Workshop CNLCC 2016

Transcript

1. 2016 : Cybercriminalité dans les télécommunications, Internet des Objets, Systèmes

   d’exploitation mobile Ateliers et séminaires de formation en cyber-sécurité et lutte contre la Cybercriminalité 2017 Session 2 : Analyse en profondeur des nouveaux vecteurs de la cybercriminalité

2. Sommaire 1. Présentation 2. Objectifs de l’atelier 3. Rappel des

   missions du CMRPI 4. Campagne Nationale de Lutte Contre La Cybercriminalité 5. Quelques illustrations de 2016 6. IRSF : Fraude Télécom en vogue 7. Les attaques à grande échelle : Internet des Objets 8. Les OS mobiles : premières failles 9. Perspectives et Q&R

3. Intervenant ERROUSSAFI Elmehdi  Expert TELECOM  Président de la

   délégation régionale de Casablanca du CMRPI  Ingénieur Réseaux et Télécom de l’école TELECOM Saint Etienne  Chercheur en cyber sécurité  Formateur Certifié DALE CARNEGIE Web : www.cmrpi.ma Blog : www.erroussafi.com Email : [email protected] Email : [email protected]

4. Objectifs du séminaire  Comprendre la situation de la cybercriminalité

   moderne et les principaux faits de 2016  S’introduire à quelques fraudes télécom, aux attaques via l’internet des objets et à quelques failles des OS mobiles.  Discuter des recommandations et des mesures à mettre en place pour lutter contre le phénomène.

5. Contexte et rappel CMRPI Le Centre Marocain de Recherches Polytechniques

   et d’Innovation (CMRPI) est une Association Savante Marocaine, positionnée dans l’optique recherche, développement et innovation et est à but non lucratif, fondée en Juin 2012 et qui a la mission de :  Rassembler des personnes physiques et morales concernées par les sciences et techniques dans plusieurs domaines de l’industrie et de la recherche scientifique  Faciliter l’implication des chercheurs marocains, de l’intérieur du pays et également à l’étranger, dans la contribution au développement du Maroc  Contribuer dans le transfert du savoir vers le milieu socio-économique national et international  Distinguer parmi ses membres les meilleurs spécialistes dans chaque domaine  Favoriser des contacts fréquents avec d’autres membres, dans leurs spécialités ou hors de leurs spécialités, tout particulièrement pour les plus jeunes  Développer une importante source d’informations spécialisées  Constituer une tribune qui permette à ses membres de faire connaître leur point de vue et leurs travaux  Représenter l’ensemble de ses membres auprès d’autres sociétés scientifiques et techniques marocaines ou étrangères.

6. Campagne Nationale de Lutte Contre la Cybercriminalité Campagne Nationale de

   Lutte Contre la Cybercriminalité (2014-2017), lancée par le CMRPI sous l’égide du Ministère de l’Industrie, du Commerce, de l’Investissement et de l’Economie Numérique, en collaboration avec le Ministère de l’Education Nationale et de la formation professionnelle (Programme GENIE), avec des partenaires universitaires, la CNDP, la DGSN, et des Associations

7. 2016 L’année de la cyber criminalité

8. Fuite des comptes utilisateurs sur internet l’attaque remonte à juin

   2012, mais les responsables du célèbre réseau social professionnel avaient à l’époque sous-estimé l’ampleur des dégâts. Il s’est avéré, après quatre ans, qu’un total de 117 millions d’emails et de combinaisons de mots de passe avait été dérobé et revendu sur le darkweb. 32 888 300 identifiants twitter ont été mis en vente sur le web. Des données qui ne proviennent pas d’un piratage des serveurs de la firme, mais des navigateurs des victimes qui ont été infectés par des malwares. Après investigations, ce sont plus de 71 millions d’identifiants qui auraient été volés et mis en vente pour 250$ par un certain «Peace_of_mind». Cette fois-ci, l’ampleur de l’attaque est bien plus importante encore que dans le cas d’Ashley Madison, avec près de 412 millions de comptes touchés. Parmi cette base de données, les informations de 15 millions de comptes supprimés, mais pas effacés de la base de données semblaient également disponibles. Ce contenu inclut des noms d’utilisateurs, la liste des achats effectués, l’adresse IP, la dernière connexion ou des mots de passe facilement crackables..

9. De grandes structures attaquées C’est l’un des plus gros piratages

   de l’année. Yahoo avait été attaqué en 2014, sans qu’aucune information publique n’ait été communiquée, et a finalement reconnu officiellement en septembre 2016, après avoir finalisé ses discussions avec Verizon, que la faille de sécurité exploitée par un hacker concernait au moins 500 millions de comptes utilisateurs. OVH compte parmi les plus importantes sociétés d’hébergement Web du monde. Le réseau de l’hébergeur a du faire face pendant plusieurs jours à une gigantesque cyberattaque de type déni de service distribué (DDoS) atteignant un pic de trafic de flood record, encore jamais atteint à ce jour sur Internet : 1 Tbps Les assaillants ont utilisé des objets connectés (Internet des Objets), et plus particulièrement un réseau de Deutshe Telekom a confirmé la thèse d’un malware ayant infecté plus de 900000 de ses routeurs. Selon Flashpoint, environ 5 millions de routeurs à travers le monde seraient vulnérables à la faille exploitée par cette variante de mirai botnet.

10. Les systèmes financiers touchés … SWIFT est un système bancaire

    des plus sécurisés au monde et qui constitue en outre la porte d’accès au système bancaire mondial, a été à nouveau attaqué. La Corée du Nord pourrait être à l’origine des cyber attaques qui ont permis d’exfiltrer 81 millions de dollars de plusieurs banques, en particulier de la banque centrale du Bangladesh. Des dizaines d’ordres de virement, pour un montant cumulé d’environ 800 millions de dollars (706,2 millions d’euros), passés au nom de la banque centrale bangladaise entre le 4 et le 5 février ont pu néanmoins être bloqués. Une panne informatique a sérieusement ralenti les transactions sur la bourse australienne (ASX pour Australian Securities Exchange). Le marché a ainsi ouvert avec 90 minutes de retard et fermé plutôt que prévu en raison de ce qu’ASX a qualifié de « problèmes matériels ». Les administrateurs système d’ASX ont ainsi eu besoin de deux heures pour remettre sur pied les services de trading pour 75 % des titres cotés. Le service a été entièrement rétabli vers 13h, heure locale. Mais, une heure plus tard, le problème réapparaissait, entraînant la fermeture des échanges. D’une durée moyenne d’une heure mais pouvant atteindre près de 12 heures, des attaques « complexes » de type DDoS, qui consistent à rendre un serveur indisponible en le surchargeant de requêtes ont touché les sites internet de 5 institutions financières parmi les 10 premières banques russes.

11. IRSF La fraude Telecom la plus répandue

12. IRSF IRSF – Définition et vecteur d’attaque  International Revenue

    Share Fraud (IRSF) est une forme de generation de traffic ou les fraudeurs obtiennent des numéros et provoquent un traffic important vers ces numéros à travers diverses methods. Les fraudeurs sont donc capables de récupérer une partie du revenue généré par la terminaison de ces appels.  Les Fraudeurs utilisent plusieurs methods pour générer ce traffic : Piratage de PBX, SMS Phishing, BIP Wangiri, Malware sur les smartphones, fausses publicités.  Les pertes pour la victim finale ou l’opérateur et les intermédiaires de terminaison d’appel peuvent être très importantes, puisque ces numéros peuvent faire partie d’une tarification spéciale (numéros surtaxes, tarrif à l’international ..)

13. Exemple B2B : PBX Hacking

14. Prévention PBX Hacking Comment savoir si je suis victime du

    PBX Hacking ? Il est necessaire de demander à votre opérateur le detail de la consummation téléphonique de votre installation téléphonique. • La première indication est la hausse soudaine de vos factures téléphonique. • Une deuxième indication serait que lorsque vous recevez des appels ou que vos collaborateurs essaient de composer des appels, ils tombent souvent sur le message d’occupation. Auditez votre facture mensuelle : • Vérifier régulièrement la facture et assurez vous de reconnaitre l’ensemble des appels émis. • Cherchez les appels vers des destinations internationals étrangères à votre business. • Cherchez des appels hors heures de travail. • Tenez votre PABX à jour (materiel et logiciel) et assurez vous d’avoir une installation sécurisée.

15. Le DTI Le détournement de trafic international – une fraude

    qui touche les opérateurs télécom en Afrique

16. Schéma DTI

17. Schéma DTI

18. Comment marche une SIMBOX

19. IoT L’internet des objets vulnérables

20. Roles dans un réseau de BOTNET

21. Mirai botnet : L’ampleur

22. Mirai botnet : La force de l’opensource !

23. Mirai : Les objets vulnérables listés à date

24. Dlink Wifi caméra vulnérables

25. Et sont Accessibles depuis shodan ! En attente de la

    variante d’un WORM qui peut profiter de la faille

26. Prévention du hacking de l’internet des objets. Pour le novice,

    il est difficile de se prémunir, il est nécessaire de monter en compétence afin de mieux maitriser son appareil : 1. Sur une installation internet à laquelle se connecte l’objet, il est important d’avoir un parefeu (firewall) logiciel ou bien matériel. 2. Bien choisir le produit, vérifier l’origine, la fabrication et les labels de l’objet. 3. N’ouvrir que les flux nécessaires à l’objet pour fonctionner (Ex : Ports utilisés par le flux video de la caméra, Ports utilisés par le service Voip ou monitoring … ). 4. Absolument nécessaire de maintenir à jour le FIRMEWARE ou le micrologiciel de l’appreil, et ce en se connectant sur le site web du produit et en téléchargeant les dernières mises à jour qui comportent les correctifs. 5. Monitorer l’usage internet, un réseau BOTNET se connecte à des adresses IP douteuses qui peuvent apparaitre sur le log du firewall.

27. Les OS Mobiles La vulnérabilité au cœur du smartphone

28. Stagefright, la vulnérabilité qui a fait trembler Google Android en

    2016 Stagefright permet à un attaquant d'exécuter des opérations arbitraires sur le dispositif d'une victime par code à distance. Les chercheurs en sécurité démontrent le bug avec une preuve de concept qui envoie des MMS spécialement conçus pour le dispositif de la victime et dans la plupart des cas ne nécessite pas d'actions de la part de l'utilisateur final lors de la réception du message pour réussir. En utilisant le numéro de téléphone comme seule information cible. « Stagefright », qui est une bibliothèque de logiciels complexes implémentée en C++ dans le cadre du projet Open Source Android (PSBA) et utilisée pour jouer différents formats multimédias tels que des fichiers MP4.

29. Démo Stagefright – Zimperium Lab Exploit

30. www.cmrpi.ma Questions réponses

31. www.cmrpi.ma Merci