L’agence
de cyber-sécurité américaine White Ops tire la sonnette d’alarme. En effet, la
firme spécialisée dans la fraude publicitaire a dévoilé, mardi 20 décembre,
l’existence d’une vaste opération d’escroquerie publicitaire montée par des
hackers russes. En créant de faux sites, alimentés par un faux trafic, le
réseau Methbot génèrerait jusqu’à cinq millions de dollars par jour.
« Nous
n’avons jamais vu ça », affirme Michael Tiffany, le cofondateur et PDG de
White Ops. « Methbot élève la fraude publicitaire à un tout nouveau niveau
de sophistication et d’échelle.»
« Une opération révélant un grand
génie »
Comme
l’explique le New York Times, l’opération Methbot – nommée ainsi en référence à
la drogue meth dans son code – a utilisé des centaines de serveurs disséminés
aux États-Unis et aux Pays-Bas pour générer un trafic fictif. Elle a ainsi pris
le contrôle de plus de 500 000 millions d’adresses IP auxquelles les opérateurs
ont attribué différents fournisseurs Internet pour brouiller les pistes.
À chacune de
ces adresses IP, les hackers ont également attribué des bots, des programmes
conçus pour imiter les habitudes de navigation d’un humain, qui avaient pour
directive de charger des pages Web et des vidéos rémunérées par des publicités
payées au prix fort par des annonceurs. “Les bots vont lancer et arrêter une
vidéo, comme le ferait n’importe quelle personne, ils vont aussi bouger la
souris et cliquer », explique Michael Tifffany dans le journal américain.
« Des sites de premier plan
utilisés »
Le Wall
Street Journal rapporte que, pour gagner de l’argent grâce à cette armée de
faux internautes, les opérateurs russes ont piégé des annonceurs en se faisant
passer pour 6 000 sites de premier plan : des médias tels que CNN et Fox News,
des réseaux sociaux comme Facebook ou encore des sites de marques comme
Pokémon.
Selon un
rapport de l’Association of National Advertisers, la fraude publicitaire
mondiale aura coûté 7,2 milliards de dollars aux annonceurs en 2016. Ces
experts américains estiment qu’entre 10 % et 30 % des publicités en ligne sont
sujettes à des pratiques frauduleuses.
Des
pirates s’appuient sur des fausses pubs pour diffuser à des millions
d'internautes un malware particulièrement sophistiqué, qui s’appuie sur
de multiples techniques de dissimulation.
Voilà encore une preuve que les
cybercriminels deviennent de plus en plus malins. Les chercheurs en
sécurité d'Eset viennent de mettre la main sur un malware qui exploite
des failles dans Internet Explorer et Flash Player, et dont le code est
caché directement dans les pixels d'une image de publicité. C’est
pourquoi il a été baptisé « Stegano », en référence à la stéganographie,
l’art de dissimuler des messages secrets dans des choses en apparence
anodines, comme ici une pub en ligne.
L’impact de ce malware, en revanche, est loin d’être anodin.
Selon Eset, la publicité vérolée a été diffusée entre autres sur des
sites d’actualités très populaires, lui permettant d’être affichée par « plus d’un million d’internautes », explique Robert Lipovsky, l’un des chercheurs d’Eset, dans une note de blog.
L’attaque se déroule de façon totalement automatique, la victime n’a
pas même pas besoin de cliquer sur la publicité. D’après les chercheurs,
Stegano a été utilisé par les cybercriminels pour installer sur les
machines des victimes des chevaux de Trois bancaires, des portes
dérobées et des logiciels espions. Mais en théorie, il n’y a pas
vraiment de limite. « Les victimes pourraient également être confrontées à de méchantes attaques de ransomware », souligne Robert Lipovsky.
Techniquement, l’attaque Stegano
se déroule en plusieurs étapes. Lorsque la publicité malveillante
s’affiche pour la première fois, elle exécute un premier code Javascript
assez inoffensif qui va récolter des informations basiques sur
l’environnement matériel et logiciel de la machine. Si celui-ci est jugé
intéressant, le serveur va remplacer l’image de la publicité par un
clone vérolé. La seule différence avec la première image est un
paramètre appelé « alpha channel », qui définit le niveau de
transparence d’un pixel. Or, ce paramètre représente en réalité un
message secret que le précédent code Javascript va extraire et
assembler, pixel après pixel. A l’œil nu, la différence est presque
imperceptible. Comparée à l’originale, l’image vérolée semble juste
légèrement brouillée.
L’encodage du message est relativement
simple : les alphas de deux pixels consécutifs représentent
respectivement le chiffre de dizaine et le chiffre d’unité du numéro
d’un caractère ASCII, à un calcul près. Exemple : les alphas 239 et 253
donnent, après quelques opérations, le chiffre 102 qui représente la
lettre « f ». Le texte ainsi récupéré est un second code Javascript,
nettement plus intrusif. Une fois exécuté, il va exploiter une faille
dans Internet Explorer (CVE-2016-0162) permettant d’analyser le contenu
de l’ordinateur. Il cherchera en particulier à savoir si un antivirus
est installé ou s’il s’agit de l’ordinateur d’un chercheur en sécurité
(présence d’un bac à sable ou d’un analyseur réseau tel que Wireshark
par exemple).
Un cheval de Troie codé dans une image GIF
Si la voie est dégagée, il va créer un iframe invisible pour
y charger un fichier Flash malveillant. Celui-ci peut exploiter trois
failles différentes dans le lecteur Flash, en fonction de la version
rencontrée (CVE-2015-8651, CVE-2016-1019 et CVE-2016-4117). Un code
shell est ensuite installé pour détecter – à nouveau – les éventuels
produits de sécurité qui pourraient faire obstacle. Et c’est seulement à
ce moment qu’il va récupérer depuis un serveur la « charge utile »,
c’est-à-dire le cheval de Troie ou le logiciel espion final pour lequel
toute cette attaque a été réalisée. Celui-ci est téléchargé sous la
forme… d’une image GIF.
Stéganographie, analyse de fichiers, détection de produits de sécurité,
camouflage des fichiers téléchargés… Avec Stegano, les cybercriminels
montrent à quel point ils maîtrisent désormais les techniques de
dissimulation. Heureusement, ce n’est toujours pas suffisant pour rester
totalement indétectable. Les principaux pays ciblés sont la République
tchèque, le Canada, la Grande-Bretagne, l’Australie, l’Espagne et
l’Italie. Pour se protéger, le meilleur moyen est de mettre à jour
Internet Explorer et Flash Player, car les attaquants s’appuient sur des
failles connues. Voire de ne plus utiliser ces logiciels aujourd'hui
dispensables. L’usage d’un antivirus ou d’un bloqueur de pub peut
également mettre l’internaute à l’abri.
Des
chercheurs en sécurité ont élaboré une méthode logicielle permettant, à
partir d'un numéro de carte, de trouver sa date de validité, son
cryptogramme visuel et même le code postal de l'utilisateur.
En 2016, l'e-commerce français devrait
franchir la barre des 200.000 sites de vente en ligne, ce qui
représentera une croissance de plus 16 % par rapport l’année précédent
(source: Fevad). Cette multiplication des sites est une bonne nouvelle
pour l'économie, mais pas vraiment pour la sécurité des moyens de
paiements. Car ces différents sites permettent de manière indirecte de
faire fuiter les données sensibles d'une carte bancaire, tel que son
cryptogramme visuel (CVV).
En effet, des chercheurs en sécurité de la Newcastle
University et de l'University of Kent ont constaté une assez grande
disparité dans la validation des données de carte bancaire. La plupart
demandent le numéro de carte, la date de validité et le CVV. Mais
certains se contentent du numéro de carte et de la date de validité.
D'autres, au contraire, réclament en plus un numéro de code postal. L'étude des chercheurs
montre qu'en connaissant un numéro de carte bancaire Visa, ces
divergences de procédure permettent à un attaquant de deviner tous les
autres données en l'espace de quelques secondes seulement.
Pour y arriver, il suffit de tester méthodiquement les
différentes possibilités sur les différents sites e-commerce. Une telle
attaque par force brute est possible car le nombre de sites et le nombre
de tentatives qu'elles autorisent est assez grand. Ainsi, pour deviner
la date de validité, l'attaquant se limitera aux sites qui ne demandent
que deux données. Il y en a 26 parmi les 400 plus grands sites
e-commerce, ce qui est largement suffisant. Il faut au plus soixante
essais pour la deviner, car la durée de validité d'une carte bancaire
n'excède pas 60 mois, selon les chercheurs.
Ensuite, pour deviner le CCV, l'attaquant se
concentre sur les sites qui la réclament. Il y en a 291 parmi les 400
plus grands sites e-commerce, dont 266 qui autorisent au moins 6
tentatives. Là encore, c'est largement suffisant. Un millier d'essais
suffisent pour deviner ce petit numéro à trois chiffres. Pour trouver le
code postal, en revanche, c'est plus compliqué. Il faut d'abord
restreindre l'espace de recherche en identifiant le pays d'émission, ce
qui est possible sur des sites tels que www.exactbins.com ou
www.bindb.com.
En France, cela donnerait a priori 6.300 codes postaux à vérifier. C'est
beaucoup, mais possible, car certains sites e-commerce autorisent un
nombre d'essais illimité.
Les chercheurs ont effectué des tests à partir de sept
cartes bancaires Visa. Ils ont développé un logiciel qui automatise les
essais de validation sur une trentaine de sites e-commerce. Résultat: en
partant d'un numéro de carte bancaire, ils réussissent à obtenir toutes
les autres informations en moins de… quatre secondes! Cette méthode est
donc incroyablement efficace.
Une faille systémique
Plusieurs raisons rendent cette faille de sécurité
particulièrement inquiétante. Tout d'abord, il est de moins en moins
compliqué pour un pirate d'obtenir des numéros de carte bancaire. Il
peut se rendre sur le Darkweb où ils sont vendus par lot. Il peut aussi
tenter de les capter dans une foule de gens, grâce à un lecteur NFC. Le
pirate peut aussi essayer de générer des numéros au hasard, grâce à
l'algorithme de Luhn, utilisé pour une validation strictement
mathématique du numéro.
Le second problème est le caractère systémique de cette
faille. Elle ne provient pas d'un bug logiciel, mais de la manière dont
le paiement en ligne est techniquement organisé, avec sa multitude
d'acteurs impliqués: sites e-commerce, passerelle de paiement, réseau de
paiement, établissements bancaires.
Ainsi, ce type d'attaque par force brute pourrait être évité si tous les
sites réclamaient les mêmes informations. Mais vu le nombre de sites
e-commerce, il sera compliqué de mettre tout le monde d'accord.
L'idéal, selon les chercheurs, serait de détecter l'attaque
sur un numéro de carte au niveau des réseaux de paiement (Visa,
Mastercard, American Express…), car ils sont les seuls à avoir une
vision globale des transactions. Chez Mastercard, d'ailleurs, l'attaque
ne fonctionne pas. Les chercheurs supposent donc que ce réseau dispose
d'un système de détection approprié. Côté utilisateurs, en revanche, il
n'y a pas vraiment de solution. Sauf à remplacer sa carte Visa par une
carte Mastercard.
Vladimir
Poutine a multiplié depuis sa réélection en 2012 les lois renforçant le
contrôle de l'Etat sur l'Internet sous couvert de lutte contre
l'extrémisme.
REUTERS/Sergei Karpukhin
La Russie s'est dotée, mardi
6 décembre, d'une nouvelle doctrine de « sécurité informatique et
informationnelle », approuvée par Vladimir Poutine. Il s’agit pour la
Russie de « prévenir des conflits militaires que pourrait provoquer l'utilisation des technologies informatiques », mais aussi de développer ses propres technologies de façon à s’affranchir des influences étrangères.
Avec notre correspondante à Moscou, Muriel Pomponne
Le texte constate que l’industrie russe des technologies de
l’information et de la communication reste très dépendante des
technologies étrangères et donc des intérêts géopolitiques de
l’étranger. Il propose de former des cadres dans ce secteur afin de
mettre un terme à cette dépendance.
Un des buts de la Russe est de « développer un système national de contrôle » de l'Internet russe, et d’interdire au secteur public d’utiliser les technologies étrangères. Le texte relève également « une
tendance à la hausse dans les médias étrangers de publications
d'articles ayant un ton négatif sur la politique de la Russie ».
Pour rendre son image « objective » à l’étranger, la Russie a
l’intention d’utiliser largement les nouvelles technologies. Et elle est
prête à faire face à une stratégie qui vise à défigurer les faits
historiques, afin d’exercer une pression idéologique sur la Russie.
Il s'agit enfin, de contrer les tentatives d'« influencer la
population russe, notamment la jeunesse, dans le but d'éroder les
valeurs spirituelles et morales traditionnelles russes ». Parmi les
entités hostiles à la Russie, le document cite les groupes terroristes
et extrémistes, les communautés ethniques et religieuses, et les
organisations de défense des droits de l’homme.