Piratage : les distributeurs de billets ne sont pas si bien protégés. Pirater les distributeurs automatiques de billets, c’est possible. La démonstration en a été faite lors de la conférence Black Hat, qui s’est terminée ce 28 juillet à Las Vegas, par le chercheur en sécurité Barnaby Jack, également directeur des recherches chez IOActive Labs. Il a ainsi mis à l’épreuve deux distributeurs automatiques de billets (DAB), de la marque Triton et Tranax, tournant sous le système d’exploitation Windows CE.
Pour mener à bien un premier piratage sur la machine Tranax, Barnaby Jack a utilisé un logiciel développé par lui-même et baptisé Dillinger, capable de contourner les protections du système embarqué sur ce DAB, pour peu qu’il soit connecté à Internet ou à une ligne téléphonique, ce qui est bien le cas de la très grande majorité des distributeurs automatiques de billets. Une fois entré dans le système, Barnaby Jack a fait appel à un rootkit maison nommé Scrooge pour prendre le contrôle de la machine et lui permettre de retirer des dizaines de dollars à volonté.
Cyber-criminalité : le FBI face à des pseudos agents et des “spa. Selon un rapport du FBI, la fraude en ligne s’élèverait à environ 560 millions de dollars aux Etats-Unis en 2009. Un montant en hausse de 111% par rapport à l’année précédente (264,6 millions). Cette évaluation provient de l’Internet Crime Complaint Center (IC3), une mission entre le bureau fédéral d’investigation et le National White Collar Crime Center (centre sur la criminalité financière).
Autre statistique notable : le nombre de plaintes reçues par la police fédérale a augmenté de 22% pour atteindre 336 655 contre 275 284 en 2008. Surprise : les actions malveillantes, dans lesquelles les escrocs se font passer pour des agents du FBI afin d’obtenir des informations auprès de leurs victimes, arrive en première position : elles ont représenté 16,6% de toutes les plaintes reçues. Les fraudes qui concernent des vendeurs ou des sites marchands qui n’ont pas expédié de la marchandise ont représenté 11,9% de l’ensemble des plaintes. Gare au « Hitman scam » : le « spammeur – tueur à gage » Cyber-sécurité : un projet de loi de large ampleur déposé au Sén. Le Sénat américain a préparé un projet de loi sur la cyber-sécurité au sens large, qui vient d’être déposé le 17 mars. Porté par deux représentants de la chambre haute du Congrès : le sénateur John Rockefeller (démocrate) et la sénatrice Olympia Snowe (Parti républicain), le texte a une ampleur assez large puisqu’il développe les thèmes de la cyber-criminalité, du cyber-espionnage et des cyber-attaques. « Face aux menaces du XXIème siècle, nous appelons à une réaction robuste du XXIème siècle de la part du gouvernement, du secteur privé et des citoyens », a déclaré John Rockefeller.
L’objectif final étant de protéger les citoyens, les entreprises et les agences gouvernementales. Le 4 février, la Chambre des Représentants, la deuxième chambre du Congrès, a adopté un projet de loi contenant des mesures similaires (422 voix contre 5). De son côté, cela fait un an que le Sénat s’attelle à son propre projet de loi en procédant à des auditions d’experts IT. Cyber-sécurité : les Etats-Unis pourraient dépenser 55 milliards. Coup de projecteur sur la protection et la sécurité des systèmes et des réseaux critiques ! Aux Etats-unis, l’administration Obama prévoit d’augmenter sensiblement les investissements dans les nouvelles technologies pour renforcer la cyber-sécurité à moyen terme.
Selon le rapport U.S. Federal Cybersecurity Market Forecast 2010-2015, l’enveloppe budgétaire dans ce domaine atteindra 10,5 milliards de dollars d’ici 2015. Cela représentera 11,3% de toutes les dépenses fédérales en 2015 (contre 10,5% en 2010). Au total, sur la période 2010 – 2015, près de 55 milliards de dollars seraient injectés dans la sécurité IT au nom de la protection des intérêts nationaux. Le cabinet Market Research Media, à l’origine de ce rapport, justifie ce renforcement des moyens à double titre : l’augmentation du nombre et l’impact des cyber-attaques et la complexité des infrastructures critiques. Il reviendrait principalement au Department of Homeland Security de gérer ce budget de sécurité IT.
Sécurité IT : une simulation d’attaque majeure sur les systèmes. La France se mobilise pour répondre à une éventuelle cyber-attaque de grande envergure. Selon l’Agence nationale de la sécurité des systèmes d’information, un « exercice de réponse à une crise majeure d’origine informatique » – intitulé PIRANET 2010 – s’est déroulé les 23 et jeudi 24 juin dernier. « Il s’agissait d’un des quatre exercices majeurs de l’année organisés par le Secrétariat général de la défense et de la sécurité nationale (SGDSN) », indique l’ANSSI qui se montre peu disert sur les détails. « Cet exercice a permis de valider l’articulation entre la gestion des dysfonctionnements des réseaux de télécommunication et des systèmes d’information essentiels d’une part, et celle des effets de ces dysfonctionnements sur la vie de la nation d’autre part » , précise l’agence nationale en charge de la sécurité IT. Ce document mettait notamment en exergue la dépendance technologique de notre société et sa vulnérabilité en cas d’assaut numérique.