{"id":716,"date":"2013-03-14T20:00:14","date_gmt":"2013-03-14T20:00:14","guid":{"rendered":"http:\/\/kasperskydaily.com\/france\/?p=716"},"modified":"2019-11-22T09:42:15","modified_gmt":"2019-11-22T09:42:15","slug":"au-coeur-dune-enquete-liee-a-la-cybercriminalite","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/au-coeur-dune-enquete-liee-a-la-cybercriminalite\/716\/","title":{"rendered":"Au c\u0153ur d&rsquo;une enqu\u00eate li\u00e9e \u00e0 la cybercriminalit\u00e9"},"content":{"rendered":"<p>Chaque fois que vous lisez un titre parlant de l\u2019arrestation d\u2019un cybercriminel, vous pouvez \u00eatre certain que l\u2019essentiel du travail d\u2019investigation a \u00e9t\u00e9 ex\u00e9cut\u00e9 par une \u00e9quipe de chercheurs en malware dispers\u00e9s \u00e0 travers le monde.<\/p>\n<p>Qu\u2019il s\u2019agisse du d\u00e9mant\u00e8lement d\u2019un botnet, de la d\u00e9couverte du gang Koobface ou de l\u2019arrestation de cybercriminels \u00e0 l\u2019origine du cheval de Troie Zeus, les organismes responsables de l\u2019application de la loi \u00e0 travers le monde d\u00e9pendent \u00e9norm\u00e9ment des capacit\u00e9s de la communaut\u00e9 des chercheurs en s\u00e9curit\u00e9 \u2013 surtout sur les compagnies anti-virus \u2013 pour mener leur enqu\u00eate judiciaire et obtenir des informations fiables qui pourraient \u00e9ventuellement conduire \u00e0 la condamnation d\u2019un cybercriminel.<\/p>\n<p>Jeff Williams conna\u00eet bien la difficult\u00e9 que repr\u00e9sentent \u00a0l\u2019identification\u00a0 des attaques malicieuses et les recherches effectu\u00e9es dans le cadre d\u2019une enqu\u00eate criminelle. Ayant d\u2019abord travaill\u00e9 comme directeur de programme au Microsoft Malware Protection Center (MMPC) avant de passer chez Dell SecureWorks , Williams a \u00e9t\u00e9 au c\u0153ur du d\u00e9mant\u00e8lement de plusieurs botnets, notamment des virulentes attaques Wadelac, Zeus et Kelihos.<\/p>\n<p>Dans une interview, Williams explique qu\u2019il existe diff\u00e9rents types d\u2019enqu\u00eates qui commencent presque toujours dans un laboratoire anti-virus dans un coin du globe. \u00ab\u00a0Il s\u2019agit parfois d\u2019une investigation criminelle men\u00e9e par les autorit\u00e9s. Et d\u2019autres fois, nous commen\u00e7ons \u00e0 faire des recherches sur un nouveau malware pour des raisons de s\u00e9curit\u00e9. N\u00e9anmoins, m\u00eame quand il s\u2019agit d\u2019une enqu\u00eate criminelle, les forces de l\u2019ordre nous consulteront afin de mieux comprendre le malware. Chez Microsoft, notre priorit\u00e9 \u00e9tait de prot\u00e9ger nos clients, nous devions donc travailler afin de saisir l\u2019\u00e9tendue du probl\u00e8me, l\u2019impact sur les utilisateurs Windows et ce que nous pouvions faire pour les prot\u00e9ger\u00a0\u00bb, a-t-il expliqu\u00e9.<\/p>\n<p>Ce travail comporte de multiples facettes. \u00ab\u00a0Les gars du labo font le travail le plus fastidieux. Ils identifient l\u2019existence du malware, pour ensuite collecter des exemples et en cr\u00e9er l\u2019ing\u00e9nierie inverse, ce qui repr\u00e9sente un travail immense\u00a0\u00bb, a affirm\u00e9 Williams. Ce travail scientifique comprend de complexes algorithmes de chiffrement d\u2019ing\u00e9nierie inverse dans le but de d\u00e9manteler le protocole de communication que le malware utilise pour communiquer avec les pirates. \u00ab\u00a0Nous voulons savoir comment les binaires sont contr\u00f4l\u00e9s par les infrastructures de commande et contr\u00f4le des pirates, o\u00f9 sont les n\u0153uds, quelles sont les commandes qui peuvent \u00eatre \u00e9mises. Tout ce travail est effectu\u00e9 dans un laboratoire anti-virus. C\u2019est un travail tr\u00e8s important\u00a0\u00bb.<\/p>\n<p>Une fois que le laboratoire a une bonne compr\u00e9hension du fonctionnement du malware, des contre-mesures techniques sont mises en place \u2013 via une mise \u00e0 jour de d\u00e9finition de virus ou l\u2019am\u00e9lioration des technologies de d\u00e9fense \u2013 avant que la justice ne soit saisie afin d\u2019agir juridiquement. \u00ab\u00a0Vous devez parfois saisir la justice afin d\u2019avoir le droit de prendre le contr\u00f4le d\u2019un botnet, vous devez donc inclure les autorit\u00e9s et collaborer de tr\u00e8s pr\u00e8s avec elles afin que l\u2019op\u00e9ration soit un succ\u00e8s\u00a0\u00bb, a expliqu\u00e9 Williams.<\/p>\n<p>Costin Raiu, qui dirige l\u2019\u00e9quipe de recherche internationale de Kaspersky Lab confirme que les recherches li\u00e9es au cybercrime peuvent \u00eatre \u00ab\u00a0complexes\u00a0\u00bb.\u00a0 L\u2019\u00e9quipe de Raiu a travaill\u00e9 de pr\u00e8s avec Microsoft, CrowdStrike, OpenDNS, et d\u2019autres entit\u00e9s du monde de la s\u00e9curit\u00e9 afin de d\u00e9manteler des botnets, et il d\u00e9crit ce travail comme un travail intense aux multiples facettes.<\/p>\n<p>\u00ab\u00a0Je pense que le savoir-faire des chercheurs est parfois essentiel et il peut faire la diff\u00e9rence entre l\u2019arrestation d\u2019un criminel et sa fuite\u00a0\u00bb, a d\u00e9clar\u00e9 Raiu.<\/p>\n<p>En plus de l\u2019ing\u00e9nierie invers\u00e9e et du partage d\u2019informations avec les autorit\u00e9s, les \u00e9quipes de recherche en s\u00e9curit\u00e9 travaillent souvent avec les \u00e9quipes internationales d\u2019intervention en cas d\u2019urgence informatique (CERT) afin de commander ou de d\u00e9manteler les serveurs des pirates, ou pour espionner un serveur dans le but de r\u00e9unir des preuves et des donn\u00e9es qui pourront \u00eatre utilis\u00e9es plus tard dans une affaire judiciaire.<\/p>\n<p>\u00ab\u00a0Le cybercrime est un domaine extr\u00eamement compliqu\u00e9 qui poss\u00e8de de multiples facettes. C\u2019est pourquoi on demande souvent de l\u2019aide aux chercheurs en malware en tant qu\u2019avis expert lors des proc\u00e8s li\u00e9s \u00e0 des crimes en haute technologie\u00a0\u00bb, a expliqu\u00e9 l\u2019expert de Kaspersky Lab.<\/p>\n<p>Le savoir-faire en cyber-s\u00e9curit\u00e9 d\u2019un laboratoire sp\u00e9cialis\u00e9 en malware inclura souvent des renseignements de sources ouvertes (<a href=\"https:\/\/fr.wikipedia.org\/wiki\/Renseignement_d%27origine_source_ouverte\" target=\"_blank\" rel=\"noopener nofollow\">ROSO<\/a>). \u00a0Cette partie de l\u2019enqu\u00eate est exhaustive et requiert souvent de fouiller le Web au peigne fin afin de trouver des preuves qui pourraient lier un pirate \u00e0 un malware.<\/p>\n<p>\u00ab\u00a0Au cours d\u2019une enqu\u00eate, de nombreux indicateurs peuvent conduire \u00e0 l\u2019identification d\u2019un cybercriminel. Certaines parties du code contiennent peut-\u00eatre un surnom, ou un certain style de codage. Cette information peut \u00eatre utilis\u00e9e comme point de d\u00e9part afin d\u2019identifier un pirate\u00a0\u00bb, a expliqu\u00e9 Williams.<\/p>\n<p>Les chercheurs utiliseront un surnom, une partie d\u2019un code ou m\u00eame une adresse e-mail \u00e0 partir d\u2019un nom de domaine enregistr\u00e9\u00a0 afin de passer en revue des communaut\u00e9s Internet telles que Facebook, Twitter, YouTube, des wikis, des blogs ou n\u2019importe quel contenu cr\u00e9\u00e9 par un utilisateur o\u00f9 un pirate aurait pu utiliser le m\u00eame surnom ou la m\u00eame adresse e-mail.<\/p>\n<p>Dans le c\u00e9l\u00e8bre cas de Koobface, l\u2019\u00e9quipe de s\u00e9curit\u00e9 de Facebook a utilis\u00e9 des renseignements de sources ouvertes en collaboration avec la communaut\u00e9 de chercheurs en s\u00e9curit\u00e9 et elle a rendu publics les noms, les photos et les identit\u00e9s des individus qu\u2019elle pensait \u00e0 l\u2019origine de l\u2019attaque qui s\u2019\u00e9tait r\u00e9pandue \u00e0 travers son r\u00e9seau. Ces informations furent transmises aux m\u00e9dias afin que les pirates soient couverts de honte.<\/p>\n<p>\u00ab\u00a0L\u2019essentiel du travail est men\u00e9 du c\u00f4t\u00e9 technique afin de prot\u00e9ger les usagers mais ces informations sont aussi partag\u00e9es avec les autorit\u00e9s afin de conduire \u00e0 des arrestations. Quand il s\u2019agit d\u2019arrestations dans des affaires judiciaires impliquant des cybercriminels, vous pouvez \u00eatre certain que le gros du travail est effectu\u00e9 en laboratoire\u00a0\u00bb, a ajout\u00e9 Williams.<\/p>\n<p>\u00ab\u00a0L\u2019attribution et les arrestations ne font pas n\u00e9cessairement partie des op\u00e9rations initiales. Mais quand un laboratoire sp\u00e9cialis\u00e9 en malware se charge de la perturbation et de la protection de cet \u00e9cosyst\u00e8me, le fruit de ce travail peut \u00e9ventuellement \u00eatre pass\u00e9 aux autorit\u00e9s afin qu\u2019elles se chargent des arrestations et des proc\u00e9dures juridiques\u00a0\u00bb, a expliqu\u00e9 l\u2019expert de Dell SecureWorks.<\/p>\n<p>Williams a de nouveau affirm\u00e9 que le travail de la communaut\u00e9 des chercheurs doit \u00eatre de tr\u00e8s haute qualit\u00e9 car l\u2019information devra \u00e9ventuellement pouvoir \u00eatre pr\u00e9sent\u00e9e en justice d\u2019une mani\u00e8re cr\u00e9dible.<\/p>\n<p><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2013\/03\/06104328\/a2.jpg\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-720\" alt=\"a2\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2013\/03\/06104328\/a2.jpg\" width=\"666\" height=\"283\"><\/a><\/p>\n<p>Les chercheurs en cyber-s\u00e9curit\u00e9 n\u2019appr\u00e9cient pas toujours l\u2019\u00e9volution tr\u00e8s lente des enqu\u00eates judiciaires face \u00e0 aux attaques les plus virulentes telles que les chevaux de Troie bancaires et les botnets impliqu\u00e9s dans des fraudes financi\u00e8res. Ce rythme d\u2019escargot a pouss\u00e9 Facebook \u00e0 rendre publics les d\u00e9tails de l\u2019enqu\u00eate sur le Koobface avant que les autorit\u00e9s n\u2019interviennent, mais Williams insiste sur le fait que les choses s\u2019ont en train de s\u2019am\u00e9liorer.<\/p>\n<p>\u00ab\u00a0Une harmonisation des lois \u00e0 l\u2019\u00e9chelle internationale est d\u00e9finitivement n\u00e9cessaire. Les criminels sont conscients des endroits o\u00f9 les lois sont plus l\u00e9g\u00e8res et de ce qu\u2019ils peuvent faire pour rester cach\u00e9s et \u00e9viter d\u2019\u00eatre arr\u00eat\u00e9s. N\u00e9anmoins, je pense que les autorit\u00e9s comprennent de mieux en mieux comment faire avancer ces affaires. Nous avons vu des cas aboutir dans des pays o\u00f9 des lois existantes qui n\u2019avaient rien \u00e0 voir avec le cybercrime \u00e9taient utilis\u00e9es\u00a0\u00bb, \u00a0a d\u00e9clar\u00e9 Williams, en faisant notamment r\u00e9f\u00e9rence au cas du Zotob o\u00f9 les cybercriminels ont \u00e9t\u00e9 inculp\u00e9s via des lois sur le blanchiment d\u2019argent, l\u2019\u00e9vasion fiscale et la fraude financi\u00e8re.<\/p>\n<p>\u00ab\u00a0Il s\u2019agit de l\u2019\u00e9volution naturelle de la d\u00e9fense afin de travailler \u00e0 la perturbation, au d\u00e9mant\u00e8lement et \u00e0 l\u2019identification des cybercriminels. Sans ces d\u00e9mant\u00e8lements (de botnets), l\u2019argent est g\u00e9n\u00e9r\u00e9 par les criminels et celui-ci est ensuite r\u00e9investi dans de futures attaques. Je pense que nous arrivons enfin \u00e0 un moment o\u00f9 les d\u00e9fendeurs poss\u00e8dent un niveau de collaboration, de relations, de technologies et de lois suffisant pour renverser la situation\u00a0\u00bb, a affirm\u00e9 Jeff Williams.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Chaque fois que vous lisez un titre parlant de l\u2019arrestation d\u2019un cybercriminel, vous pouvez \u00eatre certain que l\u2019essentiel du travail d\u2019investigation a \u00e9t\u00e9 ex\u00e9cut\u00e9 par une \u00e9quipe de chercheurs en<\/p>\n","protected":false},"author":32,"featured_media":718,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[264,111,266,265,43],"class_list":{"0":"post-716","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-arrestations","9":"tag-cybercrime","10":"tag-enquete","11":"tag-loi","12":"tag-pirates"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/au-coeur-dune-enquete-liee-a-la-cybercriminalite\/716\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/arrestations\/","name":"arrestations"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/716","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/32"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=716"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/716\/revisions"}],"predecessor-version":[{"id":13430,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/716\/revisions\/13430"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/718"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=716"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=716"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=716"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}