1 / 20

Quelle efficacité du filtrage face aux techniques du cybercrime ?

Quelle efficacité du filtrage face aux techniques du cybercrime ?. Jean-Pierre Bigot – Expert près la Cour d’Appel de Versailles.

hanh
Download Presentation

Quelle efficacité du filtrage face aux techniques du cybercrime ?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Quelle efficacité du filtrage face aux techniques du cybercrime ? Jean-Pierre Bigot – Expert près la Cour d’Appel de Versailles Le Royaume-Unis, la Norvège, les Pays-Bas, l’Italie, la Suède, l’Allemagne, la Belgique et le Danemark se sont engagés à des degrés divers dans des projets de filtrage pour luter contre diverses formes de cybercriminalité ou d’infraction. Mais aussi, la Corée du Nord, l’Iran, la Chine, la Tunisie de Ben Ali …. Que recouvrent ces infractions ? Le 25 janvier 2011

  2. 1. Le Spamming en est un bon indicateur du Cybercrime, car les campagnes de « pourriels » sont le moyen privilégié de racolage Sur 200 Milliards de courriels échangés chaque jour, 88 % sont des pourriels (spams) dont une majorité est liée au cybercrime Etude Bitdefender du Spam - 1er semestre 2009 2. Les « infractions de presse »  : provocation à la haine, à la discrimination et à la violence raciale, apologie de crime, négationnisme, discrimination à raison d'orientations sexuelles ou d'un handicap, incitation à l'usage de produits stupéfiants, apologie du suicide, droit à l’image, injures et diffamation 3. Les infractions aux droits d’auteur

  3. 1 - Les techniques du Cybercrime

  4. Majoritairement des techniques classiques, sans prouesses techniques… • sites internet classiques avec des contenus illicites ; • sites internet se livrant à des infractions de presse ; • escroqueries « ivoiriennes » sur des sites de rencontre ; • usurpation d’identité sur des réseaux sociaux ; • …. • ….également des technologies de haut niveau • pour des cybercrimes de masse échappant aux filtrages et à l’identification de leurs auteurs : • réseaux de « PC Zombie » pour des campagnes de pourriels ou des attaques de « déni de Service » ; • hébergements « Fast Flux Network » dont l’adresse IP change en permanence ; • sites « cryptés » (techniques de VPN) pour échapper aux détections et aux filtrages par analyse du contenu. • 1

  5. Cybercrime et technologies de haut niveau Les « PC Zombie » C’est un ordinateur individuel infecté par un virus appelé « Botnet » qui permet au pirate de le contrôler à l'insu de son utilisateur. • Environ 5 millions de PC Zombie actifs (sur 1 milliard d’ordinateurs) • Le « Botnet » va chercher ses instructions sur un serveur du pirate : par exemple, il télécharge un programme pour générer des pourriels, la trame du pourriel, une liste de destinataires, et une liste de noms de domaines expéditeurs. • 1. Les envois de pourriels, la première utilisation • des PC Zombie, « une véritable industrie » • 83 % des pourriels sont expédiés par des réseaux de Botnets « appartenant » à des gangs • RUSTOCK, N°1 des réseaux avec 2 millions de Botnets actifs fin 2009, a une capacité de 20 milliards de pourriels/jours • Le top 5 des réseaux de Botnets cumule 75% des pourriels (80 milliards de pourriels/jour) • Un seul PC infecté émet en moyenne 120 mails/minute, environ 60 millions par an, à l’insu de son propriétaire • Les Botnets sont inoffensifs (tant que leur « propriétaire » le leur demande) pour rester furtifs et actifs PC Zombie Serveur du pirate

  6. 2. Les hébergements « Fast Flux Network », une autre utilisation des PC Zombie Les « Fast Flux Network » sont des sites internet dont l’adresse IP changent continuellement. Les PC Zombie servent, à leur insu, de passerelles vers des sites internet au contenu illicite. L’adresse IP vue de l’internaute est celle du PC Zombie. Le serveur final ne peut pas être localisé. DNS Illicite.com <> 190.2.112.114 Illicite.com <> 211.245.123.5 DNS Illicite.com <> 190.2.112.114 PC Zombie PC Zombie PC Zombie PC Zombie PC Zombie 190.2.112.114 (Argentine) Internaute Internaute Site avec contenu illicite IP ? (localisation ?) 211.245.123.5 (Corée) Pour cela, le pirate a besoin de modifier constamment le DNS, l’annuaire qui fait la correspondance entre le nom de domaine et l’adresse IP

  7. 2. Les hébergements « Fast Flux Network », une autre utilisation des PC Zombie Les « Fast Flux Network » sont des sites internet dont l’adresse IP changent continuellement. Les PC Zombie servent, à leur insu, de passerelles vers des sites internet au contenu illicite. L’adresse IP vue de l’internaute est celle du PC Zombie. Le serveur final ne peut pas être localisé. PC Zombie PC Zombie PC Zombie PC Zombie Internaute Site avec contenu illicite IP ? (localisation ?) Pour cela, le pirate a besoin de modifier constamment le DNS, l’annuaire qui fait la correspondance entre le nom de domaine et l’adresse IP et aussi multiplier les routes et les serveurs pour échapper aux filtrages et garantir la performance

  8. 3. Les autres « services » des réseaux de PC Zombie Les attaques par « Déni de Service », (DoS, Denial-of-Service) Le site ciblé est attaqué par une armée de PC Zombie qui lui adresse de simples requêtes. PC Zombie PC Zombie PC Zombie PC Zombie PC Zombie PC Zombie PC Zombie Serveur cible Avec 100.000 Botnets, et 100 visites/jour.botnet (très bas), un gang peut mobiliser l’équivalent du trafic de Ebay.fr Louer un parc de 100.000 botnets pendant 24 H coute environ 200 $ Les DoS sontsouventobjets de chantage : "Your site is under attack. You can send us $40K by Western Union and your site will be protected not just this weekend but for the next 12 months,, or, If you choose not to pay...you will be under attack each weekend for the next 20 weeks, or until you close your doors”.

  9. 4. Les nouvelles techniques de diffusion de contenus illicites Avec la nouvelle génération de Botnets, le site internet n’est plus situé sur un serveur caché, mais dispersé sur une multitude de PC Zombie qui deviennent serveurs à leur insu. Technologies complexes réservées à des diffusions sensibles et clandestines (pédopornographie) Monsieur Tout-le-Monde peut sans le savoir, être serveur d’images pédopornographiques situées sur son ordinateur. PC Zombie PC Zombie PC Zombie

  10. 4. Le « phishing » Le phishing est une escroquerie consistant à diffuser des mails en grand nombre imitant une banque, et invitant les internautes à se connecter sur le site internet de la banque et y renseigner leur mot de passe, au motif que la banque devrait procéder à une mise à jour technique ou que le mot de passe aurait expiré. L’internaute dupé verra son compte débité par l’auteur du phishing entré en possession du mot de passe. • Le phishing exige : • Des campagnes de pourriels à grande échelle, et ciblées sur une zone géographique ; • Des sites factices souvent hébergés sur des « Fast Flux Network » ; • Un grand nombre de noms de domaines et d’adresse IP. • Rapport 2009 de l’APWG (« the Anti-Phishing Working Group ») : • 60.000 noms de domaine achetés en 2009 (sur un total de 190 millions et 15 millions nouveaux /an) • 182.000 attaques en 2009, dont 70% dues au seul gang « Avalanche » au 2eme semestre 2009.

  11. Le cybercrime : • un écosystème avec ses « métiers » • Des « gangs », quasi entreprises, et non plus des individus isolés • Collecteurs d’adresses mails • Fournisseur de fichiers d’adresses • Fournisseur de données de cartes bancaires • Hébergeurs « complaint-resistant » et « bullet-proof » • Concepteurs de virus « Botnet » • Spammeurs • « propriétaires » de parcs de PC Zombie • Qui profitent de zones de non-droit : Bahamas, Russie, Ukraine, anciens pays de l’Est, Honduras • mais aussi de • règles ICANN peu respectées (nombreux registrants sous un faux nom) • certains registrars complaisants • certains FAI et hébergeurs peu regardants

  12. 2 - Les techniques de filtrage face au cybercrime

  13. Le filtrage n’est pas un outil universel : • Il permet de bloquer la majorité des sites « classiques » comportant des contenus illicites • mais est diversement efficace face au cybercrime de Haute Technologie (ex les réseaux de PC Zombie, du moins sans une action coordonnée avec l’Icann) • Il est inefficace face à des comportements P2P clandestin, et aux VPN (réseaux cryptés) • Le filtrage, un recours après une injonction faite à l’éditeur de supprimer un contenu • J’évoquerai les 3 techniques de filtrage • Le filtrage DNS • Le filtrage par l’adresse IP • Le DPI (filtrage sur le contenu, ou DeepPacket Inspection)

  14. Le préalable au filtrage devrait être une injonction de supprimer un contenu illicite adressée à l’éditeur La communication de l’identité de l’éditeur est une disposition inscrite dans la LCEN du 21 juin 2004 : • III. - 1. Les personnes dont l'activité est d'éditer un service de communication au public en ligne mettent à disposition du public, dans un standard ouvert : • a) S'il s'agit de personnes physiques, leurs nom, prénoms, domicile et numéro de téléphone et, si elles sont assujetties aux formalités d'inscription au registre du commerce et des sociétés ou au répertoire des métiers, le numéro de leur inscription ; • b) S'il s'agit de personnes morales, leur dénomination ou leur raison sociale et leur siège social, leur numéro de téléphone et, s'il s'agit d'entreprises assujetties aux formalités d'inscription au registre du commerce et des sociétés ou au répertoire des métiers, le numéro de leur inscription, leur capital social, l'adresse de leur siège social ; • c) Le nom du directeur ou du codirecteur de la publication et, le cas échéant, celui du responsable de la rédaction au sens de l'article 93-2 de la loi n° 82-652 du 29 juillet 1982 précitée ; • d) Le nom, la dénomination ou la raison sociale et l'adresse et le numéro de téléphone du prestataire mentionné au 2 du I.

  15. De même, le registrant d’un nom de domaine .fr est tenu de communiquer son identité à l’AFNIC : AFNIC - Contrat d’enregistrement – 19 février 2010 3. Le Bureau d’enregistrement doit obtenir du client lors d’une demande d’enregistrement la confirmation que ce dernier : • remplit les critères d’éligibilité ; • que sa demande est faite de bonne foi et qu’à sa connaissance, elle ne porte pas atteinte aux droits de tiers ; • s’engage à respecter la Charte de nommage applicable au nom de domaine objet de la demande. Décret n° 2007-162 du 6 février 2007 relatif à l'attribution et à la gestion des noms de domaine de l'internet « Art. R. 20-44-49. - Les offices peuvent supprimer ou transférer des noms de domaine de leur propre initiative lorsque le titulaire ne répond pas aux critères d'éligibilité définis dans les prescriptions fixées lors de la désignation de l'office, ou que l'information fournie par le titulaire pour son identification est inexacte. Mais ces règles sont-elles respectées ? En 2010, une étude(1) de l’ICANN sur les .com a montré que : 70 % des registrants sont injoignables 30 % des registrants sont manifestement bidon (1) Study of the Accuracy of WHOIS Registrant Contact Information - 17 janvier 2010

  16. Registry  2. Le filtrage DNS Registrar DNS Hébergeur DNS cache www.illicite.com = ? www.illicite.com = 217.109.179.20 Orange recherche « www.illicite.com » dans le DNS, l’annuaire d’internet qui résout la correspondance entre le nom de domaine et l’adresse IP Je me connecte sur internet via mon FAI « Orange » S’il le trouve, il me communique l’adresse IP du site et je me connecte au site S’il ne le trouve pas, il interroge la hiérarchie DNS (le Registry, puis le registrar, puis le DNS de référence, en général celui de l’hébergeur), et me communique l’adresse IP du site et je recherche le site « www.illicite.com » avec Internet Explorer (site fictif de phishing) Mais d’abord, il interroge son « DNS Cache », une copie réduite du DNS avec les résolutions le plus fréquentes

  17. Le filtrage DNS consiste à falsifier l’adresse IP du site bloqué par l’adresse IP d’une page informative dans les « DNS Cache » de tous les FAI IP = 21.210.23.99 OpenDNS DNS Google 208.67.222.222 Le site que vous recherchez fait l’objet d’une mesure de filtrage au motif…. 8.8.8.8 DNS cache www.illicite.com = 217.109.179.20 www.illicite.com = 21.210.23.99 Le Filtrage DNS a l’avantage de permettre une approche « pédagogique » qui privilégie la prévention Il est peu efficace (il suffit de désigner un DNS autre que celui du FAI, celui de Google, OpenDNS ou tout autre) Le surblocage est important, car il est impossible de ne bloquer qu’une page et non la de la totalité d’un site, ce qui impose une phase d’injonction préalable auprès de l’éditeur.

  18. 3. Le filtrage IP Le filtrage IP consiste à bloquer dans les routeurs le transfert des paquets de données dont l’entête comporte l’adresse IP du site bloqué Routeur Routeur Routeur Routeur 217.109.179.20 67.228.46.73 (USA) Proxy  Le Filtrage IP présente l’inconvénient d’être opaque. Il doit être associé à un filtrage DNS pour informer Il est plus efficace que le filtrage DNS (on peut cependant le contourner en passant par un site « Proxy ») Le risque de surblocage est important, et même certain lorsque l’hébergement est « virtuels », c’est-à-dire un hébergement où de nombreux sites sont présents sous le même serveur, et sous la même adresse IP.

  19. 4. Le filtrage DPI (Deep Packet Inspection) Le principe est de bloquer dans les routeurs le transfert des paquets de données dont le contenu comporte une séquence identifiant un contenu illicite Routeur Routeur Routeur Routeur VPN  Proxy  Le Filtrage DPI présente l’inconvénient d’être opaque, il doit être associé à un filtrage DNS pour informer Le DPI est couteux. Son efficacité est en cours d’évaluation. On peut le contourner en passant par un site « Proxy  VPN » (Il est aveugle face au cryptage) . 2010 a vu une explosion des offres de Proxy VPN destinés à contrer HADOPI. Le risque de surblocage et de faux positifs est important.

  20. Conclusion • Le filtrage est un outil efficace et nécessaire pour des mesures de protection des internautes, mais inefficace pour des mesures répressives • Il devient inéluctable face à la progression et la professionnalisation de la Cybercriminalité • Une telle mesure de protection n’est efficiente qu’avec : • 1/ Des coopérations étroites avec les FAI, l’ICANN, les offices centraux spécialisés OCLCTIC et OCRVP • 2/ l’adhésion des internautes • Cette adhésion suppose : • La transparence • Des actions d’information, de préventions et de pédagogie • Des garanties du respect des droits fondamentaux d’expression et d’information

More Related