnrigiosnnivlysgdtlreda-ehSceakanhaeomsminncaratnbloiadcaetfanoatwerkaigleaftvleaapepnicicnrrcdnhtkstrtsyieuchssoihteasdaeianrfitanleostuasseordarhtncsabaitaVoedoascljniweieu:nctkydtacrlosehesdeatlr!lvaswainoydlsetersfii.Iernolaml.o2liv.gdmkfa0epgnelwr1twortslooeoy5oraatttathaltrtobhlttoehe-noeuee,etrr
concentreront sur le développe-
ment de « l’extortionware »
(malware qui bloque les
comptes de services en ligne
ou expose les données per-
sonnelles aux yeux de tous
sur Internet).
Les ransomwares visant
Linux vont se complexifier et
pourraient tirer parti des vul-
nérabilités connues dans le
noyau de cet os, afin de pé-
Sean Sullivan, F-Secure nétrer plus profondément
dans le système de fichiers.
Les botnets qui forcent les identifiants de connexion pour les systèmes
de gestion de contenu seront sans doute aussi amenés à se dévelop-
per. Ces identifiants pourraient ensuite être utilisés par les opérateurs
de ransomwares visant Linux de façon à automatiser le chiffrement
d'une partie importante d’Internet.
Enfin, les ransomwares chiffrant les fichiers s’étendront probablement cybercriminels. De ce fait, le FBI « conseille » aux victimes de tentatives
aux systèmes sous Mac OS X, corrélant ainsi avec les travaux de Rafael d'extorsion de tout simplement payer afin que leurs ordinateurs soient
Salema Marques et sa mise en garde illustrée autour de son « proof déverrouillés. Il existe toutefois quelques recommandations utiles
of concept » malware, nommé Mabouia. En effet, si le principe de permettant de supprimer certains types de ransomwares policiers [2].
conception de Mabouia reste à l’heure actuelle privé, il pourrait être
créé par des cybercriminels enrichissant alors leurs offres orientées LES VULNÉRABILITÉS
MaaS (Malware-as-a-Service). FERONT L’OBJET DE TOUTES
LES ATTENTIONS CRIMINELLES
Jean-Ian Boutin, ESET, comme Vyacheslav Medvedev, Doctor Web, pen-
Olivier Revenu prévoit également l’apparition de nouvelles vulnérabi-
sent aussi qu’en 2016 nous continuerons de voir les menaces qui pro- lités visant les navigateurs Internet. Étant donné le temps moyen passé
chaque semaine par personne sur ceux-ci, il ne serait pas étonnant de
fitent aux cybercriminels, tels que les Trojans bancaires et autres voir de nouveaux exploits apparaître. Le dernier navigateur de Micro-
soft (Edge) a déjà démontré une certaine fragilité et la réputation
ransomwares. Nous subirons également une augmentation du nombre d’Adobe en termes de sécurité n’est plus à faire. En ajoutant le fait
que plusieurs versions d’Internet Explorer ne sont plus supportées et
d’attaques ciblées en 2016 réalisée par de plus en plus de groupes continueront pourtant d’être utilisées dans de nombreuses entreprises,
on peut craindre que Microsoft soit encore une cible privilégiée en
en utilisant des outils historiquement liés aux cyberattaques de masse. 2016. Nous nous attendons à voir émerger de nouveaux encodeurs
ciblant Linux, le début de l’année ayant déjà révélé l’activité de l’un
Sean Sullivan, Security Advisor de F-Secure, considère également que de ces Trojans, Linux.Encoder.3. Il est fort probable qu’un Linux.
Encoder.4 apparaisse bientôt avec des capacités de chiffrement amé-
2016 sera marquée par l'explosion des tentatives d'extorsion. Avec liorées, ce qui est notamment dû à la publication par un éditeur d’an-
tivirus de « bugs » trouvés dans le code du Trojan. Vyacheslav
ces nouvelles menaces en ligne, particuliers et entreprises vont tout Medvedev estime possible que 2016 voit le premier encodeur pour
OS X, étant donné que le concept d’un tel Trojan est apparu en 2015,
simplement devoir céder au chantage des cybercriminels. Les ransom- ce qui signifie que c’est techniquement faisable.
wares illustrent parfaitement cette tendance. Ce type de malware ver- MENACES AU FIL DE L’EAU
rouille l'appareil infecté (via une méthode de chiffrement ou autre), Selon Olivier Revenu, le Cloud et autres infrastructures virtualisées se-
ront aussi des cibles potentielles. Étant donné les vulnérabilités récur-
rendant impossible son utilisation. Pour pouvoir s'en servir à nouveau, rentes découvertes en 2015 (comme VENOM [3]), il est également
cohérent de s’attendre à de nouvelles vulnérabilités et exploitations
il faut payer une « rançon ». Les cybercriminels vont continuer de trou- en 2016, allant encore plus loin, avec comme objectif final la sortie
de l’environnement virtualisé (VM escape). Pour compléter ce tableau,
ver des moyens permettant d’extorquer de l'argent aux entreprises, il n’est pas à exclure la découverte de nouvelles vulnérabilités dans le
protocole SSL/TLS et ses nombreuses implémentations au cœur de la
comme aux particuliers. L'argent généré par les ransomwares montre sécurité de nos réseaux.
à quel point les malwares sont rentables. Grâce au succès croissant Viorel Canja estime que l’évolution latérale de l'infrastructure des
des réseaux sociaux, tels que
LinkedIn, les cybercriminels
peuvent collecter des don-
nées et trouver de nouvelles
cibles pour leurs opérations
de chantage. Dans ce
contexte, il s’attend à une re-
crudescence des tentatives
d'extorsion en 2016. De
nombreuses menaces en
ligne, comme les crypto-ran-
somwares, étaient extrême-
ment sophistiquées. Elles
offrent des niveaux de ser-
vice équivalents à ce que les
entreprises « légales » pro-
posent à leurs clients et sont
Jérôme Granger, G DATA ainsi très rentables pour les
29
© Sebastian Kaulitzki MALWARES BUSTERS
fournisseurs de services Selon lui, il est également probable que les systèmes internes d’une
grande banque soient piratés au cours de l’année. S’il s’agit de l’un
Cloud ira de pair avec l'avè- des pires scénarios imaginables, nous ne pouvons écarter la possibilité
qu’une telle attaque se produise. Un rapport de PricewaterhouseCoo-
nement d’outils permettant pers datant de 2015 [4] indique d’ailleurs que les prestataires de ser-
vices financiers figurent parmi les premières cibles des cybercriminels.
aux pirates de compromettre En dépit des strictes mesures de cybersécurité mises en place par de
nombreuses banques, les pirates peuvent réussir à infiltrer les
l'hyperviseur à partir d'une systèmes.
Ainsi, en 2014, JP Morgan, l’une des plus grandes banques améri-
instance virtuelle et de pas- caines, a été victime d’une attaque au cours de laquelle les informations
personnelles de près de 83 millions de clients ont été dérobées [5].
ser d’une machine virtuelle Certains des responsables de l’opération ont été traduits en justice en
novembre dernier [6], mais il serait naïf de croire qu’un incident de ce
à l’autre. Ce scénario est type ne se reproduira pas.
particulièrement dangereux Sean Sullivan estime, en outre, que les outils de blocage de publicités
seront encore et toujours sous le feu des projecteurs. Ils ont fait les
dans des environnements de gros titres en 2015 suite à l'intégration par Apple de fonctionnalités
de blocage de contenu dans iOS 9. Si cette technologie semble inté-
« mauvais voisinage », où un ressante du point de vue des consommateurs, elle a été à l'origine
d'une polémique après la publication d'un rapport indiquant que le
tiers mal intentionné serait blocage de publicités risquait de faire perdre des milliards aux éditeurs [7].
En effet, ceux qui utilisent des publicités natives ou des applications
amené à partager des (comme Apple News), afin de promouvoir leurs contenus, ne seront
que très peu touchés. En revanche, ce n'est pas le cas pour ceux qui
ressources sur un système s'appuient sur les navigateurs Web et dénoncent le blocage de publi-
cités, puisqu’ils risquent de voir leur business s’effondrer. Ainsi, le
physique avec un fournisseur blocage de publicités va rester au centre de toutes les attentions
puisque nous sommes loin d'avoir résolu les problèmes soulevés par
Mikko Hypponen, F-Secure de services ou une entreprise cette technologie. Tant que la publicité en ligne sera liée au tracking,
légitime. La publicité sur le les bloqueurs de publicité seront plébiscités par les utilisateurs.
Web va également évoluer : LE CHIFFREMENT :
étant donné le taux d’adoption et la popularité des bloqueurs de pu- UN REMÈDE AUX MENACES ?
blicités, les régies publicitaires chercheront à utiliser des mécanismes Sean Sullivan pense également que le chiffrement de bout en bout va
se développer en 2016. Les gouvernements envisagent depuis long-
plus agressifs, afin de contourner ces blocages. La façon dont nous temps de demander aux entreprises technologiques de mettre au point
des méthodes visant à contourner le chiffrement lorsqu'il est question
gérons notre vie privée va aussi changer durant l’année 2016. En effet, de protéger la sécurité nationale. Cependant, la plupart des organi-
sations et des experts en sécurité sont opposés à cette idée, puisque
les récents vols de données ont contribué à mettre une quantité im- le chiffrement a pour but de protéger les informations que les cyber-
criminels ou d'autres personnes malintentionnées souhaiteraient col-
portante d’informations personnelles en libre accès sur Internet, ren- lecter à des fins frauduleuses (extorsion, discrimination, publicité
ciblée). Whatsapp et Facetime d'Apple sont deux exemples d'applica-
dant ainsi le « doxing » (processus de compilation et d'agrégation des tions de messageries populaires utilisant le chiffrement de bout en
bout. Les pressions exercées par les entreprises en vue de proposer
informations numériques sur les individus et leurs identités physiques) aux utilisateurs finaux des alternatives de chiffrement plus vulnérables
ne freineront pas l'adoption massive de ce type d'applications.
beaucoup plus facile pour des tiers. Enfin, les réglementations de sur-
INTERNET DES OBJETS VS
veillance de type « Big Brother », que de plus en plus de pays essaient
« INTERNET DES MENACES »
de mettre en place en vue de contrecarrer le terrorisme, déclencheront
De son côté, Jérôme Granger pronostique que la popularité des objets
des conflits quant à la souveraineté des données et le contrôle de leur connectés, aussi bien auprès des particuliers que des professionnels,
va engendrer encore davantage de menaces. En 2016, les criminels
mode de chiffrement. renforceront leurs activités en la matière, chercheront de manière ci-
blée des failles de sécurité et infiltreront des réseaux d’entreprise par
Selon Jean-Ian Boutin, il sera en outre intéressant d’observer si d’au-
tres compagnies seront les cibles d’organisations malveillantes pour
des raisons idéologiques. Deux cas ont particulièrement marqué les
esprits en 2015 : Ashley Madison et Hacking Team. Dans le premier
cas, la ou les personnes responsables ont donné un ultimatum à la
compagnie : cesser l’exploitation de ce site de mœurs douteuses aux
dires de ceux-ci, ou voir l’ensemble des données de leurs clients pu-
bliées sur le net. Dans le second, la ou les personnes responsables ont
publié l’ensemble des données qu’ils ont trouvé sur le réseau corpo-
ratif de Hacking Team. On a pu y trouver des milliers de mails, le code
source de leurs produits, ainsi que des exploitations de failles qu’ils
avaient vraisemblablement achetées à prix d’or. Nous verrons si 2016
nous apportera d’autres cas similaires, où les données volées ne sont
pas monnayées, mais sont tout simplement publiées sur le net, afin
de provoquer un maximum de dommages à la compagnie visée.
LES BANQUES EN LIGNE DE MIRE ?
De son côté, Mikko Hypponen, Chief Research Officer de F-Secure, ex-
plique que d’ici la fin de l’année, la valeur du Bitcoin devrait approcher
les 1 000 dollars. Ce phénomène devrait se traduire par un regain
d’intérêt des cybercriminels pour les attaques de botnets menées à
l’aide du Bitcoin. Référence des monnaies virtuelles, le Bitcoin est mal-
heureusement également plébiscité par les cybercriminels, puisqu’il
leur permet d’effectuer des transactions en toute simplicité, sans se
soucier des autorités. Ainsi, cette monnaie virtuelle est étroitement
liée aux nouvelles cybermenaces qui pèsent sur les entreprises et les
particuliers.
30
MALWARES BUSTERS
ce biais. Ainsi, l’Internet des objets deviendra « l’Internet des menaces » siront à appréhender ces cybercriminels. »
(Internet of Threats).
L’espoir fait vivre, donc espérons qu’enfin une véritable législation
La plupart des objets connectés risquent, en effet, d’être compromis mondiale de l’Internet donnera rapidement aux forces de l’ordre la
en 2016, reprend Viorel Canja, En raison de leur cycle de développe- possibilité d’agir de façon coordonnée pour appréhender les cyberpi-
ment très court et des limites matérielles et logicielles inhérentes à ce rates… et ainsi établir un Internet de confiance. ■ ■ ■
type d’objet, de nombreuses failles de sécurité seront effectivement
présentes et exploitables par les cybercriminels. Selon Mikko Hyppo- [1] Par ex. http://www.ntiindex.org/wp-content/uploads/2013/12/NTI_2016-Index_Fo-
nen, avec l’avènement de l’Internet des Objets (IdO), nous allons éga- reword-ExecSummary.pdf
lement assister à une recrudescence des rappels de produits pour
cause de failles de sécurité. A ses yeux, « intelligent » est synonyme [2] www.f-secure.com/en/web/labs_global/removing-police-themed-ransomware
d’« exploitable ». De ce fait, si l’approche innovante des objets [3] www.infoworld.com/article/2922315/virtualization/venom-security-vulnerability-litt-
connectés attire de nombreux fabricants qui proposent divers nou-
veaux dispositifs, ces fournisseurs manquent souvent d’expérience le-details-bite-ack.htmlb
dans le domaine de la sécurité [8]. Ainsi, les lacunes des dispositifs [4] www.pwc.com/gx/en/consulting-services/information-security-survey/assets/the-
connectés en matière de sécurité devraient être un sujet phare de l’an-
née 2016. global-state-of-information-security-survey-2015.pdf
Olivier Revenu abonde dans ce sens en rappelant que le développe- [5] http://dealbook.nytimes.com/2014/10/02/jpmorgan-discovers-further-cyber-secur-
ment des automobiles connectées et les vulnérabilités découvertes
l’année dernière (Chrysler [9]) laissent penser que de nouvelles at- ity-issues/?_php=true&_type=blogs&_r=1
taques pourraient voir le jour cette année. La surface d’attaque y est, [6] http://thehackernews.com/2015/11/jpmorgan-chase-hack.html
en effet, de plus en plus importante (Wifi, Bluetooth, GPS, Internet) [7] https://blog.pagefair.com/2015/ad-blocking-report
avec des enjeux majeurs, étant donné les répercussions possibles. De [8] https://iot.f-secure.com/2015/11/02/7-reasons-why-iot-device-hacks-keep-happening
plus, constate Vyacheslav Medvedev, la croissance exponentielle des [9] www.wired.com/2015/07/hackers-remotely-kill-jeep-highway
menaces nous oblige à développer des systèmes de protection requé- [10] http://europa.eu/rapid/press-release_IP-15-6321_fr.htm
rant toujours plus de ressources, ce qui ne convient pas aux dispositifs
fonctionnant en temps réel. Les objets connectés en sont un bon
exemple. En raison d’une petite quantité de ressources, comme des
processeurs faibles ou peu de RAM, il est impossible de déployer tout
un arsenal d’outils de protection. C’est donc leur environnement qui
doit être protégé. Cela signifie aussi que certains malwares encore in-
connus des défenses extérieures pourront s’enraciner dans le système
et affecter de ce fait la vie des gens. Par ailleurs, cette problématique
peut aussi être élargie, par exemple, aux imprimantes 3D et aux qua-
drocopters qui ne font désormais plus partie du domaine de l’imagi-
nation, ainsi qu’aux voitures automatiques et aux appareils intelligents
qui se développent rapidement. Sans compter que les systèmes élec-
troniques embarqués sont de plus en plus petits, bon marché et utili-
sables dans n’importe quel domaine, allant des ampoules aux implants
sous-cutanés... C’est le futur dont les écrivains de science-fiction
avaient rêvé ! Seul problème : toutes ces technologies (comme les
maisons intelligentes) sont de véritables cadeaux faits aux cybercri-
minels. Aujourd’hui, lorsque quelqu’un créé un dispositif nouveau et
intéressant, la dernière chose à laquelle les gens pensent c’est la
sécurité…
LA JUSTICE FERA-T-ELLE SON OFFICE ?
Pour conclure ce tableau pessimiste sur une note optimiste, Mikko
Hypponen espère que « le responsable de la célèbre attaque du site
Ashley Madison sera identifié et poursuivi en justice. Le piratage du
site Ashley Madison a récemment fait les gros titres de l’actualité et
démontré qu’une cyberattaque menée à l’encontre d’une entreprise
constituait un risque majeur pour la confidentialité des données
personnelles. En effet, l’opération a permis de dérober les informations
confidentielles de près de 37 millions d’utilisateurs du site de rencon-
tres extraconjugales, dont la réputation reposait avant tout sur la
discrétion et le respect de la vie privée. Pourtant, si Ashley Madison
était la principale cible des pirates, l’entreprise a quand même réussi
à tirer profit du retentissement de l’attaque. Au final, les utilisateurs
sont les premières victimes de ces piratages. L’attaque a été revendi-
quée par un groupe appelé The Impact Team qui, selon la BBC, aurait
été spécifiquement formé en vue de pirater le site de rencontres
extraconjugales. Interviewé par e-mail par le magazine Motherboard,
le groupe a fait part de sa volonté de rester en activité. Nous verrons
si les projets de l’organisation se concrétiseront et si les autorités réus-
31
© Sebastian Kaulitzki MALWARES BUSTERS
LES PRÉDICTIONS DES EXPERTS Apple et Google ont officiellement, à eux deux, plus d’un million d’applica-
DE SOPHOS POUR 2016 EN 11 POINTS tions sur leurs places de marché respectives), il est facile d’imaginer que de
plus en plus de cybercriminels tentent leur chance pour passer au travers
4par Michel Lanaspèze : des systèmes de validation. Cependant, la nature même d’Android, qui met
en avant sa flexibilité dans le soutien des places de marché alternatives, en
1)Les menaces visant Android vont devenir plus sérieuses fera toujours une cible privilégiée par rapport à iOS.
En 2016, le nombre d’exploits ciblant Android de manière réellement opé-
rationnelle va augmenter (contrairement à des bugs, tels que Stagefright, 3)Les plateformes de l’Internet des Objets : pas encore une cible
qui a été massivement signalé au début de l’année 2015, mais n’a jamais de choix pour les créateurs de malwares, mais les entreprises
vraiment été pleinement exploité). doivent rester vigilantes
Chaque jour, de plus en plus de technologies font partie intégrante de nos
De nombreuses vulnérabilités vies. L’Internet des Objets (IoT) n’en finira pas d’être à l’origine d’histoires
sur Android peuvent prendre toujours plus effrayantes, dans la mesure où les équipements connectés en
plusieurs mois avant d’être question sont rarement sécurisés. En effet, l’année 2015 a déjà vu beaucoup
correctement corrigées. d’histoires préoccupantes concernant par exemple des webcams, des ba-
Même si Google affirme que byphones vidéo ou des jouets. Dernièrement les voitures sont devenues un
personne n’a exploité sujet des plus brûlants, car des chercheurs ont réussi à pirater une Jeep en
ces vulnérabilités jusqu’à juillet dernier.
maintenant, les cybercrimi- Cependant, nous ne verrons probablement pas prochainement, à grande
nels pourraient prendre cette échelle tout au moins, de cas d’injection de codes malveillants variés dans
déclaration comme une inci- des objets connectés. La raison principale est que ces derniers ne sont pas
tation à passer à l’action. des ordinateurs à part entière, avec la même large gamme d’interfaces dis-
Les SophosLabs ont déjà ob- ponibles sur nos ordinateurs portables et de bureau. Ils sont donc relative-
servé certaines applications ment protégés. Nous observerons plutôt des expérimentations, ainsi que
malveillantes pour lesquelles des Preuves de Concept (POC), visant à montrer que des codes non officiels
des efforts considérables ont peuvent être installés sur ces équipements, du fait de l’insuffisance de cer-
été déployés dans le but de taines validations de la part du fournisseur, comme par exemple des codes
déjouer la vigilance des App non signés, ou des possibilités d’attaques de type « Man in the Middle »
Stores et des filtres, afin (MITM).
d’augmenter leur chance de Nous pouvons nous attendre à une augmentation des attaques visant à la
survie dans ces environne- récupération de données provenant de ces objets, en les forçant tout sim-
ments. Certains pirates créent, par exemple, des applications qui se conten- plement à fournir les informations auxquelles ils ont accès : flux audio et
tent de charger des jeux inoffensifs si elles détectent une quelconque vidéo, fichiers stockés, identifiants pour la connexion à des services Cloud,
vérification, et se transforment en programme malveillant quand le risque etc.
d’être découvertes est estimé nul. Les objets connectés évoluent dans leur mode d’utilisation et leur capacité
Plus récemment, nous avons observé de quelle manière des usagers mo- à interagir avec leur environnement, en devenant des sortes d’automates,
biles, utilisant des applications de places de marché alternatives, étaient tels que l’aspirateur Roomba contrôlable par des applications mobiles.Ainsi,
conduits à donner le contrôle au service Android Accessibility à des appli- les préoccupations concernant la sécurité de ces objets vont commencer à
cations malveillantes de la famille d’adwares Shedun.Avec ce contrôle, l’ap- ressembler à celles autour des systèmes SCADA/ICS. D’ailleurs, le NIST et
plication malveillante peut alors afficher à sa guise des fenêtres pop-up qui l’ICS-CERT ont déjà exprimé la nécessité, pour cette industrie, d’entamer
installent un adware hautement intrusif, et ce même si l’utilisateur refuse une réflexion sur les méthodes les plus adaptées, afin d’encadrer et de
son installation. Les applications malveillantes « rootent » en fait le terminal sécuriser l’Internet des Objets.
et s’installent sur la partition système, ce qui les rend plus difficiles à
éliminer. 4)Les PME vont devenir des cibles de choix pour les cyber-
Les malwares Android peuvent s’avérer assez complexes, et les utilisateurs criminels
ne peuvent pas faire confiance à l’App Store pour les détecter à tous les Au cours de l’année 2015, l’intérêt s’est essentiellement porté sur des
coups. histoires de piratage très médiatiques, telles que celles de l’opérateur
britannique TalkTalk et du site de rencontres Ashley Madison. Cependant,
2)2016 sera-t-elle l’année où les malwares iOS vont se diffuser les grosses structures ne sont plus à présent les seules à être des cibles po-
en masse ? tentielles. Un récent rapport émanant de PwC a révélé que 74% des Petites
En 2015, nous avons déjà observé plusieurs attaques ciblant l’App Store et Moyennes Entreprises avaient fait l’expérience d’un problème de cyber-
d’Apple. Tout d’abord par le biais de l’application InstaAgent, qui se glisse sécurité durant les 12 derniers mois. Ce chiffre ne fera qu’augmenter, dans
à travers les mailles des processus de validation, et que Google ainsi qu’Ap- la mesure où les PME sont perçues comme des cibles faciles.
ple ont retiré de leurs App Stores respectifs. Et avant cela par le biais de Les ransomwares, par exemple, ont été utilisés cette année par les cybercri-
XCodeGhost, qui trompait les développeurs d’application d’Apple en leur minels de manière visible afin de rançonner les PME. Auparavant, des at-
faisant intégrer du code malveillant au sein de leurs applications, et donc taques, telles que l’envoi de spam, le vol de données, l’infection de sites
en les infectant tout en restant soigneusement dissimulé derrière du code Web dans le but d’d’y injecter un malware, étaient bien moins visibles,
légitime d’Apple. comme souvent les PME ne s’étaient même pas rendues compte de l’intru-
Avec de plus en plus d’applications qui arrivent sur le marché (aujourd’hui sion. Les ransomwares, quant à eux, sont beaucoup plus visibles et ont la
capacité de menacer l’existence même d’une PME, si elle ne paie pas de
rançon et perd ses données. C’est bien sûr la raison pour laquelle les cyber-
criminels prennent comme cible les PME. Attendez-vous donc à voir une
augmentation de ce type d’attaques en 2016.
32
MALWARES BUSTERS
Ne pouvant disposer des budgets sécurité des grandes entreprises, les PME nierie sociale évoluera, et par conséquent les entreprises investiront davan-
font néanmoins du mieux qu’elles peuvent en matière de cybersécurité, que tage, afin de se protéger de telles attaques psychologiques. Ils mettront ainsi
ce soit en termes de solutions, de services ou de personnel. Elles sont plus en place de la formation dédiée au personnel et s’assureront que les réci-
vulnérables car un pirate peut souvent trouver plus facilement une faille de divistes soient punis en conséquence. Les employés ont besoin d’être formés
sécurité par laquelle s’infiltrer au sein du réseau. En moyenne, une faille de et de devenir des experts en sécurité informatique lorsqu’ils sont sur le ré-
sécurité peut coûter à une PME jusqu’à 75 000 £ (soit plus de 100 000 €). seau de l’entreprise.
Une perte non négligeable pour n’importe quelle entreprise. Il est donc pri- Les conseils élémentaires que nous vous recommandons d’intégrer dans
mordial que les PME renforcent leur approche en matière de cybersécurité. vos formations sont :
En ce sens, une stratégie de cybersécurité bien pensée et planifiée est indis- • Sensibiliser le personnel sur les conséquences d’un hameçonnage (phi-
pensable afin de prévenir plutôt que de guérir. shing) par email et sur la manière de l’identifier.
• S’assurer que le personnel ne clique pas sur des liens malveillants qui
5)Nouvelle législation en matière de protection des données : peuvent être envoyés via des emails indésirables.
amendes assurées pour les non avertis • Encourager le personnel à se méfier des emails mal orthographiés qui
En 2016, avec la nouvelle législation européenne sur la protection des don- peuvent être la preuve que vous avez affaire à un scam.
nées [10], la pression sur les entreprises relative à la protection des données • Faire attention aux sites Internet qui demandent des données sensibles
des clients va augmenter. Les entreprises risqueront de fortes amendes si et personnelles, telles que le PIN de votre carte de crédit ou votre numéro
les données ne sont pas correctement sécurisées. Ces mesures auront d’im- de sécurité sociale.
portantes répercussions sur l’approche en matière de cybersécurité des en- • Enfin, une autre règle d’or est de ne jamais partager un mot de passe.
treprises, sans oublier l’aspect très sensible de l’utilisation par les employés Chacun de nous peut apporter une aide précieuse en envoyant un signal
des équipements personnels au sein de l’entreprise. très fort au marché : faites savoir aux fournisseurs qui stockent vos données
Le nouveau règlement européen sur la protection des données personnelles les plus sensibles (votre banque, votre compagnie d’assurance, votre service
entrera pleinement en vigueur dans toute l’Europe au début de l’année de gestion de la paie, etc.) que vous exigez une sécurité des données ren-
2018. Les entreprises doivent donc entamer leur préparation dès 2016, forcée. S’ils ne vous mettent pas à disposition des options pour la mise en
d’autant qu’elles seront tenues pour responsables vis-à-vis de la protection œuvre d’une authentification multi-facteurs, demandez-leur la raison. Encore
des données qu’elles gèrent et utilisent, y compris via les fournisseurs de mieux : allez chez un fournisseur qui la propose.
services Cloud et les tierces parties. Finalement, rappelez aux utilisateurs une chose, qu’ils ont probablement
Aux États-Unis, la protection des données est plus complexe, car il n’existe tous oubliée : n’ouvrez pas des documents Office ou PDF à moins de savoir
pas de Loi régissant l’ensemble des États. La conséquence est que la pro- qui vous les a envoyés et pourquoi. De même, ne cliquez pas sur « oui »
tection des données a tendance à être moins contraignante qu’en Europe, lorsque des avertissements apparaissent concernant l’activation de macros
ce qui fut d’ailleurs à l’origine de problèmes dans le cadre de l’accord « Safe ou de contenus actifs, à moins encore une fois de savoir pourquoi ce document
Harbour ».Au fur et à mesure, les États-Unis et l’Europe réduiront ces écarts, en a besoin. Nous avons déjà observé une poussée des « downloaders » de
mais il semble peu probable qu’un nouvel accord soit trouvé dans un futur codes malveillants, qui se dissimulent dans des macros au sein de documents
proche. Office à l’air inoffensifs. Attendez-vous à voir ce type de documents encore
plus présents en 2016.
6)L’arnaque aux faux virements et l’escroquerie au Président sont
bien implantées 9)Les « Good Guys » et les « Bad Guys » seront de plus en plus
Nous allons voir une augmentation des arnaques aux faux virements en coordonnés, chacun de leur côté
2016. Les pirates deviennent de plus en plus talentueux pour infiltrer les ré- Les « Bad Guys » vont continuer d’utiliser des attaques coordonnées, mais
seaux des entreprises et avoir accès aux données concernant les employés, l’industrie de la cybersécurité continuera, quant à elle, à faire des progrès
ainsi qu’à des informations relatives à leurs responsabilités. Ils utilisent en- significatifs, grâce notamment aux partages d’informations. Pendant un
suite ces informations en vue de piéger le personnel à des fins financières, temps, les « Bad Guys » ont coordonné leurs efforts et collaboré ensemble,
par exemple pour envoyer un email au département financier qui semble en réutilisant des tactiques et des outils efficaces, et généralement en gar-
provenir du CFO et qui exige le transfert d’une importante somme d’agent. dant toujours une longueur d’avance sur l’industrie de la cybersécurité. Ce-
Voilà l’une des arnaques qui va continuer à être utilisée en 2016, par les pi- pendant, ce secteur est à présent en forte évolution, et nous nous attendons
rates et contre les entreprises. à voir des résultats prometteurs concernant le partage d’informations et
l’automatisation du workflow, qui permettront ainsi de progresser davantage
7)Les ransomwares en pleine croissance et de réduire l’écart dès 2016, et bien sûr au-delà.
Les ransomwares vont continuer à se développer en 2016, et ce n’est qu’une
question de temps avant que l’on observe certaines données spécifiques 10) Les créateurs de malwares à visée commerciale continue-
faire l’objet de demandes de rançon. Nous disposons certainement d’un ront d’investir massivement
peu de temps encore avant de voir un nombre significatif de voitures ou de Les créateurs de malwares commerciaux continueront de réinvestir à un
maisons connectées, mais nous devons absolument nous poser la question rythme encore plus soutenu, en se rapprochant des capacités financières
suivante : encore combien de temps avant qu’une voiture ou une maison de certaines nations, notamment pour l’achat de vulnérabilités zero-day.
fasse l’objet d’une demande de rançon ? Les pirates menaceront de plus Ces « Bad Guys » ont beaucoup d’argent et le dépensent sans compter.
en plus de rendre les données publiques, plutôt que de procéder à une sim-
ple prise en otage de ces dernières. Nous avons déjà vu des sites Internet 11) Les kits d’exploits continueront à dominer le Web
être rançonnés via des attaques par déni de service distribué (DDoS). Beau- Les kits d’exploits, tels qu’Angler (de loin le plus répandu actuellement)
coup de familles de ransomwares utilisent le Darknet, soit pour lancer leurs et Nuclear, sont probablement les plus grands dangers que nous pouvons
ordres de commande et contrôle, soit en tant que passerelles de paiement, rencontrer sur le Web aujourd’hui, en matière de malwares. Cette ten-
comme nous l’avons vu avec CryptoWall,TorrentLocker,TeslaCrypt, Chimera, dance risque de perdurer dans la mesure où il existe encore des milliers
et bien d’autres encore en 2015. de sites Internet non sécurisés. Les cybercriminels exploiteront les failles
via lesquelles ils pourront faire de l’argent le plus facilement possible. En
8)L’ingénierie sociale connait un franc succès la matière, les kits d’exploits sont devenus leur outil de travail favori pour
Plus la cybersécurité sera mise en avant en termes de priorité, plus l’ingé- tenter d’infecter les utilisateurs avec les malwares de leur choix. ■ ■ ■
33
©untitledCHRONIQUE TECHNIQUE
SE CACHER SUR L’INTERNET :
TECHNIQUES D’ANTI-INDEXATION
ET DE CAMOUFLAGE
4Par Yann Cam, Consultant chez SYNETIS
Il est assez aisé de se cacher sur l’Internet et de nombreuses techniques permettent de le faire.
Se cacher ? Oui, mais de quoi et dans quel but ? Quels sont les principaux outils/techniques
permettant de rester discret et de réduire, voire totalement privatiser vos informations ?
Le Web est en réalité composé d’une multitude de réseaux. Tel un protocole HTTP et la mise en ligne de données au travers d’un serveur
iceberg, la partie du Web « visible » en surface (le Web surfacique) Web sont de loin les méthodes les plus employées et pérennes en
n’est autre que celle majoritairement indexée auprès des moteurs de vue de partager de la connaissance. C’est au travers de ce protocole
recherche et des ressources comprises dans les pages indexées elles- que la plupart des opérations et interactions homme-machine tendent
mêmes (fichiers PDF, DOC, XLS, etc.). aujourd’hui.
Les portes d’entrées vers l’information du « Web surfacique » sont Beaucoup d’éditeurs délaissent les clients lourds et autres interfaces
les moteurs de recherche, pour la majeure partie de l’information. Or, GUI/CLI pour se tourner vers des consoles Web.
cette visibilité ne représente qu’une infime partie des réseaux du Web,
d’autres réseaux existent et recèlent d’innombrables données dans Un site Web se synthétise grossièrement par :
leurs profondeurs. • Une technologie/langage applicatif côté serveur (PHP, ASP, .Net,
Il convient tout d’abord de bien distinguer les différentes couches : JSP, etc.) ;
• Le « Web surfacique » : partie indexée, « Google-isable » ou • Une technologie/langage dynamique côté client (JavaScript/AJAX,
« Bing-isable » pour ne citer qu’eux. et ses dérivés sous forme de bibliothèque, telle JQuery) ;
• Le « Web opaque » : partie du Web indexable techniquement, sans • Un formalisme et une structuration des données de manière à être
être toutefois référencée. convenablement interprétées par les navigateurs : xHTML, CSS,
• Le « Web profond », aussi nommé Web invisible, Web caché ou XML/JSON et les ressources, telles des images, vidéos, etc. ;
• Un nom de domaine, explicite et facile à retenir plutôt qu’une
encore Deep Web : représentant les données et informations adresse IP de serveur ;
accessibles sans pour autant être indexées ni indexables. Autrement • Un protocole d’accès http, pouvant être sécurisé via SSL/TLS
dit, il faut savoir comment et où atteindre ces données afin d’y (HTTPS) ;
accéder. • Un port d’accès au serveur, par défaut 80 ou 8080, mais encore
• Enfin, le « Web sombre », plus connu sous le nom de « Dark NetS », 443 ou 8443 pour les connexions chiffrées ;
oui, avec un « S », car ces réseaux privés virtuels F2F (Friend- • Une apparence visuelle, pouvant évoluer en fonction de la
to-Friend) sont multiples et basés sur des pairs de confiance. Le résolution d’écran, du terminal et/ou navigateur utilisé (User-
blackmarket ou l’underground du monde virtuel sont souvent Agent/Responsive).
assimilés à ces réseaux.
C’est au travers de ces grands principes que les moteurs de recherche
Se cacher sur l’Internet nécessite donc de se rendre invisible pour sont aptes à vous référencer, que les robots d’indexations parcourent
tous les acteurs cherchant continuellement à vous identifier, vous vos données et les intègrent dans leurs gigantesques bases, que les
référencer, vous nommer, vous pointer et vous scruter. Cet article vise registrars vous identifient par votre nom de domaine, ou encore que
à présenter quelques techniques permettant d’atteindre une certaine les assaillants vous détectent et réalisent un profil de vos applicatifs,
invisibilité pour ces robots affamés d’informations, notamment en ce technologies et services disponibles en ligne, dans le but de vous
qui concerne les ressources Web. exploiter par la suite.
La manière la plus ergonomique de diffuser de l’information, tant sur Les moteurs de recherches encouragent à adopter certaines pratiques
le fond que sur la forme, reste la mise en place de pages Web. Le dans le but de faciliter l’indexation d’un site Internet ; celles-ci vont
34
CHRONIQUE TECHNIQUE
de pair avec l’expérience utilisateur. Les règles d’affordance ou encore TECHNICAL REVIEW
« la règle des 3 clics » permettant d’atteindre la donnée recherchée
sont à appliquer au mieux pour une bonne indexation. Covering aynodurcatrmacokusfloangethteecInhtneiqrnueets:
Mais à l’inverse, afin d’éviter et d’amoindrir les chances d’être indexé, anti-indexing
on peut chercher à contrecarrer les méthodologies et techniques d’in-
dexation que les moteurs emploient. By Yann Cam, Consultant, SYNETIS
tnfaIhrtiroqaeimstumeqywosuauithnthreayaptetteaaecrncsasyhdonntnwobiaqehcluoaiuenvtssfeefoortdrorum?tpdoaWottsrithoasacoanyk.trsoCaeuormoetnvaoettihfhrneevsuimpeIcnowattneriaanfrincndtkedoestno?taotlsinYaede/ln?stt,sehubcerhure-et
Quelles pourraient être les raisons de vouloir se rendre invisible ?
Elles sont multiples, et parmi celles le plus souvent observées, on toujours d’actualité, un fichier du nom de « robots.txt » à la racine
retrouve : d’un site Internet permet de filtrer la visibilité d’un applicatif Web pour
• Empêcher l’indexation de données jugées à caractère personnel, divers moteurs. Le principe de ce fichier consiste à lister sous forme
d’une liste noire les répertoires « interdits » à l’indexation pour tel ou
tels des profils de réseaux sociaux ; tel User-Agent (navigateurs et/ou bot précis) :
• Cloisonner le stockage de documents confidentiels, factures, fiches
User-agent: Googlebot
médicales de patients ou journaux de logs ; Disallow: /secret-directory-for-google/
• Camoufler l’accès à des zones restreintes d’un applicatif Web, User-agent: *
Disallow:
comme des emplacements de sauvegarde, d’administration, de
modération ou tout autre répertoire technique ; Ce principe est fonctionnel jusqu’à ce qu’un crawler (comprendre un
• Éviter la fuite d’information pour des projets secrets/R&D, pas moteur de recherche plus ou moins officiel) ne respecte plus ou pas
encore matures ou non voués à être rendus publics ; les directives du robots.txt.
• Opérer en totale discrétion des activités illicites, tel l’échange de De plus, en cas d’information gathering et d’analyse pentest, ce type
stupéfiants, d’armes, d’exploits, de cartes bancaires, etc. de fichier, accessible à tous, représente une mine d’or d’informations
quant aux répertoires non-indexés.
Les techniques d’invisibilités auprès des moteurs de recherche et
d’anti-indexation suivantes sont loin d’être exhaustives. Les employer Un robots.txt, tel que le suivant, aura comme impact d’interdire aux
tend à rendre plus difficile la tâche visant à vous retrouver sur moteurs de recherche respectueux de ce principe de vous indexer :
l’Internet ; à l’inverse, les éviter permet d’améliorer votre visibilité et
le référencement naturel/SEO. User-agent: *
Disallow: /
Démultiplier la profondeur des pages pour
accéder à l’information d’intérêt sitemap.xml
Le comportement d’indexation des moteurs de recherche a été La technologie des sitemap.xml, créée par Google afin d’optimiser les
éprouvé par une équipe de chercheurs allemands. Ceux-ci ont mis en principes de référencement et très largement adoptée par les différents
place un site Web comprenant un très grand nombre de pages, 2 147 moteurs de recherche, consiste, au même titre que le « robots.txt », à
483 647 exactement. Sous forme d’arbre-binaire, il fallait au minimum placer un fichier « sitemap.xml » à la racine d’un site Internet.
31 clics pour atteindre certaines données en profondeur. Toutefois, à l’inverse du « robots.txt » qui recense généralement les
Le site Internet est resté plus d’un an en ligne, sans subir de quelconque ressources à ne pas indexer, le sitemap.xml spécifie explicitement celles
modification. Suite au passage des robots d’indexation, il en résulte que qui doivent l’être, à quelle fréquence, quand a eu lieu la dernière
le nombre de pages indexées ne s’élève pas à plus de 0,0049 %. modification et quelle est l’importance de la ressource.
L’intérêt de dissimuler de l’information en profondeur présente les <?xml version=“1.0“ encoding=“UTF-8“?>
limites techniques de suivi des liens d’un site par les moteurs de <urlset xmlns=“http://www.sitemaps.org/schemas/sitemap/0.9“>
recherche. <url>
<loc>http://www.example.com/</loc>
Augmentation de la taille des ressources <lastmod>2016-01-01</lastmod>
<changefreq>monthly</changefreq>
Il va de soi que les moteurs de recherche disposent d’une limitation <priority>0.8</priority>
en termes de taille pour indexer des documents : aux alentours de </url>
500 ko (Yahoo! et Google notamment). Cette limite peut aisément <url>
être atteinte en ajoutant du contenu inutile (junk/padding) au travers <loc>http://www.example.com/news</loc>
des pages d’un site Web, afin d’en limiter le référencement. <changefreq>daily</changefreq>
Du contenu en commentaire dans les sources, suffisamment volumi- </url>
neux pour stopper l’indexation, peut permettre de camoufler du </urlset>
contenu vraiment d’intérêt.
Au regard des débits à présent disponibles chez les particuliers, comme
bien évidemment les professionnels, cette limitation peut sembler mi-
nime en termes de temps de chargement pour une connexion classique
compte tenu des données sensibles qu’elle pourrait renfermer.
Camoufler ses ressources à indexer ou
au contraire les spécifier explicitement
robots.txt
Les moteurs de recherche dignes de ce nom respectent certains stan-
dards et pratiques quant à l’indexation. Historiquement, tout en étant
35
©untitled CHRONIQUE TECHNIQUE
Si une ressource n’est nullement liée à celle indexée, et que celle-ci autorités de confiance reconnues se mettent même à offrir à
ne figure pas dans le sitemap.xml, alors les moteurs de recherche ne quiconque le souhaite un certificat (Class 1) pour un domaine fixe, et
s’en soucieront guère. ce gratuitement (voir startssl.com ou le projet letsencrypt).
Chiffrer l’accès à son site Internet permet d’amoindrir les chances
Bien sûr, comme pour le robots.txt, le respect du sitemap.xml est à la d’être scruté par des crawlers, robots pirates et autre scanner n’ayant
charge du moteur de recherche. Certains ignorent ces directives, pas pris en considération les protocoles SSL/TLS. Bien évidemment,
notamment les crawlers. pour la plupart des moteurs de recherche reconnus, ces serveurs
protégés sont tout de même référencés.
Meta tag
Au travers du code source d’une page à camoufler, la balise meta Par soucis de camoufler des données, empêcher leur indexation et pro-
suivante permet d’empêcher l’indexation : téger certains espaces Web, l’utilisation de l’HTTPS est pratique courante.
<meta name=“robots“ content=“noindex,nofollow“> Les accès authentifiés
A placer dans le header, elle permet d’empêcher l’indexation d’une Afin d’empêcher l’indexation des pages Web, il est également possible
ressource particulière. de demander aux visiteurs d’effectuer quelques actions qu’un robot
ne pourrait pas reproduire : par exemple l’authentification.
Le nom « robots » bloque tous les robots. Des moteurs spécifiques, En effet, on constate que certains sites ne sont pas joignables sans
par exemple « googlebot », peuvent être indiqués explicitement afin authentification préalable. Cette authentification peut être assez sim-
de n’en cibler que certains en particulier. ple (identifiants diffusés publiquement) ou au contraire plus complexe.
Comme pour le robots.txt ou sitemap.xml, libre aux moteurs de
recherche de respecter ce principe. Leur implémentation n’est donc Voici différentes possibilités, simples à mettre en place, afin de bloquer
pas suffisante face aux crawlers. l’accès aux pages d’un site Web à un robot :
Les en-têtes, htaccess et configuration L’authentification .htaccess
serveur L’authentification par .htaccess est l’une des plus basiques à mettre
en place. Elle permet également d’afficher un message qui pourrait
Les en-têtes anti-indexation contenir les identifiants à saisir. On peut alors rendre le site public
Les serveurs Web permettent également de filtrer l’accès aux contenus (identifiants aisément accessibles), mais non indexable, car les robots
qu’ils renferment, ainsi que d’empêcher leur indexation. ne seront pas capables de s’authentifier.
Les requêtes retournées en interrogeant des serveurs Web convena- A l’inverse, il est également constaté que certains sites sont protégés
blement configurés peuvent transmettre des en-têtes empêchant par .htaccess et que les identifiants d’accès ne sont pas diffusés,
l’indexation et l’archivage de contenu. Ceci peut se réaliser au travers restreignant ainsi la visualisation des pages Web à un groupe fermé
de la configuration du serveur Web lui-même, d’un équipement réseau et contrôlé.
en amont ou au travers d’un htaccess :
L’authentification par certificat
Header Set X-Robots-Tag “noindex, noarchive, nosnippet“ Outre le couple login/mot de passe, il est également possible d’utiliser
une authentification par certificat client. Dans de tels contextes, seuls
Les htaccess sont également souvent employés en vue de filtrer les clients disposant du certificat adéquat peuvent communiquer avec
(whitelist et/ou blacklist) les IP (ranges) autorisées à accéder à telle le serveur Web. Ainsi, les robots ne disposant pas de ce certificat ne
ou telle ressource. pourront pas joindre ces pages, et par conséquent les indexer.
D’autres types d’authentification peuvent également être utilisés. Par
Port d’écoute et protocoles exemple sous Wordpress, il est possible de restreindre l’accès à un
blog uniquement pour les visiteurs authentifiés. La protection par
Les moteurs de recherche scrutent et indexent les ressources du Web authentification peut ensuite être améliorée en implémentant par
au travers des protocoles et ports par défaut. Qu’un site soit accessible exemple une authentification multi-facteurs, de l’OTP ou d’autres
sur le port 80 HTTP, ou 443 pour HTTPS, ces réglages par défaut sont modes d’authentification.
automatiquement analysés par ces robots.
Afin de dissimuler une ressource et d’éviter les scanners intempestifs, Le contenu dynamique, évoluant à chaque
changer les ports des services réseaux par défaut est une pratique par- chargement
ticulièrement employée, notamment sur des ports au-delà des 1024
premiers. Comme indiqué précédemment, les moteurs de recherche qui scrutent
Placer son serveur Web sur un port exotique, tel que 31337, réduira vos pages opèrent tel un navigateur, à ceci près qu’ils n’interprètent
considérablement les chances pour les crawlers, spiders et indexeurs pas les scripts dynamiques des pages, principalement pour des raisons
de déceler la présence de votre site Web. de ressources et de temps de traitement.
Une autre manière d’opérer est de mettre un système de port Ainsi, le JavaScript n’est pas indexé, et comme le JavaScript permet
knocking. Ce dernier permet de modifier le comportement d’un d’altérer en direct le DOM des pages (rendu dynamique de la page
firewall dynamiquement suivant les connexions réseau passées. Ainsi, dans un navigateur), il est de ce fait possible d’avoir un contenu sta-
vous pouvez interdire l’accès à votre site Web à toute personne quin’a tique chargé initialement dans le navigateur (vu et indexé par les mo-
pas essayé de se connecter auparavant à une combinaison de ports teurs de recherche) complètement remodelé/modifié via du JavaScript.
que vous avez choisis. Un exemple très simple concerne les balises hypertext. Les balises
xHTML “<a>” comprennent un attribut “href=” pointant vers une
La tendance actuelle, au regard des faits d’actualités, encourage à ressource tierce. Les moteurs de recherche analysent ces attributs et
sécuriser toutes les transactions réalisées sur le Web via SSL/TLS. Des suivent les cibles “href” afin de poursuivre leur indexation.
36
CHRONIQUE TECHNIQUE
Or, une balise “<a>” dispose également d’un attribut événementiel <html>
permettant d’exécuter du JavaScript à la volée : “onclick”. Les attributs <head>
événementiels de ces balises, tels que “onclick”, “onmouseover”, <title>Crawl this !</title>
“onkeyup”, “onkeydown”, “onkeypress”, “onblur”, sont toujours </head>
déclenchés avant de suivre le comportement statique “href”. <body>
<div id=“crawlme“>Bonjour moteur de recherche, trouves-tu ton
Dans l’exemple ci-dessous, le moteur de recherche verra un lien bonheur?</div>
pointant vers “google.com”, ainsi que le navigateur (en survolant le <script>
lien hypertexte et en regardant la barre de statut). Or, au clic sur ce document.getElementById(“crawlme“).innerHTML=atob(“TWVzc2Fn
lien, l’évènement “onclick” est déclenché, remplaçant à la volée la ZSBzdXBlciBzZWNyZXQgIQ==“);
cible “href” par un tout autre site. document.title=atob(“TWVzc2FnZSBzdXBlciBzZWNyZXQgIQ==“);
</script>
<a href=“http://google.com“ onclick=“this.href=’http://www.synetis. </body>
com’“>Go to Google.com !? :)</a> </html>
Si la page précédente est affichée dans un navigateur standard, le
titre et contenu de celle-ci afficheront « Message super secret ! »,
contenu inintelligible « à l’œil » en consultant la source.
Autre exemple, celui des attributs « action » des champs de formulaire : Les moteurs, eux, référenceront le contenu visible.
Beaucoup de sites optent pour ces pratiques de « dynamicité » des
<form action=”http://site.com/target.php” onsubmit=”this.action= codes sources et d’obfuscation JavaScript. L’idée est qu’entre deux re-
’http://hidden.com/target.php”> quêtes, sur une même page, le code source retourné soit totalement
différent, empêchant donc l’indexation à un instant T.
De nombreuses possibilités pour dynamiser le contenu « vu par les
Les réseaux sociaux emploient ce principe, afin d’éviter l’indexation
moteurs de recherche » par rapport au contenu « vu des visiteurs des profils personnels de leurs utilisateurs, par respect pour leur liberté
individuelle et les informations jugées à caractère personnel.
légitimes » sont donc possibles au travers du langage JavaScript.
Il en va de même pour le contenu textuel :
Les scripts et
l’utilisation de
JavaScript
Trois principes peuvent s’ajou-
ter à l’utilisation du JavaScript
pour dynamiser le rendu des
pages et camoufler un
contenu au moteur de re-
cherche : la minimisation, l’ob-
fuscation et le chiffrement.
La minimisation
La minimisation consiste à mi-
nimiser un code source (JavaS-
cript par exemple), afin
d’optimiser son temps de
chargement et de traitement.
La logique des séquences
d’instruction n’est en rien
changée.
En minimisant un code source
JavaScript, il devient généralement plus « obscur » à lire, moins compréhensible de prime abord et donc considéré comme « obfusqué ».
L’exemple traditionnel est la très connue bibliothèque JavaScript du nom de JQuery. Celle-ci est disponible sous son format standard, intelligible :
http://code.jquery.com/jquery-latest.js (cf schéma ci-dessus)
37
©untitled CHRONIQUE TECHNIQUE
Ainsi qquueessoouussssaafoformrmee««mminimniamliasltiest»e q»uqeul’eonl’opneuptecuotncsoidnésriedrécroermme obfusquée :
chottmp:m//ecoodbef.ujqsuqeuréye.c:om/jquery.min.js
http://code.jquery.com/jquery.min.js
La différence est de taille ! Environ 250 Ko pour la version standard A la lecture de ce dernier, il est particulièrement difficile d’identifier le
contre 80 Ko en version minifiée. traitement JavaScript réalisé. Il en va de même pour les moteurs de
recherche et crawlers.
L’obfuscation
L’obfuscation est un terme qui tend à se répandre et se démocratiser. Le chiffrement
Traduit généralement par « obscurcissement », il ne doit pas être Contrairement à la minimisation et à l’obfuscation, le chiffrement
confondu avec « chiffrement » ou encore « minimisation ». alourdit les traitements et la consommation des ressources.
L’idée est de chiffrer un code source, de délivrer ce code source au
L’obfuscation consiste à réécrire une séquence d’instruction dans un navigateur des utilisateurs et de leur permettre de le déchiffrer s’ils
langage particulier (généralement interprété) sous une autre forme, sont en possession d’une clé.
sans pour autant altérer la sémantique, mais uniquement la syntaxe.
Cette réécriture n’ajoute pas de traitement additionnel, pas d’appel Le chiffrement de code source entre donc une abstraction de celui-ci.
de fonctions supplémentaire, ni de consommation de ressource en De nouveaux appels à des fonctions de chiffrement/déchiffrement à
termes de CPU/RAM. la volée sont intégrés afin que l’interprétation de la source soit réalisée
Pour illustrer ce principe, une simple alerte JavaScript peut être générée convenablement.
via le code suivant :
Pour quelqu’un cherchant à comprendre la logique d’un code minifié
<script>alert(1);</script> ou obfusqué, cela reste possible bien que rendu beaucoup plus
obscure et complexe.
Mais sous une forme obfusquée, le code suivant amène au même Un code chiffré, quant à lui, est voué à être intelligible uniquement
résultat : par ceux disposant de la clé.
<script>$=’’|’’,_=$+!’’’’,__=_+_,___=__+_,($)[_$=($$=(_$=’’’’+{}) Un exemple simple en JavaScript pour une simple « alert() » pourrait
[__+__+_])+_$[_]+(””+_$[- se représenter ainsi :
__])[_]+(””+!_)[___]+($_=(_$=””+!$)[$])+_$[_]+_$[__]+$$+$_
+(””+{})[_]+_$[_]][_$]((_$=””+!_)[_]+_$[__]+_$[__+__]+(_$=” <script>
”+!$)[_]+_$[$]+”(”+_+”)”)();</script> function getKey(){
[...]
return key;
}
function decrypt(data, key){
[...]
return decryptedData;
}
var encryptedSourceCode = “YOUR ENCRYPTED SOURCE CODE HERE”;
eval(decrypt(encryptedSourceCode, getKey()));
</script>
38
CHRONIQUE TECHNIQUE
Les mécanismes de chiffrement de code source sont généralement sémantique de vos pages en se basant sur le contenu de celles-ci. A
employés par des malwares et autres payloads malicieux. Mais ils une époque, il était donc possible de remplir sa page de mots clés
peuvent être utilisés pour camoufler du contenu au sein des pages totalement hors sujet par rapport au contenu réel pour voir positionner
des robots d’indexation, ou ne le rendre visible qu’aux possesseurs de sa page sur ce sujet. Il en résulte une expérience utilisateur médiocre,
la clé. car celui-ci se voit proposer un page n’ayant rien à voir avec sa
recherche. Les moteurs de recherche ont alors affiné leurs algorithmes
Les formats non-indexables et exotiques afin de détecter cette pratique et de la sanctionner.
Beaucoup de formats de fichiers n’ont pas leur contenu indexé. Le cloaking
Prenons l’exemple des binaires « *.exe ». Le cloaking consiste à présenter une page différente aux bots des
moteurs de recherches qui crawlent le Web et aux utilisateurs
Il est aisé de modifier la configuration d’un serveur Web afin de définir « normaux » qui consultent votre site. L’idée est de présenter au bot
des extensions particulières comme étant interprétées. une page sur-optimisée, qui lui fera croire qu’un contenu est pertinent
Les serveurs Apache, au travers d’un simple htaccess, permettent cela. sur un sujet alors qu’il ne l’est pas du tout.
Par exemple pour faire interpréter des extensions comme *.exe ou
*.mycustomextension comme du PHP. Il s’agit là d’une escroquerie pure et simple, on trompe le moteur de
recherche sur la marchandise. C’est pourquoi cette pratique est sujette
<IfModule mod_mime.c> à de sévères pénalités. Il existe énormément de manière de faire du
AddType application/x-httpd-php .exe cloaking, de manière plus ou moins furtive. Nous n’évoquerons ici que
</IfModule> la plus ancienne et la plus facilement détectable.
Ainsi, l’idée pourrait être de nommer tous les fichiers, initialement de Cloaking par CSS
technologie PHP, en EXE et de configurer le serveur afin que les EXE L’idée est de modifier le visuel de certains éléments de la page en
soient interprétés comme du PHP. utilisant les feuilles de style de manière à rendre certains éléments
Cette supercherie tromperait certains moteurs de recherche et le invisibles pour les internautes :
contenu resterait non indexé. • Changer la couleur d’un élément pour qu’il ait la même que
Se faire blacklister par les moteurs l’arrière-plan ;
de recherche • Mettre à 0 la taille de police d’un texte ;
• Positionner le texte à un endroit invisible (derrière une image…).
En appliquant de l’ingénierie inverse sur l’algorithme de référencement
des moteurs de recherches, des hackers blackhats ont développé des En utilisant une combinaison de ces techniques frauduleuses
techniques de référencement abusives. Pour contrer cela, les moteurs obsolètes, il est quasiment certain qu’au bout de quelques jours votre
de recherche ont développé des systèmes de pénalités, capables de site subisse une pénalité et soit blacklisté par les moteurs de recherche.
détecter ce genre de pratiques et de reléguer les sites Web concernés
très loin dans leurs résultats de recherche (aka: les sandboxer), voire Conclusion
même, dans les cas particulièrement « virulents », les faire disparaître
de leurs résultats (aka: les blacklister). D'innombrables méthodes, plus ou moins techniques, permettent de
Une solution envisageable serait donc d’utiliser toutes ces techniques camoufler du contenu voué à rester secret au travers du Web : plonger
sur le nom de domaine voulu afin de le faire disparaître des moteurs vos ressources dans les profondeurs du Web, en empêchant les robots
de recherches, et ensuite pouvoir y déposer les informations que l’on de vous indexer, ou en rendant vos ressources non-indexables techni-
souhaite garder invisibles. quement ; modifier les paramètres par défaut d’accès aux ressources
(extensions, port d’écoute, IP autorisées…) ; employer des méca-
Il faut savoir que, pour classer votre site parmi leurs résultats, les nismes cryptographiques, tels que le chiffrement des connexions ou
moteurs de recherche analysent le contenu de vos pages, mais aussi encore des codes source ; tout en allant à l’encontre des bonnes pra-
l’« écosystème » de votre site, c’est-à-dire les liens qu’il entretient tiques d’indexation via le cloaking, le black-SEO et la profondeur des
avec le reste du Web. pages… Ce ne sont là qu’une concentration synthétique d’exemples
et de techniques employées permettant d’arriver à ses fins. Le souhait
Dans le cadre de notre problématique, « Se cacher sur l’Internet », de camoufler du contenu est divers et varié et dépend de l’intérêt de
nous n’évoquerons que des techniques on-site (applicables sur ses chacun.
propres pages) facilement détectées par les moteurs de recherche,
pouvant avoir un impact négatif rapide et puissant sur votre référen- La Toile regorge de données non-indexées et secrètes. La majeure par-
cement. tie du Web est d’ailleurs camouflée des moteurs. Libre à vous de tenter
de débusquer certaines de ces informations, ou de contribuer en
développant de nouvelles techniques ! ■ ■ ■
Le duplicate content
Google le répète constamment : « content is king ». Le meilleur moyen
d’être bien référencé sur un sujet donné est de proposer un contenu
pertinent et original sur celui-ci. Le plagiat et les « copier/coller »
sauvages de contenus déjà existants sont sévèrement réprimandés
par les moteurs de recherches. Recopiez le contenu d’un site Web déjà
existant qui fait autorité dans son domaine et vous serez certain de
subir une pénalité.
Le keywords stuffing
Les algorithmes des moteurs de recherche essayent d’extraire la
39
Cartographie des
Data Centers en France
et au Luxembourg*
*Estimation au 8 mars 2016
+1
1
(6) ROUBAIX
+1 DUNKERQUE (1) MONS-EN-BAROEUL
(1) GRAVELINES (1) VILLENEUVE D’ASCQ
1 (1) SAINT-LAURENT-BLANGY
www.datacenter-expo.com + (5) LILLE
(1) ARRAS (1) VALENCIENNES
1 (1) LE HAVRE (2) ROUEN
Le Havre
LISIEUX L’HÔTELLERIE (2) VAL-DE-REUIL (4) REIMS 2
1 (1) CAEN 1 Reims (1) EPPES +
SAINT-SENIER-DE-BEUVRON 1 VENON (1) NANCY (6) STRASBOURG
CHÊNEDOLLÉ 1
(1) CESSON-SÉVIGNÉ MULHOUSE
(3) RENNES (1) CHÂTEAUBOURG (1) SAINT-SATURNIN
(1) ORLÉANS
1
MOISDON-LA-RIVIÈRE
(1) LA CHAPELLE-SUR-ERDRE (1) BESANÇON
(1) SAINT-HERBLAIN (5) NANTES 1 (2) TOURS (1) DIJON
(1) SAINT TRIVIER SUR MOIGNANS
(1) REZÉ LA COPECHAGNIÈRE
(1) LA ROCHE-SUR-YON
1 (1) POITIERS
(1) OLONNE-SUR-MER MOUZEUIL-SAINT-MARTIN (1) CÉBAZAT (1) ROANNE (1) LIMONEST
1 +(3) LYON 2
PUY-DU-LAC (2) CLERMONT-FERRAND
1 (1) VÉNISSIEUX
SAINT-HILAIRE-DU-BOIS (4) GRENOBLE
1 (4) BORDEAUX (7) MONTPELLIER (2) NICE
(4) SOPHIA-ANTIPOLIS
SAUGNACQ-ET-MURET (4) TOULOUSE (1) AIX-EN-PROVENCE 1
(1) LABÈGE
1 MOUGINS
LÉON
(1) BIARRITZ
(4) MARSEILLE
(1) LA CIOTAT
L’urbanisation de votre Datacenter par RITTAL GARANTIR FIABILITÉ, DISPONIBILITÉ ET EFFICACITÉ CAPACITÉ, DISPONIBILITÉ, EFFICIENCE
RiMatrix S : Le premier Datacenter standardisé www.schneider-electric.com/fr/fr/ Des solutions data center évoluant
avec vos besoins et activités
www.rittal.com/fr-fr/
www.commscope.com
2 + 1
SAINT-OUEN L’AUMÔNE (1) ROISSY-EN-FRANCE
(2) CLICHY (1) LA COURNEUVE
(3) COURBEVOIE (11) PARIS
(1) LA GARENNE-COLOMBES
(5) SAINT-DENIS (6) AUBERVILLIERS
(1) BOISSY-MAUVOISIN (2) NANTERRE (1) PANTIN (1) CHAMPS-SUR-MARNE
(1) RUEIL MALMAISON
(1) SURESNES (1) NOISY-LE-GRAND
(1) LE PLESSIS-ROBINSON
(1) BIÈVRES
(1) MONTIGNY-LE-BRETONNEUX (1) LOGNES
(2) COLLÉGIEN
1 (1) IVRY-SUR-SEINE
+ (4) VÉLIZY-VILLACOUBLAY (1) SACLAY
(1) MAGNY-LES-HAMEAUX (2) VITRY-SUR-SEINE
(1) LES ULIS
(1) CHEVILLY-LA-RUE
(1) MARCOUSSIS
LUXEMBOURG
www.ebrc.com
(1) BISSEN
(2) BETZDORF LÉGENDE
(1) WINDHOF ( - ) Nombre de Data Centers
(9) LUXEMBOURG (3) MÜNSBACH 1 Nombre de projets de Data Centers
1+ * Ne sont répertoriés que les DC appartenant en propre à des
hébergeurs pour la colocation.
(1) CONTERN
www.globalsecuritymag.fr
(5) BETTEMBOURG
(1) KAYL Renseignements : Marc Jacob BRAMI - SIMP
17 avenue Marcelin Berthelot - 92320 Châtillon
AU SERVICE DE VOTRE Tél. : +33 (0)1 40 92 05 55 - Fax. : +33 (0)1 46 56 20 91
EFFICACITÉ ENERGÉTIQUE
[email protected]
SOLUTIONS PREMIUM DE
REFROIDISSEMENT POUR DATACENTERS
“ La bonne énergie de votre Data Center ” 1er opérateur Français de data center DATACENTER PREMIUM COOLING SOLUTIONS
www.eaton.fr/powerquality www.iliad-datacenter.fr www.stulz.com
CARTOGRAPHIE DES
ET DES 24 DATA CENTERS
FRANCE Adaxia
Aix-en-Provence Décima
Arras
Besançon Néoclyde
Biarritz
Bordeaux Covage
Caen
Cébazat Cogent Covage TDF SFR
Cesson-Sévigné
Châteaubourg NormHOST - Covage
Chênedollé
Clermont-Ferrand IBO
Dijon
Dunkerque Orange Business Services
Eppes
Gravelines Bretagne Télécom
Grenoble
Labège Covage
La Chapelle-sur-Erdre
La Ciotat IBO IBM
La Copechagnière
La Roche-sur-Yon Cogent
Le Havre
Léon CIV
Lille
Limonest Ikoula
Lisieux L’Hotellerie
Lyon OVH.com OVH.com
Marseille
Moisdon-la-Rivière Cogent EOLAS (2) XSALTO
Mons-en-Baroeul
Montpellier FullSave
Mouzeuil-Saint-Martin
Nancy Oceanet Technology
Nantes
Nice - Mougins ASP Serveur
Olonne-sur-Mer
Orléans Covage
Poitiers
Puy-du-Lac NeoCenter Ouest
Reims
Rennes WebAxys
Rezé
Roanne Covage
Roubaix
Rouen CIV Cogent IBM (2) TDF Comarch
Saint-Herblain SynAApS
Saint-Hilaire-du-Bois DCforDATA
Saint-Laurent-Blangy NeoCenter Ouest
Saint-Saturnin Covage
Saint-Senier-de-Beuvron
Saint Trivier sur Moignans SHD SynAApS Netissime DCforDATA
Saugnacq-et-Muret Interxion Zayo France
Sophia-Antipolis Jaguar Network TDF
Strasbourg
Toulouse Covage
Tours
Val de Reuil Ogreen DataCenter by MSI
Valenciennes
Vénissieux Cogent Zayo France IBM (4) HDC 34
Venon
Villeneuve d'Ascq Covage
Zayo France
Cogent Covage Sigma Alfa-Safety
Cogent IBM Titan Datacenter
Oceanet Technology - Etix
Hitachi Computer Products
Cogent
Covage
Ikoula Sanef télécoms Hexanet (2)
SFR
Cogent TDF
Oceanet Technology
SynAApS
OVH.com (6) OVH.com
Cogent WebAxys
Oceanet Technology
Covage
Décima
Datagrex
Covage
MAXNOD by Adeli
Covage
Cogent Euclyde (2) TAS France
SFR Zayo France
Cogent OVH.com (3) NFrance Conseil TDF OVH.com
FullSave
Cogent Zayo France SFR
Cogent Cyrès Groupe
Orange Business Services
CIV
SFR
Covage
ATE
L’urbanisation de votre Datacenter par RITTAL GARANTIR FIABILITÉ, DISPONIBILITÉ ET EFFICACITÉ CAPACITÉ, DISPONIBILITÉ, EFFICIENCE
RiMatrix S : Le premier Datacenter standardisé www.schneider-electric.com/fr/fr/ Des solutions data center évoluant
avec vos besoins et activités
www.rittal.com/fr-fr/
www.commscope.com
182 DATA CENTERS EN FRANCE*
AU LUXEMBOURG** * DONT 26 EN CONSTRUCTION
** DONT 1 EN CONSTRUCTION
ILE-DE-FRANCE ESTIMATION AU 8 MARS 2016
Aubervilliers Interxion (2) TelecityGroup (2) Interoute SFR www.datacenter-expo.com
Bièvres
Boissy-Mauvoisin Digital ReaIty Zayo France
Champs-sur-Marne Zayo France
Chevilly-La-Rue Covage
Clichy
Collégien CELESTE
Courbevoie
Ivry-sur-Seine Orange Business Services
La Courneuve
La Garenne-Colombes Global Switch (2)
Le Plessis-Robinson
Les Ulis IBM (2)
Lognes
Magny-les-Hameaux TelecityGroup SFR Alphalink
Marcoussis
Montigny-le-Bretonneux Interxion
Nanterre
Noisy-le-Grand Interxion
Pantin
Paris Cogent
Roissy-en-France Kheops Organisation
Rueil-Malmaison
Saclay Colt
Saint-Denis
Saint-Ouen l’Aumône SunGard Availability Services
Suresnes
Vélizy-Villacoublay Telehouse
Vitry-sur-Seine
DATA4
Digital ReaIty
Interxion Defense Datacenter
IBM
Equinix
Acropolis OVH.com (3) Telehouse (2) Colt (2)
Iliad
Claranet Global SP
Digital ReaIty
Equinix Green Data Center (2)
Orange Business Services
Digital ReaIty
Interxion (2) Equinix (2)
Décima Iliad
Green Data Center
Cogent Kheops Organisation
Iliad (2)
LUXEMBOURG www.ebrc.com
Bettembourg LuxConnect (3) DATA4 (2)
Betzdorf
Bissen ebrc SES
Contern
Kayl LuxConnect
Luxembourg
Visual Online
Münsbach
Windhof ebrc
BCE (2) ebrc (2) CEGECOM - Artelis DATA4 BT
European Data Hub Verizon BCE
LAB Group Sungard Availability Services CETREL
ebrc
4Téléchargez notre cartographie des Data Centers à l’adresse suivante : Data Centers en activité
http://www.globalsecuritymag.fr/Cartographie-des-Data-Centers-en,20160308,59739.html Data Centers en construction
AU SERVICE DE VOTRE SOLUTIONS PREMIUM DE
EFFICACITÉ ENERGÉTIQUE REFROIDISSEMENT POUR DATACENTERS
“ La bonne énergie de votre Data Center ” 1er opérateur Français de data center DATACENTER PREMIUM COOLING SOLUTIONS
www.eaton.fr/powerquality www.iliad-datacenter.fr www.stulz.com
Liste des Data Centers
en France
LÉGENDE :
M² : Surface IT équipée du bâtiment (Hors parking, dépendances…)
Baies : Nombre maximum de baies hébergées
P.IT : Puissance maxi en kW HQ IT disponible
EQUIPE : Exploitation interne et/ou externe des infrastructures
techniques du bâtiment
NBRE PERS. : Nombre de personnes dans l’équipe interne
INCENDIE : Systèmes de détection et d’extinction incendie
PROJETS : Permis de construire déjà obtenus
4Informations basées exclusivement sur les déclarations des opérateurs de DC.
ACROPOLIS M² / BAIES P.IT COOLING TIER EQUIPE NBRE PERS.
600/300 1 MW Eau glacée 3
LIEU Interne 7
Paris 12ème
OPÉRATEURS
4Zayo - Colt + possibilité d’accueillir tous les acteurs du marché
INCENDIE
4Gaz inerte
CONTRÔLE D’ACCÈS
4Gardien 24h/7j - Contrôle par carte à puce et biométrique - Systèmes de vidéoprotection (intérieur et extérieur)
ADAXIA M² / BAIES P.IT COOLING TIER EQUIPE NBRE PERS.
300/90 1 MW Air Free Cooling extérieur 3
LIEU Interne + externe 2
Aix-en-Provence
OPÉRATEURS
4Acropolis Telecom - Viatel
INCENDIE
4Gaz inerte
CONTRÔLE D’ACCÈS
4Contrôle biométrique - Systèmes de vidéoprotection (intérieur et extérieur)
ASP SERVEUR M² / BAIES P.IT COOLING TIER EQUIPE NBRE PERS.
1 400/250 2 X 8 MW Eau glacée 4 (en cours)
LIEU Interne 15
La Ciotat
OPÉRATEURS
4Orange - SFR - Zayo - TDF - Pacwan - Cogent - Interoute - France-IX - Renater
INCENDIE
4Gaz inerte (Azote)
CONTRÔLE D’ACCÈS
4Télésurveillance 24h/7j - Contrôle par carte à puce et biométrique (en cours) - Systèmes de vidéoprotection (intérieur et extérieur) - SAS BRINK’S
- Barrières infrarouges - Radars linéaires - Barbelés - radars 360° - détecteurs choc
BRETAGNE TÉLÉCOM
LIEU M² / BAIES P.IT COOLING TIER EQUIPE NBRE PERS.
Châteaubourg 800/200 25
8 kWA Eau glacée + Free Cooling 3+ (certifié ISO 27001) Interne + externe
OPÉRATEURS
4Bretagne Télécom - Covage - Cogent - Interoute - Orange - SFR
INCENDIE
4Gaz inerte + Brouillard d’eau
CONTRÔLE D’ACCÈS
4Contrôle par carte à puce - Systèmes de vidéoprotection (intérieur et extérieur) - Support 24/24 par astreinte
PROJET
4Châteaubourg - 500 m² (80 baies supplémentaires)
ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com 45
46 ABONNEZ-VOUS GRATUITEMENT À NOTRE NEWS LETTER EN VOUS INSCRIVANT SUR www.globalsecuritymag.fr et www.globalsecuritymag.com
The words you are searching are inside this book. To get more targeted content, please make full-text search by clicking here.
GSM-No34-Dark Web (T1-2016)
Discover the best professional documents and content resources in AnyFlip Document Base.
Search