L’ACSEL, le hub de la transformation digitale, organisait le 4 juillet dernier un « cybersecurity cocktail » autour d’une rencontre avec l’ancien cybercriminel Brett Johnson. Au programme : une immersion fascinante et effrayante dans le mode de pensée d’un cybercriminel aujourd’hui passé du côté des cyberdéfenseurs en tant que consultant pour le FBI, Microsoft, LexisNexis, des universités… et une alerte sur les nouvelles menaces au tour du vol d’identité. Voici ce que nous en avons retenu, et qui pourra vous aider à « hacker les hackers ».

 

Un cybercriminel est un criminel comme les autres

En 2006, avant son arrestation pour le blanchiment de 4 millions de dollars, Brett Johnson figurait sur la liste des personnes les plus recherchées des États-Unis. Le FBI faisant alors référence à lui comme « The Original Internet Godfather » (détail de son parcours dans cet article paru en janvier 2018 dans Slate). Il a été à la tête de ShadowCrew, ancêtre du dark net, avec comme spécialité le détournement en tout genre (détournement d’identité, de compte, fraude à l’impôt sur le revenu…). Parmi les premiers « faits d’arme » de celui qui se fera ensuite connaître sur les réseaux sous le nom de Gollumfun : escroquer les acheteur eBay en leur vendant de fausses peluches Beanie Baby, financer son premier mariage en 1984 par une fraude à l’assurance, pirater des antennes paraboliques entre le Canada et les Etats-Unis. Avec ce talent pour détecter les « failles » dans les organisations il était donc presque naturel qu’il transpose ce mode opératoire au web.

Une citation extraite de l’article de Slate est en ce sens révélatrice du mode de pensée qu’il est nécessaire d’adopter pour essayer de comprendre le mode opératoire des cybercriminels et pouvoir anticiper leurs attaques : « Il n’y a vraiment que les criminels pour lire les conditions générales d’utilisation des sites internet. Personne d’autre ne le fait (…) Simplement pour avoir une idée de la façon dont fonctionnent les sites en question ».

 

Les victimes de cybercrime portent rarement plainte

Les cybercriminels ont souvent le champ libre grâce à la non-dénonciation de leur crime, que ce soit pour la vente de contrefaçon sur eBay ou le vol de données d’entreprises. Un phénomène qui se vérifie en France, où les entreprises portent rarement plainte lorsqu’elles sont victimes d’intrusion dans leurs systèmes d’information ou de vol de données. Pour rappel, selon colonel Nicolas Duvinage, patron du Centre de lutte contre les criminalités numériques “Dans neuf cas sur dix, il n’y a pas de dépôt de plainte” (extrait de cet article de la Revue du digital). Une des raisons essentielles : les entreprises ne se rendent pas compte qu’elles ont été victimes d’un piratage, ou bien longtemps après ! ”Elles se disent si cela fait six mois que cela dure, ce n’est pas la Police ou La Gendarmerie qui y pourront quelque chose !” explique le colonel. Fin 2016, Uber aurait même préféré verser 100 000 dollars à deux hackers pour qu’ils ne divulguent pas le vol des données de 57 millions d’utilisateurs.

 

Au cœur des nouvelles menaces : le vol ou détournement d’identité

Brett Johnson est un des spécialistes du « synthetic identity theft » ou « vol d’identité synthétique ». Ce nouveau type de vol d’identité combine des informations réelles et de fausses informations. En général, le criminel va ainsi voler le nom et la date de naissance d’une personne, et les combiner avec un numéro de sécurité sociale d’une autre personne (Définition extraite du site Anonymster qui différencie vol d’identité, clonage d’identité et explique également comment fonctionne le vol d’identité d’enfants – une menace longuement commentée par Brett Johnson lors de cette rencontre organisée par l’ACSEL. Le vol d’identité d’enfants peut en effet rester indétecté tant que l’enfant n’aura pas à faire de démarches auprès d’un organisme administratif ou financier, parfois plus de 10 ans après le crime. Il sera donc impossible pour les forces de l’ordre de remonter une piste criminelle froide. Vous pourrez retrouver sur le LinkedIn de Brett Johnson une explication détaillée sur le « Synthetic identity theft ».

LinkedIn étant par ailleurs selon Brett Johnson « le réseau social préféré des cybercriminels ! ». Car il leur permet d’analyser les organigrammes des entreprises et de cibler leurs attaques en usurpant l’identité d’un collaborateur, notamment dans le cas de l’arnaque au président ou escroquerie aux faux ordres de virement (FOVI).

 

Les cybercriminels collaborent et se forment dans le Dark Net

Selon Brett Johnson un cybercriminel a besoin de maîtriser trois éléments pour réussir un crime : « accéder à des données, avoir une opportunité d’agir, et avoir un plan pour sortir les fonds récoltés. Rare sont les criminels qui excellent dans un de ces domaines ou même deux ». C’est donc en communiquant et en collaborant que les criminels peuvent aujourd’hui multiplier les attaques. Une information sur une vulnérabilité identifiée dans le système d’information d’une entreprise sera partagée sur un forum, un plan d’attaque sera imaginé par un autre groupe, puis des experts en transferts de fonds seront mis à contribution.

Certains cybercriminels se sont même aujourd’hui spécialisés dans la vente de tutoriels ou de cours en ligne, qui permettront à d’autres d’exploiter des vulnérabilités identifiées, allant même jusqu’à proposer une garantie avec remboursement en cas d’échec ! Selon Brett Johnson le développement de ces tutoriels expliquerait certaines attaques massives qui pourraient sembler être menées par des réseaux de bots mais sont en fait réalisées par des hackers « non professionnels » fraîchement formés.

Brett Johnson : « Si un cybercriminel découvre une faille dans le système d’une multinationale, tout le monde s’y met. Le vol de 2,5 millions de livres sterling à la banque Tesco l’an dernier au Royaume-Uni a débuté par la publication sur un forum d’un individu déclarant qu’il leur avait escroqué 1.000 livres » (extrait de Slate).

 

Comment agir ?

Plus de collaboration entre les entreprises, entre le public et le privé, et au niveau international est nécessaire. Une collaboration qui repose aussi sur la dénonciation des crimes. En France, entre 2016 et 2017, le nombre de faits portés à la connaissance de la gendarmerie a bondi de 32 %. Soit plus de 63 500 affaires (page 76 de la 2ème édition du rapport sur l’état des menaces liées au numérique, établie par l’ensemble des services du ministère de l’intérieur, sous la coordination de la Délégation ministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) -juin 2018).

Vous avez découvert une faille de sécurité ou une vulnérabilité et vous souhaitez la déclarer ?

C’est désormais possible grâce à la loi pour une République numérique. Vous trouverez tous les détails sur le site de l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information.

FavoriteLoadingAjouter à mes favoris

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.