Discussion :

[Gordon Fowler]

Mise à jour du 29/04/10

Les kits de piratage « tout-en-un » démocratisent la cyber-criminalité
Mais les réseaux se professionalisent de plus en plus


Les kits de piratage « do-it-yourself » (en vf « faîtes le vous même ») se propageraient à grande vitesse.

Ces solutions « tout en un » facilitent en effet la création et l'utilisation de malwares (un constat également fait par Microsoft dans son rapport semestriel de sécurité - lire ci-avant). Leurs prix relativement bas aura fait le reste pour leur démocratisation auprès de tous les développeurs malveillants, y compris les moins doués.

Dans son étude, M86 Security, un fournisseur de solutions de sécurité, a constaté l'apparition sur ce « marché » de 12 nouveaux kits en 6 ans. Ces kits se présentent le plus souvent sous la forme de simples applications webs (PHP et MySQL inside) destinées à tirer profit des failles recensées dans les technologies les plus populaires : Internet Explorer, Flash, les PDF ou Java par exemple.

Toujours selon M86 Security, l'application est ensuite hébergée pour quelques centaines de dollars (ou d'euros) sur des serveurs, le plus souvent Russe, Chinois ou en Europe de l'Est pour permettre l'anonymat du pirate (et de meilleures performances pour la collecte des données volées).

L'utilisation de ces kits se fait néanmoins souvent (et toujours) au sein d'un réseau plus large, le plus souvent en accord (rémunéré) avec des cyber-criminels.

Classiquement, M86 Security note que « il est important de comprendre que les acteurs du marché des kits pour réaliser des exploits sont seulement une sous-partie d'une vaste économie souterraine où les participants sont souvent spécialisés, ils offrent des produits et des services sur mesure à d'autres acteurs sur des forums à l'abri des regards ou grâce à leurs contacts personnels ».

Dans le piratage comme ailleurs, le réseau serait-il devenu plus important que le talent ?


Source : Le rapport de M86 Security



Lire aussi :

Flash
Adobe publie deux méthodes pour contrer l'exploitation de PDF malicieux mise à jour dans un « proof of concept »
Oracle-Sun sort un correctif de sécurité en urgence pour patcher la faille de Java
Jusqu'ici, aucun navigateur ne résiste aux attaques des experts en sécurité du Pwn2Own 2010


MAJ de Gordon Fowler


La France est peu exposée à la cybercriminalité
Et Windows 7 serait beaucoup moins perméable aux attaques, selon Microsoft


Microsoft vient de publier la 8ème édition de son rapport semestriel sur la sécurité : le SIR (pour Security Intelligence Report).

D'après ce rapport, les pirates ont adapté leurs techniques pour être plus efficaces sur différents types de cibles. Par exemple, les réseaux d’entreprise sont davantage sensibles aux vers alors que les « systèmes à domicile » sont plus soumis à des attaques sous forme de fausses loteries (9% des spams filtrés contre 4 % sur le premier semestre) ou par des logiciels malveillants comme les faux anti-virus, les Botnets ou les manipulations.

Aujourd'hui, les pirates regroupent les menaces au sein de « kits » pour en maximiser l’impact potentiel. Ils mettent à jour leurs attaques via des services packs ou des mises à jour logicielles.

Ils peuvent aussi utiliser des logiciels contrefaits de manière industrielle pour tromper les consommateurs ou les entreprises et prendre le contrôle des machines à leur insu. Ceci permet, par exemple, des attaques par extorsion de fond utilisant des Botnets contrôlés par des réseaux mafieux.

KPMG soulignait dans un rapport récent la corrélation qui existe entre les pays qui hébergent ces Botnets et ceux où les logiciels sont contrefaits : 60% des 50 sites étudiés proposaient des « cracks », des logiciels piratés ou des générateurs de clés et sont dans le même temps des vecteurs de menaces.

« Les cybercriminels se professionnalisent », déclare Bernard Ourghanlian Directeur Technique et Sécurité de Microsoft France, avant de préciser que « le respect des règles de sécurité fondamentales combiné aux innovations technologiques [permettent] une entreprise [...], plus sûre et mieux protégée ».

La France se situerait en dessous de la moyenne mondiale concernant le taux d’infection (un taux de 5,6 pour 1000, la moyenne mondiale étant de 7). Les pays les moins infectés sont la Finlande et la Tunisie (1,4) et ceux qui le sont le plus sont la Turquie (20) et le Brésil (18).

En France les utilisateurs sont souvent victimes de vol de mots de passe, spécifiquement pour les jeux massivement multi-joueurs. Taterf, un malware de ce type, est le malware le plus important en France.

Les menaces liées aux faux logiciels de sécurité (les fameux « rogues ») restent toujours très présentes. C’est aussi un effet de bord de la pédagogie sur la nécessité d’assurer la sécurité de son ordinateur. Dans son rapport, Microsoft affirme avoir nettoyé 7,8 millions de faux antivirus dans le monde (+ 48%).

Maintenir son système à jour, évoluer vers des logiciels plus récents... et acheter son dernier OS permettrait, selon Redmond, de lutter efficacement contre toutes ces menaces.

« Le taux d’infection par logiciel malveillant sur Windows 7 et Windows Vista SP2 est inférieur de 50 % à celui de Windows XP » même si « plus de 80 % des nouvelles vulnérabilités découvertes résident dans les applications plutôt que dans les systèmes d’exploitation et les navigateurs ».

Il deviendrait donc urgent que l’industrie informatique toute entière mette en œuvre des processus de développement de code sécurisé. Et Microsoft de rappeler son processus SDL (Security Development Lifecycle) - lire par ailleurs « Microsoft publie un un "white paper" sur la sécurité des applications en ligne et son SDL ».

Mais suivant le principe que la plus grande vulnérabilité se trouvera toujours entre le clavier et la chaise Bernard Ourghanlian rappelle que « la pédagogie reste l’une des clés essentielles pour faire changer les choses ».

Source : Etude KPMG “An Inconvenient Reality” 2009 (pdf) et le Security Intelligence Report de Microsoft


Lire aussi :

Microsoft continue son combat contre les alertes de sécurité malicieuses et les "scarewares"

Des pirates tentent d'utiliser la bourde de McAfee pour diffuser leurs faux anti-virus

Peut-on vraiment lutter contre les botnets ?
Le plus grand réseau de malwares démantelé recommence à sévir en 48 heures

Les rubriques (actu, forums, tutos) de Développez :

Sécurité
Windows
Développement Web

[dams78]

D'après certains la vulnérabilité d'un logiciel dépend de son taux d'utilisateurs, doit-on en déduire que lorsque Windows 7 sera autant utilisé que son grand frère Windows XP, il sera beaucoup moins sécurisé ?

--
Sinon le fait que la France soit moins exposée, est-ce dû, à l'utilisateur ou au fait qu'on n’est pas intéressant ?

[Wisevolk]

D'après certains la vulnérabilité d'un logiciel dépend de son taux d'utilisateurs, doit-on en déduire que lorsque Windows 7 sera autant utilisé que son grand frère Windows XP, il sera beaucoup moins sécurisé ?

--
Sinon le fait que la France soit moins exposée, est-ce dû, à l'utilisateur ou au fait qu'on n’est pas intéressant ?

Oui tu as raison plus il y aura d'utilisateurs plus il y aura d'attaques et plus les vulnérabilités seront découvertes d'Ailleurs l'histoire de Windows nous a montré à quel point ce système était spongieux, Windows 7 est une purge en terme d'ergonomie une fenêtre d'alerte à la minute c'est pas de l'optimisation (je ne parlerai pas des alternatives c'est pas le propos).
Quand à la France en fait on est moins exposés car les virus sont très potes avec le nuage de Tchernobyl qui leur a parlé de la crainte qu'il a eu de nos frontières ! Du coups ceux ne sont pas des petits virus même pas radioactifs qui vont se risquer à venir nous embêter
Mais plus sérieusement j'ai plus de 200 attaques quotidiennes bloquées par de vrais firewalls sur des ip peu exposées voir cachées pour certaines donc les chiffres.... encore une fois et pour reprendre une expression bien française pour le coup sont à prendre au conditionnel.

[Gordon Fowler]

Les kits de piratage « tout-en-un » démocratisent la cyber-criminalité
Mais les réseaux se professionalisent de plus en plus


Les kits de piratage « do-it-yourself » (en vf « faîtes le vous même ») se propageraient à grande vitesse.

Ces solutions « tout en un » facilitent en effet la création et l'utilisation de malwares (un constat également fait par Microsoft dans son rapport semestriel de sécurité - lire ci-avant). Leurs prix relativement bas aura fait le reste pour leur démocratisation auprès de tous les développeurs malveillants, y compris les moins doués.

Dans son étude, M86 Security, un fournisseur de solutions de sécurité, a constaté l'apparition sur ce « marché » de 12 nouveaux kits en 6 ans. Ces kits se présentent le plus souvent sous la forme de simples applications webs (PHP et MySQL inside) destinées à tirer profit des failles recensées dans les technologies les plus populaires : Internet Explorer, Flash, les PDF ou Java par exemple.

Toujours selon M86 Security, l'application est ensuite hébergée pour quelques centaines de dollars (ou d'euros) sur des serveurs, le plus souvent Russe, Chinois ou en Europe de l'Est pour permettre l'anonymat du pirate (et de meilleures performances pour la collecte des données volées).

L'utilisation de ces kits se fait néanmoins souvent (et toujours) au sein d'un réseau plus large, le plus souvent en accord (rémunéré) avec des cyber-criminels.

Classiquement, M86 Security note que « il est important de comprendre que les acteurs du marché des kits pour réaliser des exploits sont seulement une sous-partie d'une vaste économie souterraine où les participants sont souvent spécialisés, ils offrent des produits et des services sur mesure à d'autres acteurs sur des forums à l'abri des regards ou grâce à leurs contacts personnels ».

Dans le piratage comme ailleurs, le réseau serait-il devenu plus important que le talent ?


Source : Le rapport de M86 Security



Lire aussi :

Flash
Adobe publie deux méthodes pour contrer l'exploitation de PDF malicieux mise à jour dans un « proof of concept »
Oracle-Sun sort un correctif de sécurité en urgence pour patcher la faille de Java
Jusqu'ici, aucun navigateur ne résiste aux attaques des experts en sécurité du Pwn2Own 2010

[dams78]

Certaines personnes vendent même directement une solution logicielle qui permet de contrôler tout un parc de machines zombies, j'avais vu un article là dessus, c'était assez impressionnant.

[fmh1982]

à la sauce de Metasploit

[trenton]

Ça veut dire quoi hacking ?

[Invité]

Ça veut dire quoi hacking ?

Au pays des bisounours il y avait les méchants hackers qui convoitaient les PC du gentils M$ ...

[Kalishah]

Ça veut dire quoi hacking ?

To Hack, en anglais "Tailler".

C'est l'action de bricoler un système lorsqu'on en a une connaissance approfondie, avec pour seul but d'arriver à un résultat... quelle que soit la manière dont on y arrive.

Connaître et exploiter les failles d'un système informatique est du hacking.

A ne pas confondre avec "Piratage".

Aujourd'hui, pour le grand public, le terme "hacking" est péjoratif et évoque des virtuoses de l'informatique dont les objectifs sont criminels. (récupération de comptes, mots de passe, etc...)

Mais à l'origine le terme n'avait pas cette connotation criminelle, et signifiait en gros "tailler, bidouiller un système afin de le faire correspondre à ce que l'on veut". On retrouve d'ailleurs par exemple le terme "hack" (modification d'un système) dans l'exploitation des CMS (Systèmes de gestion de contenu) comme OsCommerce. Un hack est ici une modification du code source du noyau du CMS afin d'ajouter / modifier une fonctionnalité.

[kaymak]

Les développeurs amateurs se mettent aux hacking
Avec la prolifération de kits de piratage « tout en un », mais ils restent très professionnels


Les kits de hacking « do-it-yourself » (en vf « faîtes le vous même ») se propageraient à grande vitesse.

Ces solutions « tout en un » facilitent en effet la création et l'utilisation de malwares (un constat également fait par Microsoft dans son rapport semestriel de sécurité - lire ci-avant). Leurs prix relativement bas aura fait le reste pour leur démocratisation auprès de tous les développeurs malveillants, y compris les moins doués.

Dans son étude, M86 Security, un fournisseur de solutions de sécurité, a constaté l'apparition sur ce « marché » de 12 nouveaux kits en 6 ans. Ces kits se présentent le plus souvent sous la forme de simples applications webs (PHP et MySQL inside) destinées à tirer profit des failles recensées dans les technologies les plus populaires : Internet Explorer, Flash, les PDF ou Java par exemple.

Toujours selon M86 Security, l'application est ensuite hébergée pour quelques centaines de dollars (ou d'euros) sur des serveurs, le plus souvent Russe, Chinois ou en Europe de l'Est pour permettre l'anonymat du hacker (et de meilleures performances pour la collecte des données volées).

L'utilisation de ces kits se fait néanmoins souvent (et toujours) au sein d'un réseau plus large, le plus souvent en accord (rémunéré) avec des cyber-criminels.

Classiquement, M86 Security note que « il est important de comprendre que les acteurs du marché des kits pour réaliser des exploits sont seulement une sous-partie d'une vaste économie souterraine où les participants sont souvent spécialisés, ils offrent des produits et des services sur mesure à d'autres acteurs sur des forums à l'abri des regards ou grâce à leurs contacts personnels ».

Dans le Hacking comme ailleurs, le réseau serait-il devenu plus important que le talent ?


Source : Le rapport de M86 Security



Lire aussi :

Flash
Adobe publie deux méthodes pour contrer l'exploitation de PDF malicieux mise à jour dans un « proof of concept »
Oracle-Sun sort un correctif de sécurité en urgence pour patcher la faille de Java
Jusqu'ici, aucun navigateur ne résiste aux attaques des experts en sécurité du Pwn2Own 2010

De toutes les façons les réseaux de pirates sont des pros. Lorsque tu fais du phishing tu dois gérer la montée en charge, quand tu fais un botnet avec C&C tu dois mettre en place des supports de communication etc.

Bref, l'exploitant de la victime n'est pas l'exploitant des failles de sécurité, qui n'est pas la même personne que le faiseur de 0-day, à chacun son rôle, comme dans un vrai projet.
Ces petites entreprises sont très structurées, et non plus rien à voir avec les scripts kiddies qui ont emmerdé tant d'admin système et réseau dans les 90's, début 2000.

[benzoben]

Que des solutions de piratage soient utilisées par des amateurs n'a rien de nouveau.
J'ai moi même téléchargé librement (pour l'étudier bien sûr) le code du fameux Back Orifice à l'époque et il était entièrement utilisable.
En revanche, ce qui fait plus peur c'est cette professionnalisation où tu peux acheter des solutions clé en main!

[Skyounet]

Certaines personnes vendent même directement une solution logicielle qui permet de contrôler tout un parc de machines zombies, j'avais vu un article là dessus, c'était assez impressionnant.

Bah oui faut bien que les méchants pirates rentabilisent leur réseau . J'avais vu un article sur une chaine de télé super connue qui avait loué un botnet pour attaquer leur nouveau système.

[Dr.Who]

Amalgame Hacking et Cracking/Virus-making.

Les hackers ne sont ni des pirates, ni des cracker ni des virus-maker ou encore moins des phreaker.

Ras le bol de voir le mot "hacker" et "hacking" être employé à tout bout de champ et n'importe comment pour définir un groupe d'individus malveillants.

[Antoinejdu44]

Je pensais que Developpez savait faire la différence vu que 90% de ses membres sont des hackers ou en passe de l'être ...

Ou pas ...

Un hacker peut être en gros assimilé a un expert en sécurité informatique.
Il n'est pas dit que le hacker exploite la faille qu'il a trouvée ou previent le "propriétaire" du site ou du logiciel

On peut le voir dans les concours de sécurité informatiques, il y a plein de "hacker"

Leurs prix relativement bas auront fait le reste pour leur démocratisation auprès de tous les développeurs malveillants, y compris les moins doués.

Dans son étude, M86 Security, un fournisseur de solutions de sécurité, a constaté l'apparition sur ce « marché » de 12 nouveaux kits en 6 ans. Ces kits se présentent le plus souvent sous la forme de simples applications webs (PHP et MySQL inside) destinées à tirer profit des failles recensées dans les technologies les plus populaires : Internet Explorer, Flash, les PDF ou Java par exemple.

Correction : Des logiciels pour attaque DDOS, flooding, phising, exploitation de failles, ... ne sont pas forcément payant, ou en PHP et sont faits par des hackers pour des membres de forum de "sécurité"

[Floréal]

amalgame Hacking et Cracking/Virus-making.

Les hackers ne sont ni des pirates, ni des cracker ni des virus-maker ou encore moins des phreaker.

Ras le bol de voir le mot "hacker" et "hacking" être employé à tout bout de champ et n'importe comment pour définir un groupe d'individus malveillants.

C'est une réflexion que j'hésite souvent à faire à chaque fois que je lis un sujet sur le piratage.

Certes un hacker est marginal du fait de sa curiosité, ses compétences et ses connaissances, mais il n'est pas nécessairement malveillant.
Pour info, la malveillance d'un hacker est proportionnellement inverse à la luminescence de son chapeau: plus son chapeau est foncé, plus il faut s'en méfier.
Ce n'est pas pour rien qu'on parle de White, gray ou black hat.
Bref, merci Dr.Who d'avoir réagi, et +1.

[Invité]

Ou pas ...
Un hacker peut être en gros assimilé a un expert en sécurité informatique.
Il n'est pas dit que le hacker exploite la faille qu'il a trouvé ou previent le "propriétaire" du site ou du logiciel
On peut le voir dans les concours de sécurité informatiques, il y a pleins de "hacker"

Le goût pour le savoir, le challenge (en plus pour un "truc" qui n'intéresse pas grand monde) à l'époque du "génie logiciel" ça reste suspect.
Il n'y a pas à dire les hackeurs le font exprès et en plus ils préviennent pas quand ils trouvent des failles dans les logiciels un poil pirate quand même...

[Antoinejdu44]

Un seul exemple suffirait pour te contredire, celui ci

Pwn2Own : un iPhone piraté en 20 secondes, pour en copier tous les SMS

Lors du concours de hacking Pwn2Own, la base de donnée qui contient les SMS de l'iPhone n'a pas tenu longtemps.

Deux hackers, enzo Iozzo et Ralf Philipp Weinmann, ont réussi à s'y introduire et à en copier tout le contenu (y compris les SMS qui avaient été effacés) en redirigeant les utilisateurs vers un site web compromis.

Tout cela en un temps record, puisqu'il leur a suffit de 20 secondes pour aspirer toutes les données de cette base de données de l'iPhone. leur technique pourrait également permettre d'accéder aux contacts, photos, fichiers audio, etc... du smartphone.

Les deux hommes ont reçu 15.000 $ pour leur victoire, et les détails de leur exploit ne seront révèles qu'après qu'Apple ait été informé de cette vulnérabilité et qu'il ne la patch.

Bien sur, ce concours fournirait tellement d'autres exemples que certains hackers mettent a disponibilité des éditeurs leurs failles pour qu'ils les corrigent ...

[Invité]

C'était surtout du second degré. Il n'y a rien d'étonnant à l'emploi de raccourcis par le journalistes (d'où l'emploi du terme "harker" pour tout ce qui est obscure ou inconnu...), je préfère en rire.

[kaymak]

cette polémique sur le mot hacker devient d'un chiant.... Surtout que si un hacker n'est pas, au sens qu'on veut lui donner ici, un habituel exploitant des failles, il a besoin de fournir un poc pour prouver ce qu'il avance... Et là il devient virus-maker, etc, ce que tu veux ; )

De la même manière expliquer dans un document comment monter une opération de S E, un buffer overflow, ou la proxification d'une base oracle ( ), relève-t-il encore uniquement du hacking (=>découverte de failles) ?
Ou n'est-ce pas poussé le doigt dans l'engrenage du cracking et de l'exploitation de ces merveilleuses méthodes trouvées pour détourner un objet de son fonctionnement initial...

bref tout cela est dans le même bateau, et la frontière est toujours très mince, trop mince pour se targuer d'un distinguo entre les termes.

Enfin, un hacker ne te dira jamais qu'il a cracké tel ou tel truc.... discrétion oblige.
Alors le croire sur parole de ces bonnes intentions de gentil hacker.... Se serait là faire la victime d'une opération de S E rondement menée