Liste de partage de Grorico
 |  |
Les cyber-attaques se multiplient et atteignent leur objectif de plus en plus fréquemment. Elles suscitent un grand emballement médiatique et un intérêt croissant de personnes malveillantes qui y voient l’opportunité d’utiliser les faiblesses des systèmes d’information pour atteindre leurs fins criminelles. En parallèle, les pirates comprennent l’importance grandissante de leurs compétences et cherchent à les monnayer de plus en plus simplement afin de créer un véritable marché noir de la cybercriminalité.
La demande explosant, le besoin d’industrialisation se fait ressentir. Cette situation aboutit « naturellement » à la création d’offres de « Hack As A Service ». Conçu sur le modèle des services cloud, elle consiste à disposer des services de hacking, simple d’accès, forfaitaire et dont les coûts sont maîtrisés. Balbutiant depuis plusieurs années, ce marché se développe et se structure de plus en plus.Voici un florilège des évolutions récentes qui montrent indubitablement cette tendance de fond.
Remarque : afin d’éviter toute mise en avant de sites offrant ce type de biens ou de prestations, aucun nom ne sera cité directement.
La fourniture de logiciels d’attaques performantes
Pour des tarifs « raisonnables », tournant généralement entre 500$ et 4000$, il est facile de se procurer des kits de logiciels, comme Poison Ivy ou encore Zeus / Spyeye, permettant de mener soi-même des attaques. En plus de fournir des outils permettant de trouver des mots de passe, rebondir sur le réseau et faciliter l’exfiltration de données, ces kits fournissent tout le nécessaire pour assurer la discrétion et l’anonymisation des attaquants. Grâce à ces outils, plus besoin d’être un professionnel du domaine pour échapper aux protections classiques tels que l’antivirus, ces kits sont souvent vendus avec des mises à jour régulière pour conserver leur avance.
La réalisation d’actions malicieuses « au forfait »
De plus en plus fréquentes et de moins en moins chères, ces offres sont parmi les plus simples à utiliser. En effet, aucune connaissance n’est requise. Les prestations sont variées et peuvent aller d’un simple déni de service à un vol de données sensibles en passant par du défacement de sites web. Par exemple, hacker un compte Gmail se chiffre autour de 400$ . Le paiement peut lui aussi être anonyme en passant par le principe de monnaies virtuelles encore peu encadré aujourd’hui.
Le recel d‘informations personnelles ou bancaires
Pourquoi attaquer quand les informations convoitées sont d’ores et déjà exfiltrées ? C’est le principe des plates-formes de recel de données personnelles et bancaires. Le prix des cartes de crédit, suivant la qualité des données et le type de carte y évolue de quelques dollars à plusieurs centaines dans certains cas. Des mécanismes de type « try & buy » permettent d’ailleurs de vérifier aisément la qualité des données. Tout comme LeBoncoin ou eBay, ces places de marché permettent la vente de ces informations. D’autres données peuvent y être vendues, comme par exemple celles à caractère personnel (adresses numéros de téléphone, etc.) qui peuvent s’y échanger pour pas moins de 25 centimes . Ces trafics seraient à l’origine d’un rendement financier supérieur à celui du trafic de drogue en Russie.
La vente d’exploit zero-day
Ce marché est encore limité car les prix et la capacité à exploiter les données d’un exploit nécessitent des compétences et des moyens particuliers. Cependant, il s’agit d’une arme imparable pour pénétrer les réseaux et bien utiliser ces exploits devient vite très rentable. Les prix oscillent entre 5 000 $ pour des exploits simples, visant par exemple Adobe Reader et 250 000 $ pour des attaques visant les plateformes mobiles, l’iOS en particulier.
Que retenir de la démocratisation de ce marché ?
La création de ces nouveaux services montre explicitement qu’il ne faut plus être un attaquant chevronné, disposer de contacts dans le milieu ou encore avoir d’importants moyens financiers pour lancer une attaque. La probabilité d’être visé augmente donc aussi rapidement que les services se démocratisent et que les prix baissent.
Ces exemples peuvent être d’intéressantes pistes pour sensibiliser des équipes trop réticentes ou encore trop naïve sur les moyens nécessaires pour attaquer une entreprise, ses collaborateurs et ses clients !
[Article rédigé en collaboration avec Xavier Paquin]
Cet article Le Hack As A Service (HaaS), un marché florissant ! est apparu en premier sur SOLUCOMINSIGHT.
Suite à l’annonce de la future réouverture de MegaUpload, qui devrait être « plus sûr, plus rapide, inarrêtable et 100% sécurisé », son fondateur annonce que la nouvelle version proposera un « réseau global massif » exploitable via une API, qui exclurait cependant les américains.
C’est le 28 août 2012 que l’annonce a été faite. La plate-forme d’hébergement de fichiers de Kim Dotcom disposerait prochainement d’une API pour les développeurs qui souhaiteraient bâtir leurs propres services grâce aux fonctionnalités offertes par le successeur de MegaUpload. « Développeurs, préparez-vous. La Mega API va fournir des pouvoirs incroyables. Notre API et vos Mega outils vont changer le monde », promet Dotcom sur Twitter.
S’inspirant apparemment des plates-formesd’hébergement en cloud d’Amazon ou encore de Google, avec en plus une spécificité non négligeable, la nouvelle version ne se basera pas entièrement sur le P2P, comme aurait pu le faire penser la promesse de Kim Dotcom d’une version « inarrêtable« .
« Nous construisons un réseau global massif », explique Dotcom. « Tous les hébergeurs non américains pourront se connecter aux serveurs et à la bande passante », ajoute-t-il. La nouvelle version exclurait donc les utilisateurs de certains pays, dans le but d’éviter les ennuis avec le FBI et autres organismes sensibles pour ce genre de prestataire de service.
De nombreuses autres fonctionnalités verront le jour d’après les annonces de Kim Dotcom, comme par exemple un service de chiffrement « en un clic » de tous les transferts de données, ce qui permettrait de garantir à ses futurs utilisateurs la confidentialité qu’ils attendent. Pour les autres nouveautés, il faudra attendre soit la sortie de la nouvelle version, ou de nouvelles annonces disponibles sur le tweeter de Kim Dotcom.
Pour conclure, je terminerai par une autre citation de Dotcom :
« Ils s’en sont pris à la mauvaise personne. Je vais mettre le monde sens dessus dessous. Le pouvoir au peuple. Bye bye Echelon [le programme de surveillances des communications électroniques mis en place par les Etats-Unis, ndlr]. Salut à toi, liberté ».
Related posts:
- MegaUpload : Retournement de situation ? C’est depuis le 28 juin 2012 que la Cour suprême de...
- Une renaissance de MegaUpload? Nous vous annoncions le 3 juillet 2012 un retournement de...
- MégaUpload : Kim Dotcom libre ! Après de nombreuses demandes de remise en liberté sous caution,...
À lire, notre dossier consacré au stress
Enfin une réponse claire pour les psychologues ? Ces spécialistes constatent qu'un événement stressant vécu par un individu durant sa jeunesse atteint parfois ses enfants et ses petits-enfants. Est-ce d'ordre culturel...
Entre les années 1960 et 1990, les généticiens ont décrypté le code génétique et découvert la manière dont les gènes sont lus – transcrits – pour...
By A.SignL from the Captain Borderline crew. In memory of the protests at “Tiananmen Square” in China 1989. In Cologne (Köln), Germany. In collaboration with Amnesty International and colorrevoluion e.V to create awareness about humans rights violations in China.
Photos by wummennaiser.
