							Recherche avancée

		¦ Accueil ¦ Nouveautés ¦ Glossaire ¦ Liens ¦ Vos réactions ¦ Contact ¦		¦ Aide ¦ Index ¦ A propos du site ¦

	Risques 2004


	Risques 2005


	Risques 2006


	Risques 2007


	Risques 2008

> home > Risques > Risques 2005 > Extorsion et prise d'otage de fichiers

Extorsion et prise d'otage de fichiers

Un nouveau type d'attaque a fait son apparition sur Internet. Des pirates informatiques, via un cheval de Troie installé à l'insu de leurs victimes, procèdent au chiffrement de leurs données personnelles et leur demandent une rançon en échange de la clé de déchiffrement de leurs données.

1.1. Qu'est-ce que c'est ? Comment cela fonctionne-t'il ?

En liaison avec les tendances en matière de cybercriminalité relevées par le CLUSIF pour l'année 2004 , l'extorsion de fonds devient une des premières motivations d'actes malicieux sur Internet. ( Voir aussi notre fiche sur les cyberdélinquants)

Des actes récents en témoignent, ainsi, des pirates qui ont mis en ligne un site Web malicieux qui tire profit d'une ancienne faille d'Internet Explorer, matchée depuis juillet 2004 (MS04-023), pour permettre l'installation d'un cheval de Troie (Trojan.Pgpcoder ou downloader-aag) sur l'ordinateur de leur victime et à leur insu.

Ce cheval de Troie a pour but de télécharger un programme permettant de chiffrer des données stockées sur l'ordinateur de la victime. Une fois les données chiffrées, celles-ci ne sont plus lisibles par leur propriétaire et les malfrats qui ont lancé l'attaque n'ont plus qu'à contacter leur victime pour lui demander une rançon en échange de la clé de décryptage permettant de déchiffrer les données.

Cet acte, pouvant être considéré comme un acte de terrorisme informatique consistant à prendre en otage les données informatiques de l'ordinateur de victimes, a été mis en évidence par la société de sécurité informatique Websense. [plus d'information sur son site Internet - en anglais]

Les fichiers choisis par les pirates pour être encryptés sont en général des fichiers de la suite bureautique Microsoft Office mais également des images et autres photos numériques stockées sur l'ordinateur de la victime. Le programme malicieux, après avoir choisi une quinzaine de ces fichiers, les crypte puis supprime les originaux. Une fois les fichiers chiffrés et rendus illisibles sans la clé de décryptage, les pirates demandent le versement d'une rançon de 200 dollars pour fournir la clé de déchiffrement.

1.2. Analyse

Ce nouveau type d'acte malicieux met en évidence l'utilisation conjointe de vulnérabilités telles que des failles logicielles non patchées, des mécanismes d'abus de confiance le tout dans un but mafieux d'extorsion de fonds.

Les victimes de ces actes d'extorsion sont les utilisateurs choisis au hasard sur Internet qui se font piéger en surfant sur un site malicieux. Les victimes ont été incitées à visiter le site Internet malicieux permettant le téléchargement du cheval de Troie par des ruses de type

phishing,
spoofing d'URL,
empoisonnement de cache DNS (Pharming attack).

Pour le moment, ce genre d'attaque encore relativement inédit n'est pas encore très au point. Les premières tentatives montrent que le cryptage utilisé n'est pas très solide et peut être cassé par les sociétés spécialisées en sécurité informatique, cependant la tendance d'utiliser la cryptographie pour rendre inaccessible des données en attendant la remise d'une rançon, risque de s'étendre.

Des processus de chiffrement beaucoup plus complexes rendant ainsi la cryptanalyse des informations et le cassage du chiffrement beaucoup plus difficile voire impossible, risquent de faire leur apparition, obligeant ainsi les victimes à payer la rançon pour recouvrer leurs données.

Le perfectionnement de ces attaques pourrait ainsi se faire par le biais d'une plus grande robustesse du mécanisme de chiffrement utilisé mais également dans l'organisation des pirates ( les premiers pirates de cette attaque, pour toucher leur rançon, ont été arrêtés ). La police les avait identifiés à l’aide du numéro de compte sur lequel la rançon a été payée. Néanmoins, si les malfrats se servent des structures mafieuses mises en place pour les attaques de type "phishing", il sera beaucoup plus difficile pour la police de les retrouver.

Bien que la cryptographie soit généralement utilisée pour renforcer la sécurité, elle est ici exploitée dans un but de chantage. Généralement elle sert à renforcer la sécurité :

en assurant la confidentialité des données personnelles et sensibles, aussi bien lors de leur stockage sur ordinateur que durant leur transit sur les réseaux informatiques comme Internet,
en assurant la signature de transactions électroniques,
en assurant l'intégrité des informations,
en assurant l'identité de ses interlocuteurs.

Pour plus d'informations sur la cryptographie, les différents mécanismes mis en œuvre et leur portée, nous vous recommandons de lire le dossier qui lui est consacré.

1.3. Quelle est la faille exploitée et qui est vulnérable ?

La faille qui est à l'origine de cette attaque a été découverte et comblée en juillet 2004 par Microsoft dans le bulletin de sécurité MS04-023.

L'exploitation de cette faille permet l'exécution à distance de code (Remote Code Execution) permettant ainsi à un attaquant de prendre le contrôle complet sur le système de la victime. L’attaquant peut ainsi installer et lancer des programmes, visualiser, modifier ou supprimer des informations. Cette faille permet ainsi le téléchargement et l'exécution du cheval de Troie qui permettra de réaliser cette attaque.

Tout système impacté et non mis à jour depuis juin 2004 est donc vulnérable, et la fraude montre qu'il existe encore suffisamment de tels systèmes non mis à jour.

Les systèmes impactés par cette vulnérabilité sont les systèmes d'exploitation Windows suivants

Microsoft Windows 2000 Service Pack 2,
Microsoft Windows 2000 Service Pack 3,
Microsoft Windows 2000 Service Pack 4,
Microsoft Windows XP,
Microsoft Windows XP Service Pack 1,
Microsoft Windows XP 64-Bit Edition Service Pack 1,
Microsoft Windows XP 64-Bit Edition Version 2003,
Microsoft Windows Server™ 2003,
Microsoft Windows Server 2003 64-Bit Edition,
Microsoft Windows 98,
Microsoft Windows 98 Second Edition (SE),
Microsoft Windows Millennium Edition (Me).

Les systèmes qui ne sont pas impactés par cette vulnérabilité sont les systèmes Windows NT suivants :

Microsoft Windows NT® Workstation 4.0 Service Pack 6a,
Microsoft Windows NT Server 4.0 Service Pack 6a,
Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6.

exceptés les systèmes pourvus d'Internet Explorer 6.0 Service Pack 1 sur Windows NT 4.0 SP6a qui sont sensibles à cette vulnérabilité.
Source : Microsoft.com

1.4. Comment se protéger



Anti-Virus	Patch	Firewall

Puisque la faille exploitée est comblée depuis juillet 2004, la mise à jour de son système et de ses applications est la première mesure de protection à appliquer. Disposer d'un anti-virus à jour pour permettre la détection du cheval de Troie ainsi que d'un firewall pour contrôler et filtrer les entrées/sorties réseau de sa machine vers et depuis Internet sont également des mécanismes de protection efficaces contre ce type d'attaque.

Les sauvegardes régulières de ses données sur support en lecture seule (read only) tel que les CD et DVD ROM pour éviter leur manipulation, modification ou suppression par un programme malicieux est également un mécanisme pour lutter contre la prise d'otage de données. Si les victimes disposaient de sauvegardes récentes des informations prises en otage, ils n'auraient nullement besoin de payer la rançon, il leur suffirait d'éradiquer le cheval de Troie, de supprimer les fichiers inutilisables puisque chiffrés par le programme malicieux et de les remplacer par les versions saines issues de leurs sauvegardes.

---Cédric M.---

  Dernière mise à jour de
  cette page le :
  14-08-2007