USI2012 Marc Goodman, le business des données illégales, des innovations venues du monde criminel

Cette présentation était vraiment originale et très enrichissante. Parler de sécurité peut vite devenir ennuyant, mais Marc Goodman est un oiseau rare. Il est capable de vous expliquer le plus calmement du monde comment acheter un numéro de carte bleu, ou comment un commando Indien s’est fait tué en 2008 suite à un tweet malheureux d’un touriste. Petite plongée dans le monde du crime organisé et du terrorisme.

Avant de commencer, je suis allé voir qui était le speaker, histoire de comprendre un peu à qui nous avions à faire. Marc Goldmann est un consultant dont le métier est de comprendre comment les nouvelles technologies sont utilisées par les terroristes et le crime organisé. Il a collaboré avec Interpol, les Nations unies et l’OTAN. Fondateur du Future Crimes Institute il forme les policiers et reste encore aujourd’hui Senior Advisor chez Interpol. Il parle d’ailleurs plutôt bien Français.

Le crime globalement c’est un marché de 2 millions de millions de dollar, soit  car les américains n’utilisent pas le même trillion que nous (10^18). Bref un sacré paquet d’argent. Cela représente 7% de l’économie globale et le 20ème pays le plus fortuné  au monde (source sur Yahoo! News). Toute cette puissance, ce pays virtuel en quelque sorte, est en guerre contre vous, et particulièrement votre porte-monnaie.

Le crime organisé est dans le Cloud depuis longtemps. Il n’y a pas de soucis de livraisons lorsque Dimitri, notre cyber terroriste vous commande le développement d’un logiciel. Il n’y a pas d’ailleurs de développements de projets en cycle itératif. Soit ton logiciel marche, soit tu prends une balle. Le rêve pour certains chefs de projet non ?

L’un des soucis aujourd’hui est que chaque jour, nous créons des donnés. Et la donnée, bien exploitée, devient un superbe outil qui risque de se retourner contre nous si nous n’y prenons pas garde. Nous sommes aujourd’hui des bombes à retardement qui fuient (leak en anglais) et qui laissent des données un peu partout sur Internet. Le crime organisé s’intéresse à votre carte de crédit, votre dossier médical, vos cartes de fidélités, votre messagerie vocale, votre carnet d’adresse email, votre smartphone, bref tout ce qui peut avoir une valeur sur le marché noir.

Marc Goldmann revient sur le métier de Bandit des grands chemins. Au moyen-âge, le business était simple. Vous achetiez un couteau, vous vous mettiez dans la forêt et dès qu’un riche villageois passait… couic, la bourse ou la vie. Le souci c’est que pour faire une bonne journée, il fallait détrousser une vingtaine de personnes, au risque de se faire tuer. Bref un business qui ne scale pas beaucoup. Lorsqu’ensuite la technologie a évolué, le voleur s’est aussi modernisé. Ainsi au Far-West, il était très rentable d’attaquer les trains plutôt qu’une diligence. Avec une bonne équipe, vous pouviez détrousser les 200 passagers d’un seul train. Pas mal non ?

Pourquoi les voleurs attaquent les camions blindés ou les distributeurs d’argent ? Car c’est là que se trouve l’argent. Or aujourd’hui, pourquoi un voleur va-t-il s’attaquer à votre profil Facebook ou votre compte PlayStationStore ? Car c’est là qu’est aussi l’argent, mais ça, vous ne le savez pas encore.

Après l’attaque des trains au Far-West, à votre avis que vise le pirate aujourd’hui ? Les plateformes globales de jeux en ligne par exemple. Vous vous souvenez de l’affaire Sony et du hack du Play Station Store ? L’an dernier, en avril 2011, le système PSN est piraté. 77 millions de comptes hackés, une belle prise comparé à mes 200 voyageurs du train de tout à l’heure non ? L’autre jour c’est LinkedIn qui a eu un petit souci, hop 6.4 millions de compte dans la nature, avec au passage la possibilité d’utiliser l’accès API LinkedIn pour entrer sur d’autres sites… Et que je te rajoute des contacts, que je te change ta réputation discrètement…

On ne se rend pas compte de l’activité des pirates sérieux ou non. Les virus aujourd ‘hui par exemple, comme l’explique Marc Goodman, n’ont plus rien à voir avec les virus destructeurs d’il y a 10 ans. Aujourd’hui l’objectif d’un virus est d’entrer sur votre ordinateur et d’espionner ce que vous faîtes, à votre insu. Pas de jouer une musique avec une tête de mort sur l’écran avant de détruire votre disque dur. Non, aujourd’hui vous êtes une matière première et le cyber-criminel a besoin de vous. Le pétrole c’est toi Jacqueline, qui clique sur les liens en .ro reçus par emails… et qui  transforme ensuite ton ordinateur en boite de passe pour les cyber-criminels.

Il y a plus de 2 millions de nouveaux malware par jour, et on compte environ 286 millions de malwares différents (virus, trojan, adware, spyware). Saviez-vous par exemple que le Creeper, en dehors d’être un petit monstre vert explosif du jeu Minecraft, est le premier virus et qu’il date de 1970 ?

Les cyber-criminels sont des génies. Au lieu par exemple d’attaquer un compte bancaire et de retirer 100 000 euros, il est plus facile d’attaquer 100 000 personnes et de leur retirer 1 euro. Repensez à nos 6.4 millions de comptes Sony, imaginez un programme capable ensuite de traiter le volume de ces joueurs, d’extraire leur profil Facebook, de déterminer le nom de leur banque, ensuite d’utiliser un call-center avec des personnes qui parlent la langue de ce compte pour tenter une attaque de type Social-Engineering… Oui c’est assez effrayant.

A ce propos je ne sais pas si vous êtes chanceux, mais moi je reçois chaque jour des propositions de transfert d’argent de fils, cousin ou amis de dictateurs qui me demandent de l’aide pour rapatrier des millions de dollar en Europe. Pas plus tard que la semaine dernière j’avais Khadafi qui voulait faire un deal avec moi pour faire transférer des millions de dollars. Je lui ai répondu poliment que je n’étais pas libre en ce moment.

Le vol puis la revente des donnés personnelles/bancaires  a créé un véritable marché parrallèle.

Marc Goodman explique ainsi qu’un numéro de carte de crédit valide se vend 10 euros. Lorsqu’un site marchand s’est fait craquer récemment, il y avait tellement de numéros de CB sur le marché que la « valeur » de revente d’un numéro est passé de 10 USD à 2 USD.

A quand la bourse avec la quotation de la fausse carte bancaire ?

Il existe 2 types d’internet aujourd’hui. Celui de monsieur tout le monde et celui de monsieur-pas-tout-le-monde. Il existe un côté obscur, plus difficilement accessible, sauf si vous êtes un Geek. La taille de ce web cachée est difficile à déterminer.

Toutes les données piratées sur une machine sont ensuite mises en vente sur d’énormes marchés obscurs et fermés, sur des réseaux virtuels complètement fermés du type Darknet. Très pratique, ceci permet de se créer des réseaux de confiance dans lequel vous pouvez échanger avec des personnes que vous connaissez. Il existe de nombreux logiciels, Freenet, Retroshare et autres qui permettent de mettre en place ce type de réseau rapidement. Sur cet open data bazar, la carte de crédit valide est vendue entre 2 et 90 USD selon le plafond de paiement de la carte. Vous pouvez acheter un cloner de carte bleue pour 200 USD.

Marc Goodman explique qu’il a vu récemment des pirates qui proposaient un faux distributeur de billets pour 35 000 USD. On en trouve pas en France ou très rarement dans les hôtels. Il s’agit de petits distributeurs de billet sur pied, qui permettent de retirer de l’argent avec une Visa ou une MasterCard. Et bien les pirates installaient cette machine dans le hall d’un centre commercial et voici comment fonctionnait le piège : le visiteur du centre commercial passe devant la machine et s’arrête pour faire un retrait. Il entre sa carte dans le lecteur, tape son code, la machine répond alors « code erroné« . Il retape une deuxième fois le code… la machine dit « code erroné« . Il abandonne alors la transaction et repart avec sa carte dans la poche, pensant avoir à faire une machine capricieuse.

En fait pas du tout. Grâce à sa manipulation, la fausse machine a recopié la carte et dispose maintenant aussi du code PIN de l’utilisateur. Et tout ceci permettra de refabriquer une carte de paiement valide… Bref…

Sur le marché noir, Marc explique encore qu’un numéro de compte valide avec un solde de 82000 USD se trouve pour 700 USD. Attention, vous n’avez pas accès au compte, il faudra ensuite mettre en oeuvre d’autres techniques pour avoir accès au compte, mais que je ne retranscris pas ici sur le blog.

Bref comme il le dit malicieusement, nous sommes aujourd’hui dans l’aire du Crime As A Service (CaaS). Il est possible d’acheter un peu prêt tout et n’importe quoi sur Internet. Drogues, armes, vidéos, je vous laisse imaginer…

En Russie, Marc explique que certaines firmes criminelles sont devenues aujourd’hui véritablement des Amazon du Crime as a Service. Cela donne des choses caustiques comme « Achetez ce numéro de carte bleu, 100% garanti ! S’il ne marche pas, nous vous en donnons un autre« . Dans un autre domaine, le service Silk Road sur le réseau Tor est un vrai Leclerc de la drogue. Il y a eu un numéro en 0-800 pour pouvoir appeler, un véritable service consommateur en quelques sortes…

Concernant l’attaque de son prochain, Marc Goodman explique aussi qu’il est devenu vraiment trop facile de trouver des logiciels « clés en main » comme LOIC (Low Orbit Ion Cannon http://sourceforge.net/projects/loic/) pour exploser un service. Cela entraine aussi parfois une vraie guerre des gangs entre les membres du crime organisé ou non. Et parfois cela se termine mal, mais en vrai.

L’échange et la revente des données valides est un énorme business, qui dépasse aujourd’hui les systèmes juridiques et techniques. Le cyber-crime garde une longueur d’avance et dans ce domaine, comme aussi d’ailleurs dans la pornographie, le développement informatique est toujours au top.

Marc poursuit l’exposé et revient aussi sur l’utilisateur bête des réseaux sociaux, soit un peu prêt toutes les personnes qui utilisent Facebook. Prenez ce superbe jeu, où il faut donner à manger à des poissons. Bon, vous partez en vacances et vous n’aimeriez pas que votre aquarium virtuel et vos poissons virtuels ne meurent.

Que faites-vous ?

Vous demandez à votre copine de surveiller vos poissons. « Marc est absent 7 jours mais Rosita va nourrir ses poissons sur Fishville« . Super, autant laisser la porte de son appartement ouvert et dire à tous les voleurs du coin : hé venez chez moi pour me cambrioler, vous avez 7 jours. Lorsque l’utilisateur débile explique clairement qu’il n’est pas à un endroit, il devient terriblement facile de le cambrioler.

Ne rigolez pas, il existe un service simple développé pour montrer l’absurdité de notre utilisation de Twitter, et qui permet de trouver littéralement des maisons à cambrioler. Le site « Please Robme.com » regarde particulièrement les checkin’s foursquare dans la time line d’un utilisateur.

Le site « I Can Stalk U » qui est aujourd’hui fermé avait aussi créé un système capable d’identifier les méta-datas encodées dans les photos prises par votre smartphone afin de déterminer où vous habitiez ou aussi les lieux que vous aviez l’habitude de prendre en photos…

A propos de mobile, cela va plus loin. Et c’est juste un truc de dingue. Marc raconte cette histoire d’une application iphone qui, si Apple ne l’avait pas bloqué, aurait permis de trouver son dealer, de voir ses prix et d’évaluer la qualité de son produit. Bon alors Bob de la 3ème rue vend de la merde et c’est pas bon… Vous imaginez cela ? Tu veux fumer un arbre ? Il y a une application pour cela. Heureusement qu’Apple a bloqué ce système, présenté par l’éditeur comme un jeu dans la vie réelle…

Autre idée exposée par Marc Goodman, le concept de l’application pour se confesser. Cette superbe application vous permet de raconter tous vos péchés, si vous êtes catholique, et de payer directement un prêtre. Enfin disons que le prêtre s’appelle Dimitri et qu’il va en profiter ensuite pour vous retrouver et vous faire du chantage. Je ne balance pas que tu trompes ta femme si tu me donnes 500 USD. Oui, cette application permettait de faire de l’extorsion de fond. Vous pouviez payer directement dans un menu spécial de l’application, qui ne s’activait qu’une fois que le prêtre avait capturé un bon gros péché valable. Vu que l’application avait aussi capturé votre carnet d’adresse, il était possible d’envoyer un SMS de délation à « Ma chérie » ou « Samantha ». Au choix.

Encore plus fun, il raconte l’histoire d’un virus diffusé avec une application qui permettait au Japon de télécharger des Mangas pornographiques, des Hentais. L’application prenait des photos via la WebCam de l’internaute, en facheuse posture. Je vous laisse imaginer le truc. Une dizaine de jours après l’installation, l’internaute recevait un email embarrassant lui demandant soit de s’abonner pour 1500 Yen, soit l’application inviterait tout son carnet d’adresse à partager « sa joie et ses belles grimaces devant les Hentai ». Lisez l’aventure complète dans l’article « Blackmail virus that target porn addicts ».

L’entreprise

Pour revenir au monde de l’entreprise, Marc explique qu’il existe aujourd’hui des logiciels capables de trouver tous les employés déclarés sur LinkedIn d’une entreprise, puis de chercher sur Facebook et sur Twitter leurs comptes, afin ensuite d’essayer de faire de l’intelligence économique avec ces données. Ceci créé des données qui se revendent, et que les sociétés d’intelligence économique cherchent à ajouter dans leur package.

Interpol n’est pas non plus à l’abri d’attaques. Marc raconte cette histoire cocasse, qui a été sans gravité mais qui a fait réfléchir sur la volonté des pirates. Il y a quelques temps, le secrétaire général d’Interpol déclare : je n’ai pas de page Facebook par sécurité. Quelques jours plus tard, des pirates créent une page avec une photo de l’article où il déclarait ne pas avoir de page Facebook. Tu ne veux pas Facebook ? Pas de soucis, Facebook vient à toi. Les pirates ont ensuite commencé à démarcher d’autres personnalités en utilisant l’identité du secrétaire général d’Interpol. La supercherie a été découverte très rapidement. Mais bon, sur un malentendu… Bref créez une page « bouchon » sur Facebook avec votre nom afin d’éviter que quelqu’un d’autre ne s’en charge, et commence à contacter vos amis (ou à être contacté par vos amis). L’usurpation d’identité sur Facebook c’est assez facile.

Demain nous aurons encore plus de soucis à nous faire. Nous sommes passés récemment d’IPv4 à IPv6. Demain, tous les objets autour de nous seront connectés. Facebook sera au courant du contenu de votre réfrigérateur. Et Dimitri aussi sera au courant de votre frigo. Il revendra cette donnée à prix d’or à des sociétés de marketing, trop contentes et incompétentes pour acquérir ces données elles-mêmes… Vous sera un produit pour notre cyber pirate.

Dans la série des choses sympathiques, qui existent déjà, Marc raconte l’histoire des call-center. Il s’agit de sites Internet, où vous pouvez acheter par exemple un scénario, afin de vous sortir d’un mauvais pas. Disons par exemple que vous avez pris une grosse cuite avec vos amis hier soir, et que vous avez loupé un entretien important ce matin. Grâce à ce service, vous pouvez acheter un mensonge clé en main, qui vous permettra d’arriver à midi au bureau avec par exemple un dossier médical. Vous pouvez même vous faire appeler ou faire téléphoner cette société, afin d’acréditer votre mensonge.

Des sujets moins amusants

Pour terminer, Marc Goodman nous partage une aventure qui est beaucoup moins amusante. En novembre 2008, un commando attaque et tue 173 personnes à Mumbai en Inde, en effectuant une dizaine d’attaques commandos. Le rapport d’enquête montrera que les terroristes étaient équipés avec des téléphones portables, des téléphones satellites et des Blackberry. Et surtout, qu’ils communiquaient avec une base arrière situé  au Pakistan. Dans ce document que j’ai trouvé sur Internet, à la page 7 il y a en effet les détails exposés par Marc Goodman. Pour ce qui a été vécu comme le 11 septembre en Inde, les terroristes utilisaient les nouvelles technologies.

Ensuite Marc expose cette histoire d’une prise d’otages, où un hélicoptère des forces spéciales Indienne dépose sur le toit d’un immeuble des commandos. Un touriste prend une photo et tweet celle-ci avec un hashtag. Que croyez-vous que les terroristes ont fait ? Ils ont attendu le commando lorsque celui-ci a quitté le toit pour pénétrer dans le batiment. Twitter a relayé une information plus rapidement que la télévision, qui n’était pas encore sur les lieux. Lorque l’on repense à l’affaire Merha à Toulouse.. un habitant du coin aurait très bien pu prendre en photo les gars du RAID prêt à intervenir ou à entrer par une fenêtre…

Dans le monde de l’entreprise, Marc termine en donnant une liste des menaces les plus courantes. Ceci permet de comprendre ce qui risque de nous arriver. En premier lieu, les virus. Ensuite l’ordinateur volé, puis la perte d’un smartphone. Chaque année, il y a plus de 12 500 téléphones portables qui sont perdus dans les Taxi. Lorsque l’on sait ce qu’il est possible de trouver dans la mémoire d’un smartphone…

Nous devrons nous habituer à vivre entouré de toutes ces menaces. Il faut rester prudent sur l’utilisation des réseaux sociaux. Au delà du côté amusant, vous créez des données potentiellement utilisables par des cyber-criminels. Pensez-y même si cela vous semble abstrait. Attention à votre téléphone portable, un appareil qui peut se retourner contre vous s’il venait à être volé, ou si vous veniez à installer une application douteuse. Attention aussi aux sites de sauvegarde comme Dropbox. Mettre ses papiers d’identités scannés ou ses bulletins de paies est une très mauvaise idée. Lorsque ce  système sera craqué, vous aurez alors donné votre vie à Dimitri.

Et Dimitri, c’est pas votre copain.

Articles similaires:

USI 2013 – Marc Giget – fin de la 1ère journée Hibernate Shards: partitionnement horizontal des données XP Day France 2009 – jour 2, Dans la peau du Challenger et Business Value Game 10 Personnalités du monde Java à connaître