Cette article est de la catégorie Services et du dossier Coopérations internationales Sécurité et stabilité

Où le bât blesse sur Internet

Un polar qui illustre l'importance d'une collaboration au-delà des frontières.

Texte: Silvio OertliMartin Leuthold, publié le 19.09.2016

Esch-sur-Alzette, Luxembourg, 6 heures. Par un matin clair, Jean-Pierre Gadier met en marche la machine à café dans sa maison familiale et ouvre son ordinateur portable pour consulter ses e-mails avant de partir pour son bureau. Le directeur d'hôpital trouve un message portant PayPal comme expéditeur. «Mon compte PayPal a été fermé par mesure de sécurité?» s'étonne Gadier, qui clique sur le lien indiqué afin de vérifier les indications de son compte. Voyant apparaître www.bellos-zahnarzt.ch/paypalverify.php sur la ligne d'adresse de son navigateur, il s'inquiète. Par mesure de sécurité, il envoie l'URL à l'Abuse Checker du CERT Luxembourgeois.

Au Computer Incident Response Center Luxembourg (CIRCL), l'adresse de dentiste canin indiquée par Gadier est vérifiée automatiquement et transmise à SWITCH-CERT par une plateforme antiphishing européenne.

Le détenteur du domaine est informé

Ce matin, les premières gouttes de pluie tombent déjà sur Zurich lorsque le «Certie of the Week» ouvre l'application Domain Abuse. En examinant les noms de domaines annoncés, il tombe sur l'URL du dentiste canin. Comme la loi l'exige, le Certie informe les responsables du domaine et les rend attentifs à l'abus. Le Certie est encore occupé à classifier les domaines victimes d'abus, et déjà, le téléphone sonne et le détendeur de bellos-zahnarzt.ch, Karl Bandmeier, est à l'appareil. «Vous m'avez envoyé un e-mail avec un texte étrange. De quoi s'agit-il?» Le Certie explique qu'il a été abusé du site à des fins de phishing, et la manière dont Bandmeier peut y mettre fin. Il signale que SWITCH s'intéresse au protocole des accès, afin de voir éventuellement qui a mis la partie phishing sur le site. Bandmeier est heureux de ces indications et envoie les données demandées à SWITCH-CERT.

L'adresse IP est identifiée

Quelques scripts plus tard, le Certie a une idée de la procédure employée par le fautif. Il parvient à identifier une adresse IP depuis laquelle les sites de phishing ont été téléchargés et sait où vont les données saisies. L'adresse IP fait partie d'un domaine d'hébergeur situé en Thaïlande.

Le Certie fournit immédiatement les informations sur l'adresse IP suspecte au CERT thaïlandais. Celui-ci alerte les autorités locales, et le serveur correspondant est retiré du réseau. Après que les autorités thaïlandaises ont évalué les données, SWITCH-CERT reçoit une liste des personnes touchées en Suisse et les informe par l'intermédiaire de ses partenaires.


Affronter les criminels

Cette histoire montre que de tels incidents sont traités rapidement grâce à l'étroite coopération mondiale au sein de la CERT Community. Cela permet de minimiser le danger pour chacun. Elle montre également que la lutte contre le crime doit avoir lieu au-delà des frontières nationales – et au-delà de celles des organisations et entreprises. La cybercriminalité est actuellement l'affaire d'une mafia virtuelle sans frontières. Une industrie agissant dans l'ombre est apparue, qui fonctionne selon des principes d'économie de marché et fait des chiffres d'affaires de plusieurs milliards. La National Crime Agency britannique a déclaré que les dommages causés cette année par la cybercriminalité dans son pays seront plus élevés que ceux des crimes conventionnels. Les dommages dus au crime sur Internet sont estimés à plusieurs milliards de livres Sterling.

Pour préparer des attaques sur mesure contre des cibles intéressantes, les organisations criminelles sont prêtes à investir des mois ou des années et des sommes de plusieurs millions. De par leur activité, ils disposent de moyens très importants. En outre, ils ont l'avantage de ne s'arrêter ni aux frontières nationales, ni à celles des juridictions – contrairement aux organisations, entreprises et autorités de poursuite pénale attaquées. A cela s'ajoute que notre dépendance vis-à-vis de l'informatique augmente considérablement du fait de la numérisation dans tous les domaines de la vie. Cela fait que le nombre de cibles intéressantes se multipliera. Selon la nouvelle politique révisée de sécurité du Conseil fédéral, les hautes écoles, avec leurs grands effectifs de données sur des personnes et sur la recherche appliquée, comptent également parmi les objectifs critiques.

La sécurité informatique subira de grands changements. Les facultés de détecter rapidement les incidents, de réagir de manière appropriée et réussie, ainsi que de se procurer une Threat Intelligence adéquate et de haute qualité sur le plan national et régional seront au centre des préoccupations. Ces domaines relèvent des compétences centrales de SWITCH-CERT. Chez SWITCH, nous travaillons systématiquement à développer la coopération nationale et internationale, afin de garantir à haut niveau la sécurité des hautes écoles avec leurs organisations internes. Seule une coopération renforcée nous permettra, à l'avenir également, d'affronter les cybercriminels.

L'auteur
Silvio   Oertli

Silvio Oertli

Silvio Oertli a achevé en 2006 des études en cours d'emploi en informatique technique à la Haute Ecole Spécialisée de Zurich. Après quelques années d'activité en poursuite pénale, il est entré en 2015 au service de SWITCH. Il dirige actuellement l'équipe CERT pour les universités et la registry.

E-mail
L'auteur
Martin   Leuthold

Martin Leuthold

Après ses études à l'EPF de Zurich, Martin Leuthold a travaillé dans diverses fonctions de Security en Suisse et à l'étranger, entre autres comme CISO auprès d'un groupe industriel multinational. Depuis 2016, il dirige la division Sécurité chez SWITCH.

E-mail

20 ans de SWITCH-CERT

SWITCH-CERT a été reconnu officiellement sur le plan mondial par le service de coordination de tous les CERTs en 1996. Cela lui a facilité l'accès à une appartenance régulière au „Forum for Incident Response and Security Teams“ mondial FIRST. SWITCH-CERT fête donc cette année son 20ème anniversaire. A cette occasion, vous trouverez parmi nos Stories des articles sur SWITCH-CERT, entre autres l'histoire de SWITCH-CERT.

Autres articles