Le CLUSIF a sorti son rapport annuel: 
Le Clusif est une association à but non lucratif. Ce qui est intéressant car ça suppose une dose rafraîchissante d’indépendance.
En fait ce n’est pas vraiment un rapport c’est un support de présentation jeté en pâture, cela dit, ça reste utile. Voici quelques extraits:
Florilège des tendances criminelles 2006:
- Les mules (personne recrutée pour 1-2 opération frauduleuse)
- Vol d’identité
- SPIT (Nouvelles opportunités de SPAM) (SPam over Ip Telephony)
- Manipulation de cours de bourse !
- Vulnérabilité 0-day
- Ecoutes et enquêtes à haut risque
Le mules profitent de commissions sur les opérations qu’elles aident à réaliser, elles peuvent être vues comme victimes (au regard de la justice), elles ne font parties que de 2 ou 3 opéartions au sein du même “team”. Le SPIT et ses conséquences sur la taille des boîtes vocale.
Le vol d’identité et l’envoi de SPAM pour influencer le cours de la bourse -je achètes pas cher, je SPAM une information erronée mais qui influence les cours… et je vends plus cher (ça paraît si simple non?)-.
Vulnérabilité 0-day ? C’est le fait d’avoir entre ses mains -et de l’exploiter cela va sans dire- une toute nouvelle faille système/logiciel -jamais exploitée jusqu’ici- qui permet à la -dark side- de prendre contrôle du dit système. Le temps moyen de réaction entre l’utilisation du 0-day et du patch est de 22 jours, ça fait réfléchir. Le côté intéressant c’est qu’il est possible pour les personnes qui découvrent ce type de faille de les vendre -jusqu’à 50′000$ (pour une faille Vista)- sans les exploiter eux-mêmes -et donc d’éviter de toujours possible conséquence-.
Intéressant aussi sont les chiffres sur les vulnérabilités Firefox et IE7 et Kernel Linux/Windows, on assiste a un équilibrage !
La question des écoutes/recherches qui sont un savant mélange de social engineering, usurpation d’identité -etc- est bien documentée et pose simplement la question de la sphère privée en entreprise -je me demande quelles sont les limites (et risques pour l’employeur en cas de zèle) pour un employeur en Suisse quand à la lecture des logs “surfing” ou emails privés sans l’accord de la personne-.
Les attaques deviendraient bien plus ciblées et moins massives histoire de passer plus inaperçues…
Bref, je ne peux que vous encourager à parcourir les 94 slides de cette présentation !
