Newsletter Sécurité 07/12 2016, Descendez avec nous, à la nuit tombée, dans les cyber-catacombes, le lundi 19 décembre

Bonjour,

Amis lecteurs, prenez le risque de nous accompagner, au soir, à l’heure où les démons s’éveillent, pour une visite guidée à travers le web sordide, celui du crime.

Il existe dans le cyberespace un endroit infiniment plus vaste que celui que vous connaissez et auquel vous accédez par les moteurs de recherche, c’est le web profond. Et encore plus bas que le web profond, commence un espace redoutable dans lequel s’animent des places de marché, où n’entre pas qui veut, et ne reste pas longtemps qui peut. C’est l’espace où les truands se rencontrent, où des rançonneurs s’équipent pour vous envoyer des cryptovirus et vous prendre en otages, où des artilleurs assènent des dénis de services distribués sur vos systèmes d’information pour vous faire disparaître de la toile, où des voleurs d’identités numériques se superposent à vous pour vous dépouiller. C’est le lieu sordide de tous les dangers. Parfois une bulle nauséabonde monte à la surface de l’Internet visible et la presse en fait largement écho. Mais en bas, ça grouille et ça s’active, toujours.

Tout est à vendre dans les marchés noirs de la cybercriminalité pour permettre l’attaque des couches physiques, des couches applicatives et protocolaires, et des couches sémantiques du cyberespace. Pour prospérer dans ce monde occulte et très lucratif, il faut y être introduit, il faut être parrainé. Il faut utiliser, pour diluer les pistes, de routeurs en routeurs, de chiffrement en déchiffrement, un réseau d’anonymisation, ou en tout cas de pseudonymisation tel que TOR (The Onion Router) et un navigateur conçu pour. Et pour y rester, il faut acquérir des points en prouvant son honnêteté (toute relative dans sa malhonnêteté) et son sérieux parmi ses pairs, il faut inspirer de la confiance aux crapules.

Croyez-vous que ceux qui vous attaquent sont des criminels toujours très compétents en informatique ? Croyez-vous qu’ils forgent leurs propres outils ? Non, il suffit de payer, les bitcoins sont appréciés, et on repart avec son kit de fabrication de maliciels, on s’offre quelques heures de location de botnets pour lancer des attaques en dénis de services distribués pour saturer et faire disparaître de la toile les serveurs de ses concurrents, on loue un service d’envoi de dizaines de millions de spams pour un prix qui reste accessible. Et parfois on s’offre l’utilisation d’une quantité gigantesque de caméras de surveillance infectées, et autres objets connectés, dits intelligents mais pas conçus « security by design », pour exécuter des actions qui n’étaient pas vraiment prévues dans leur fonctionnement nominal. Et pour assister les moins érudits, il y a un service après-vente !

Le « Crime as a Service », voilà ce qu’est le darknet, espace noir où la pègre s’approvisionne en produits et services pour en faire baver votre pays, votre organisation et vous …

Le Lundi de l’IE de décembre, du cercle d’Intelligence Economique du Medef Ile-de-France, sera animé par un expert, Yassir Kazar, qui mène des activités tout à fait avouables. Yassir n’est pas un cybercriminel, il reste du côté clair de la force. C’est un ami très recommandable, membre de l’ARCSI et président de la société de services Yogosha. Yassir mène une activité éthique de chercheur de failles dans les logiciels développés par ses clients. Il donne des sensibilisations contre le darknet dans des écoles d’ingénieurs et des universités.  C’était l’un des deux animateurs du Lundi de l’IE du mois de septembre sur le Bug Bounty avec, côté juridique, Maître Isabelle Landreau. Il connait bien les méandres du darknet et les traces que les cybercriminels y laissent parfois.

Mais que vient-il faire dans cette galère ?

Je lui donne la plume :

« Pourquoi je me suis intéressé au darknet ? Tout d'abord par curiosité intellectuelle et par intérêt personnel : comment naviguer dans l'anonymat. Je m'y suis aussi intéressé car c'est un outil de veille au quotidien sur lequel on peut trouver énormément d'informations. Enfin j'enseigne ce thème dans des écoles d'ingénieurs ou de commerce et je dois de me tenir à jour pour espérer répondre aux milliers de questions dont je suis bombardé par mes étudiants. »

Je reprends la plume.

Yassir nous fera profiter de ses connaissances acquises sur cet espace très particulier, pour une visite guidée de ce monde caché, source de bien des légendes.

Alors le darknet, mythe ou réalité ?

Ce Lundi de l’IE de décembre se fera le lundi 19 décembre de 18h00 à 20h00 au 10 rue du Débarcadère, Paris 17e – métro Porte Maillot. Évènement gratuit comme tous nos « Lundi de l’IE ». Téléchargez la plaquette de l’évènement en :

 http://www.medef92.fr/files/2016/11/Pr%C3%A9sentation1.pdf et remplissez le formulaire d’inscription en ligne en http://www.medef92.fr/lundi-de-lie-darknet.html.

L’individu qui est assis entre votre chaise et votre clavier saura, s’il vient, d’où partent ces attaques lancées par des criminels si proches de vos moyens d’accès à l’information, même si parfois géographiquement ils en sont très éloignés. Mais qu’est-ce qu’une distance dans le cyberespace ?

Le grand amphi de 300 places dans lequel se fera notre Lundi de l’IE est encore tout vibrant des interventions du colloque annuel du cercle d’Intelligence Economique du Medef Ile-de-France, tenu en novembre, sur le sujet « L’entreprise et les attentats : Faire face ! ». Si vous êtes venus à ce colloque, vous avez pu apprécier comment ce sujet, hélas d’une brûlante actualité, a été traité et par quelles personnalités ! Mais si vous n’êtes pas venus, vous n’aurez pas tout raté car une retranscription a été faite par Bernadette Leroy, présidente d’Aesatis, et diplômée du MBA Management de la Sécurité des Données Numériques de l’Institut Léonard de Vinci. C’est déjà ou ce sera très bientôt sur : http://www.medef92.fr/colloque-intelligence-economique.html

Mais attention ! On fera pas ça tous les jours. Notre Lundi de l’IE de décembre porte sur un sujet inquiétant, difficile à reproduire dans un compte-rendu écrit.

Nous verrons à quel point le côté obscur de la force est inquiétant et condamnable, mais qu’en est-il pour le côté clair, celui qui est du côté de la loi ?

Je lis actuellement un livre écrit par maître Olivier Iteanu, avocat à la cour, au barreau de Paris et agitateur d’idées dans le numérique ; son titre : « Quand le DIGITAL défie l’état de droit » aux Éditions Eyrolles. Ce livre édifiant souligne le bouleversement que la transformation numérique fait subir aux modèles économiques écrits depuis des décennies et les modifications que le droit semble contraint d’accepter sous la pression du numérique qui envahit toutes les sphères de la société moderne. Olivier Iteanu évoque l’exemple des contrats qui lient le prestataire à l’utilisateur qui accepte, souvent sans le lire, l’inacceptable. Il accepte, par exemple, dans les « Conditions Générales d’Utilisation » qu’une juridiction étrangère, le plus souvent de la Silicon Valley, gère les litiges. En droit français, pour des Français qui résident en France, c’est inconcevable et c’est pourtant comme ça que ça marche …

Comme vous voyez, côté clair, comme côté obscur, il y a à redire.

Au lundi 19 décembre, accueil à partir de 17h30 au 10 rue du Débarcadère, Salle Pradeau (niveau -1). Ce sera un plaisir pour nous de vous faire frémir.

Gérard

Agenda de décembre 2016

  • Lundi 19 décembre 18 h 00 à 20 h 00 : 10 rue du débarcadère Paris 17e Lundi de l’IE du Medef Ile-de-France – Le darknet, terrain de jeux pour les cybercriminels – Inscription sur http://www.medef92.fr/lundi-de-lie-darknet.html

Tous ces évènements sont gratuits, sauf peut-être la bûche pour le 25 décembre.