Le CLUSIF a publié son rapport annuel :

Le CLUSIF est une association à but non lucratif, ce qui est intéressant car cela garantit une certaine indépendance rafraîchissante.

En réalité, ce n’est pas un rapport au sens classique, mais plutôt un support de présentation jeté en pâture. Cela dit, il reste très utile. Voici quelques extraits :

Florilège des tendances criminelles 2006 :

• Les “mules” (personnes recrutées pour 1 ou 2 opérations frauduleuses)
• Vol d’identité
• SPIT (SPAM over IP Telephony – nouvelles formes de spam vocal)
• Manipulation de cours de bourse !
• Vulnérabilité 0-day
• Écoutes et enquêtes à haut risque

Les mules reçoivent une commission sur les opérations auxquelles elles participent. Elles peuvent être considérées comme des victimes (du point de vue de la justice), car elles ne participent souvent qu’à deux ou trois opérations au sein du même groupe.

Le SPIT, quant à lui, pourrait saturer les boîtes vocales, ce qui pose de nouveaux défis en cybersécurité.

Le vol d’identité et l’envoi de SPAM pour influencer le cours de la bourse sont des techniques étonnamment simples :
J’achète une action à bas prix, je SPAM une fausse information qui fait monter le cours, puis je vends plus cher. (Ça paraît simple, non ?)

Vulnérabilité 0-day ?
Il s’agit d’exploiter une faille logicielle ou système inconnue jusqu’ici, qui permet à la “dark side” de prendre le contrôle d’un système. Le délai moyen de réaction entre l’exploitation d’un 0-day et le correctif est de 22 jours. Cela fait réfléchir.

Fait intéressant : il est possible pour ceux qui découvrent ces failles de les vendre (jusqu’à 50 000 $ pour une faille sur Vista), sans les exploiter eux-mêmes — et donc d’éviter les conséquences légales potentielles.

Autres points marquants :
Les chiffres sur les vulnérabilités Firefox, IE7, Linux et Windows montrent un certain équilibre : il n’y a plus de “bon élève” absolu.

La question des écoutes et enquêtes est bien documentée. Ces pratiques mêlent ingénierie sociale, usurpation d’identité, etc. Elles posent surtout la question de la sphère privée en entreprise.
Je me demande quelles sont les limites (et les risques pour l’employeur en cas d’excès de zèle) pour lire les logs de navigation ou les emails privés sans le consentement de l’employé, notamment en Suisse…

Enfin, les attaques deviennent de plus en plus ciblées et discrètes, pour passer sous les radars.

? Bref, je ne peux que vous encourager à parcourir les 94 slides de cette présentation passionnante !